Quando il GDPR è entrato in vigore, la maggior parte delle aziende italiane si è mossa tardi. Multe, consulenze d’urgenza, processi ridisegnati sotto pressione. Con l’AI Act la storia può finire diversamente.
Il regolamento europeo sull’intelligenza artificiale è già stato approvato e prevede un’applicazione progressiva fino al 2027. Significa che oggi hai mesi davanti, non settimane. È la differenza tra costruire una governance solida e rincorrere scadenze.
Lavoro con imprenditori e direzioni che vogliono usare questo tempo bene. Non per produrre carte, ma per arrivare alla compliance avendo già messo ordine nei processi AI che usano o stanno per introdurre.
Perché l’analogia con il GDPR regge davvero
L’AI Act è un regolamento europeo, si applica direttamente, prevede sanzioni proporzionate al fatturato globale e introduce obblighi documentali, organizzativi e tecnici. La struttura è la stessa che abbiamo visto nel 2018. Cambia l’oggetto, non l’impianto giuridico.
C’è però una differenza importante. Il GDPR ha colto molte aziende impreparate perché il tema protezione dati sembrava distante dalla quotidianità operativa. L’AI è già dentro le aziende: nei tool di marketing, nei sistemi HR, nei chatbot, nelle piattaforme di analisi. Il perimetro da governare è più visibile.
Cosa cambia in concreto per la tua azienda
Il regolamento classifica i sistemi di intelligenza artificiale per livello di rischio. Alcuni sono vietati, altri considerati ad alto rischio e soggetti a obblighi pesanti, altri ancora rientrano in categorie a rischio limitato o minimo. La prima domanda da farsi è quale categoria si applica ai sistemi che usi o sviluppi.
Gli ambiti su cui intervenire prima:
- Mappatura dei sistemi AI in uso, inclusi quelli embedded nei software che già utilizzi senza saperlo
- Classificazione del rischio secondo le categorie previste dall’AI Act
- Governance interna: chi decide, chi controlla, chi documenta
- Trasparenza verso utenti e dipendenti quando interagiscono con sistemi automatizzati
- Formazione del personale che usa o gestisce strumenti AI, obbligo già attivo dal febbraio 2025
Affrontare questi punti adesso costa una frazione di quanto costerà farlo sotto scadenza. Soprattutto, ti permette di scegliere fornitori e tecnologie con criteri di compliance già integrati, anziché dover sostituire strumenti già adottati.
Il vantaggio di muoversi prima
Chi anticipa ottiene tre cose pratiche. La prima è negoziare meglio con i fornitori AI: oggi puoi pretendere garanzie contrattuali e documentazione tecnica, tra un anno sarai costretto ad accettare quello che passa il mercato.
La seconda è trasformare la compliance in posizionamento. I tuoi clienti B2B, soprattutto se lavorano in settori regolati, inizieranno a chiedere evidenze sulla governance AI dei loro fornitori. Arrivare con un framework già strutturato è un argomento commerciale concreto.
Come imposto il lavoro con le aziende
Parto sempre da un AI Assessment del contesto reale: quali sistemi sono in uso, chi li gestisce, quali dati trattano, dove si collocano nella mappa del rischio. Senza questa fotografia, qualsiasi piano di compliance è teoria.
Poi costruiamo la governance: ruoli, procedure, documentazione minima, formazione. Non produco manuali da mille pagine. Produco strumenti operativi che le persone usano davvero, perché una compliance che resta sulla carta non protegge da niente, né dalle sanzioni né dagli incidenti reali.
Domande frequenti
Quando entrano in vigore gli obblighi dell’AI Act?
L’applicazione è scaglionata. Dal 2 febbraio 2025 sono già operativi i divieti sui sistemi a rischio inaccettabile e l’obbligo di alfabetizzazione AI per il personale. Dal 2 agosto 2025 si applicano le regole sui modelli di AI generativa. Gli obblighi sui sistemi ad alto rischio diventano pienamente applicabili dal 2026 e 2027. Oggi sei in una fase di transizione attiva, non di attesa.
La mia azienda è davvero soggetta all’AI Act?
Se usi sistemi di intelligenza artificiale, anche solo come deployer (quindi come utilizzatore di tool sviluppati da altri), sì. Il regolamento si applica a chi sviluppa, distribuisce e utilizza sistemi AI nell’Unione Europea. Non riguarda solo le big tech. Riguarda anche la PMI che usa un tool di screening CV o un chatbot sul sito.
Quanto costa adeguarsi?
Dipende dalla complessità del contesto e dal numero di sistemi AI in uso. Per una PMI con utilizzi standard, un percorso di assessment e impostazione della governance richiede tempi e budget contenuti se affrontato adesso. Diventa molto più oneroso se gestito in emergenza o dopo un controllo. Definisco sempre il perimetro prima di parlare di costi.
Serve nominare una figura specifica come per il DPO nel GDPR?
L’AI Act non prevede una figura obbligatoria equivalente al DPO per tutte le aziende, ma richiede ruoli chiari di supervisione e responsabilità. Per molte realtà ha senso strutturare un riferimento interno o esterno che presidi il tema, anche per coordinarsi con DPO, IT e direzione operativa. Il servizio AI Manager Esterno nasce esattamente per questa esigenza.
Quali sono i rischi se non mi adeguo?
Le sanzioni arrivano fino a 35 milioni di euro o al 7% del fatturato annuo globale per le violazioni più gravi. Ma il rischio sanzionatorio è solo una parte. C’è un rischio reputazionale, contrattuale verso clienti che chiedono garanzie, e operativo se devi sospendere strumenti già integrati nei processi. La compliance preventiva costa meno di tutti questi scenari sommati.
Parliamone prima che diventi un’urgenza
Se in azienda stai già usando strumenti di intelligenza artificiale, o stai valutando di introdurli, ha senso fare il punto adesso. Capire dove sei rispetto agli obblighi, cosa puoi sistemare con calma, cosa richiede un intervento più strutturato.
Il primo confronto serve a questo: guardare insieme il tuo contesto e valutare se un percorso strutturato ha senso per te, oppure se bastano alcuni accorgimenti mirati.
Se vuoi parlarne, scrivimi dalla pagina contatti e fissiamo una call.