1. Cos'è l'AI Act (Regolamento UE 2024/1689)
L'AI Act (Regolamento UE 2024/1689) è la prima legislazione al mondo che regola in modo organico l'intelligenza artificiale. Approvato dal Parlamento Europeo il 13 marzo 2024, è entrato in vigore il 1° agosto 2024 e si applica a tutti gli Stati membri dell'Unione, Italia compresa, senza bisogno di recepimento nazionale.
Il regolamento adotta un approccio basato sul rischio: più un sistema AI è potenzialmente pericoloso per i diritti fondamentali delle persone, più stringenti sono gli obblighi per chi lo sviluppa e per chi lo utilizza. La distinzione tra "provider" (chi sviluppa il sistema) e "deployer" (chi lo utilizza in un contesto aziendale) è centrale: un'azienda che integra ChatGPT nei propri processi è un deployer e ha obblighi specifici.
Per le aziende italiane, l'AI Act rappresenta un cambiamento strutturale. Chi oggi usa strumenti AI senza un framework di governance e compliance dovrà adeguarsi entro scadenze precise, pena sanzioni che arrivano fino al 7% del fatturato globale. Ma l'AI Act non è solo un costo: è l'occasione per strutturare l'uso dell'AI in modo efficace, sicuro e competitivo.
2. Timeline di applicazione: le scadenze chiave
L'AI Act non entra in vigore tutto in una volta. Il legislatore europeo ha previsto un periodo di transizione di 36 mesi, con scadenze progressive. Per un'azienda italiana, la pianificazione è fondamentale: chi aspetta l'ultimo momento rischia di trovarsi fuori norma con sanzioni attive.
La prima scadenza critica è stata il 2 febbraio 2025, quando è scattato il divieto assoluto per i sistemi AI a rischio inaccettabile (social scoring, manipolazione subliminale, sorveglianza biometrica di massa). La seconda scadenza è il 2 agosto 2025, con l'applicazione degli obblighi per i modelli di AI general-purpose (GPAI), che riguarda direttamente chi utilizza LLM come GPT, Claude o Gemini in produzione.
Per le aziende che utilizzano sistemi ad alto rischio, la scadenza operativa è il 2 agosto 2026, quando entreranno in vigore gli obblighi completi dell'Allegato III: documentazione tecnica, valutazione di conformità, registrazione nel database europeo e monitoraggio post-market. Le aziende hanno quindi poco più di 4 mesi per completare la compliance.
| Scadenza | Cosa entra in vigore | Chi è coinvolto |
|---|---|---|
| 1 agosto 2024 | Entrata in vigore del regolamento | Tutti gli operatori UE |
| 2 febbraio 2025 | Divieto sistemi a rischio inaccettabile | Tutti i provider e deployer |
| 2 agosto 2025 | Obblighi per modelli GPAI e AI general-purpose | Provider di foundation model e deployer |
| 2 agosto 2026 | Obblighi completi per sistemi ad alto rischio (Allegato III) | Provider e deployer di sistemi high-risk |
| 2 agosto 2027 | Piena applicazione di tutti gli obblighi residui | Tutti gli operatori economici |
3. I quattro livelli di rischio dell'AI Act
Il cuore dell'AI Act è la classificazione per livello di rischio. Ogni sistema AI deve essere valutato e inserito in una delle quattro categorie. Dalla categoria dipendono gli obblighi normativi, la documentazione richiesta e le sanzioni in caso di non conformità.
I quattro livelli sono: rischio inaccettabile (vietato), alto rischio (obblighi stringenti), rischio limitato (obblighi di trasparenza) e rischio minimo (nessun obbligo specifico). La maggior parte dei sistemi AI utilizzati dalle aziende italiane rientra nelle ultime due categorie, ma è fondamentale verificare: un chatbot per il customer service potrebbe essere a rischio limitato, ma un sistema AI che valuta candidati per assunzioni è ad alto rischio.
Per una guida dettagliata su come classificare i sistemi AI della tua azienda, consulta la nostra guida alla classificazione del rischio AI. Yellow Tech ha già supportato oltre 500 organizzazioni nell'analisi e nella classificazione dei propri sistemi AI secondo le categorie dell'AI Act.
4. Obblighi per le aziende italiane
Gli obblighi variano in base al ruolo dell'azienda (provider o deployer) e al livello di rischio del sistema AI utilizzato. Per la maggior parte delle aziende italiane, che sono deployer di sistemi AI sviluppati da terzi (OpenAI, Anthropic, Google, Microsoft), gli obblighi principali riguardano l'uso responsabile e documentato di questi strumenti.
Per i sistemi ad alto rischio, i deployer devono: utilizzare il sistema in conformità con le istruzioni del provider, garantire la supervisione umana dei processi decisionali, mantenere i log generati dal sistema per almeno 6 mesi, informare le persone interessate che sono soggette a un sistema AI, effettuare una valutazione d'impatto sui diritti fondamentali (FRIA - Fundamental Rights Impact Assessment) prima della messa in produzione.
Per i sistemi a rischio limitato, l'obbligo principale è la trasparenza: gli utenti devono sapere che stanno interagendo con un sistema AI. Questo vale per chatbot, sistemi di generazione testi, deepfake e contenuti sintetici. Un'azienda che usa un chatbot AI sul proprio sito deve indicare chiaramente che le risposte sono generate dall'intelligenza artificiale.
- Redazione di una AI Policy aziendale - documento che definisce regole e limiti d'uso dell'AI in azienda (guida completa qui)
- Registro dei sistemi AI - mappatura di tutti i sistemi AI utilizzati, con classificazione del rischio
- Formazione del personale - l'Art. 4 dell'AI Act impone un obbligo di AI literacy per tutti i dipendenti che utilizzano sistemi AI
- Valutazione d'impatto (FRIA) - obbligatoria per sistemi ad alto rischio prima del deployment
- Monitoraggio continuo - supervisione umana e audit periodici dei sistemi in produzione
- Gestione degli incidenti - procedure per segnalare malfunzionamenti gravi alle autorità competenti
5. Sanzioni: quanto costa la non conformità
L'AI Act prevede un sistema sanzionatorio a tre livelli, calibrato sulla gravità della violazione e sul fatturato dell'azienda. Le sanzioni sono tra le più alte nel panorama normativo europeo, paragonabili solo a quelle del GDPR.
Il primo livello riguarda l'utilizzo di sistemi AI vietati (rischio inaccettabile): la sanzione arriva fino a 35 milioni di euro o al 7% del fatturato globale annuo, se superiore. Per un'azienda con 50 milioni di fatturato, significa una multa potenziale di 3,5 milioni di euro.
Il secondo livello riguarda la violazione degli obblighi per sistemi ad alto rischio: fino a 15 milioni di euro o al 3% del fatturato globale. Il terzo livello, per informazioni false o incomplete fornite alle autorità, prevede sanzioni fino a 7,5 milioni di euro o all'1% del fatturato.
Per le PMI e le startup, il regolamento prevede sanzioni proporzionali e ridotte. Ma il rischio reputazionale va oltre la multa: un'indagine per non conformità all'AI Act può danneggiare rapporti commerciali e partecipazione a gare pubbliche. La prevenzione, attraverso un framework di AI governance strutturato, è l'investimento più efficace.
6. Come prepararsi: il percorso con Yellow Tech
La compliance all'AI Act richiede un approccio strutturato che integra aspetti legali, tecnici e organizzativi. Yellow Tech ha sviluppato un percorso in 5 fasi specifico per le aziende italiane, basato sull'esperienza maturata con oltre 500 organizzazioni e 300+ agenti AI in produzione.
La Fase 1 (Assessment) consiste nella mappatura di tutti i sistemi AI in uso, dalla suite Microsoft Copilot ai chatbot personalizzati, fino agli agenti AI in produzione. Ogni sistema viene classificato per livello di rischio secondo i criteri dell'AI Act. Abbiamo censito centinaia di sistemi AI nelle aziende clienti nell'ultimo anno.
La Fase 2 (Gap Analysis) confronta lo stato attuale con gli obblighi normativi. Per ogni sistema ad alto rischio si valutano: documentazione tecnica, procedure di supervisione umana, log management, trasparenza verso gli utenti e valutazione d'impatto. Il risultato è una roadmap prioritizzata con effort e timeline per ogni intervento.
La Fase 3 (Implementazione) comprende la redazione della AI Policy aziendale, la configurazione dei sistemi di monitoraggio, la predisposizione della documentazione per la conformità e l'integrazione con i processi GDPR esistenti.
La Fase 4 (Formazione) è obbligatoria per legge: l'Art. 4 dell'AI Act richiede che tutti i dipendenti che operano con sistemi AI abbiano un livello adeguato di AI literacy. Abbiamo formato oltre 20.000 persone in Italia su questo tema, con programmi che vanno dalla sessione executive di 2 ore al percorso completo di AI Upskilling.
La Fase 5 (Monitoraggio continuo) prevede audit periodici, aggiornamento della documentazione e revisione della classificazione dei rischi. L'AI Act non è un adempimento una tantum: richiede un sistema di governance vivo e aggiornato. Per iniziare il percorso di compliance, contattaci per un assessment gratuito.
Domande frequenti
Quando entra in vigore l'AI Act per le aziende italiane?+
L'AI Act è già in vigore dal 1° agosto 2024. I divieti per sistemi a rischio inaccettabile si applicano dal 2 febbraio 2025. Gli obblighi per modelli GPAI dal 2 agosto 2025. Gli obblighi completi per sistemi ad alto rischio dal 2 agosto 2026. Yellow Tech ha già supportato oltre 500 organizzazioni italiane nell'adeguamento normativo, con un team di 30+ specialisti dedicati.
Quali sanzioni prevede l'AI Act?+
Le sanzioni arrivano fino a 35 milioni di euro o al 7% del fatturato globale per l'uso di sistemi vietati, fino a 15 milioni o al 3% per violazioni sugli obblighi ad alto rischio, e fino a 7,5 milioni o all'1% per informazioni false. Per le PMI sono previste riduzioni proporzionali. Yellow Tech offre percorsi di compliance che partono dall'assessment e coprono tutte le fasi fino al monitoraggio continuo.
L'AI Act si applica anche se uso ChatGPT o Copilot?+
Sì. Se la tua azienda utilizza ChatGPT, Microsoft Copilot, Claude, Gemini o qualsiasi altro sistema AI in ambito lavorativo, l'AI Act si applica. L'azienda è classificata come "deployer" e ha obblighi specifici, tra cui l'AI literacy dei dipendenti (Art. 4) e la trasparenza verso gli utenti. Yellow Tech ha formato oltre 20.000 persone in 500+ organizzazioni sull'uso conforme degli strumenti AI.
Come si classifica il rischio di un sistema AI?+
La classificazione si basa sull'Allegato III dell'AI Act, che elenca le categorie di sistemi ad alto rischio (biometria, infrastrutture critiche, istruzione, lavoro, credito, giustizia, migrazione). Yellow Tech utilizza un framework proprietario che mappa ogni sistema AI aziendale ai criteri dell'Allegato III e produce un registro classificato con 300+ sistemi già analizzati per i propri clienti.
Quanto costa adeguarsi all'AI Act con Yellow Tech?+
Il costo dipende dalla complessità dell'organizzazione e dal numero di sistemi AI in uso. Un assessment iniziale con classificazione del rischio parte da 10.000-20.000 euro. Un percorso completo di compliance (assessment, gap analysis, AI policy, formazione, monitoraggio) per un'azienda di medie dimensioni si colloca tra 30.000 e 80.000 euro. Il 98% dei clienti Yellow Tech valuta l'investimento positivamente, con un CSAT medio del 98%.
