Prima di scrivere policy, prima di nominare referenti, prima di costruire procedure: devi sapere cosa stai usando. Questa è la parte che quasi nessuno affronta per prima, ed è quella che rende inutile tutto il resto.
L’AI Act europeo entra in vigore per fasi tra il 2025 e il 2027. Le aziende che si stanno preparando si concentrano spesso sugli aspetti formali, ma trascurano il punto di partenza: un inventario reale e aggiornato dei sistemi di intelligenza artificiale presenti in azienda.
Senza quell’inventario, qualsiasi documento di conformità è un esercizio teorico. Non puoi classificare il rischio di ciò che non hai mappato, e non puoi governare ciò che non vedi.
Perché la mappatura viene prima di tutto
L’AI Act classifica i sistemi di IA in base al rischio: inaccettabile, alto, limitato, minimo. Ogni categoria ha obblighi diversi, dalla documentazione tecnica alla sorveglianza umana fino alla valutazione d’impatto sui diritti fondamentali.
Ma per applicare la classificazione devi prima sapere cosa hai. E qui la maggior parte delle aziende scopre di non saperlo. Tool adottati dal marketing, plugin installati nei CRM, funzioni IA dentro software di HR, automazioni costruite da singoli reparti senza passare dall’IT.
Cosa significa fare un inventario serio
Non basta una lista di nomi di software. Un inventario utile descrive cosa fa il sistema, su quali dati lavora, chi lo ha introdotto, chi lo usa, con quale finalità operativa. È un lavoro di intervista incrociata tra reparti, non un esercizio amministrativo.
Gli elementi che devo trovare per ogni sistema IA in azienda:
- Fornitore e tipologia del sistema, con riferimento al modello sottostante quando dichiarato.
- Finalità d’uso concreta, non quella teorica del manuale, ma quella effettiva nel processo aziendale.
- Categorie di dati trattati, con attenzione ai dati personali e ai dati sensibili.
- Reparto utilizzatore e referente operativo, perché senza un nome la responsabilità non esiste.
- Livello di automazione decisionale, distinguendo tra suggerimento, automazione assistita e decisione autonoma.
Quando questo inventario è completo, la classificazione del rischio diventa un’operazione lineare. Senza, ogni valutazione resta una stima. Il lavoro vero della compliance AI Act inizia da qui, non dalle policy scaricate da internet.
L’errore di partire dai documenti
Molte aziende affrontano l’AI Act come hanno affrontato il GDPR: comprando un pacchetto di template, adattandolo al volo, archiviandolo. Questo approccio ha già mostrato i suoi limiti sette anni fa, e li mostrerà ancora.
I template servono, ma a valle. Servono dopo che hai capito cosa governare. Una AI policy costruita senza inventario è un documento generico che non riflette la realtà operativa, e in caso di controllo o incidente non protegge nessuno.
Cosa faccio quando entro in un’azienda per l’AI Act
Parto sempre dalla stessa cosa: un AI Assessment strutturato che mappa tutti i sistemi di intelligenza artificiale presenti, anche quelli arrivati per vie informali. Significa parlare con i responsabili di funzione, non solo con l’IT, perché l’IA oggi entra in azienda dai reparti business.
Da quella mappatura ricavo la classificazione del rischio secondo l’AI Act, identifico le aree di esposizione, e solo a quel punto costruisco con il cliente le policy, le procedure di sorveglianza umana e i percorsi di Formazione AI per chi userà i sistemi quotidianamente.
Cosa cambia per chi parte adesso
Le aziende che iniziano oggi hanno un vantaggio rispetto a chi aspetterà il 2026. Non è una questione di velocità burocratica, è che la mappatura richiede tempo, e i sistemi continuano a moltiplicarsi mentre si lavora.
Chi parte adesso costruisce un processo di governance che si aggiorna con l’azienda. Chi aspetta si troverà a fare un censimento di emergenza con scadenze imminenti, scoprendo sistemi non documentati, contratti con fornitori privi di clausole adeguate, dati trattati senza basi giuridiche aggiornate. Il tempo è la variabile che fa la differenza tra conformità sostenibile e rincorsa.
Domande frequenti
Quanto tempo serve per fare un inventario completo dei sistemi IA in azienda?
Dipende dalla dimensione e dalla diffusione dell’IA nei processi. In una PMI strutturata il lavoro richiede in genere da quattro a otto settimane, considerando le interviste ai reparti, l’analisi dei contratti con i fornitori, la verifica tecnica sui sistemi e la classificazione del rischio. Aziende più grandi o con più sedi richiedono tempi proporzionalmente maggiori, soprattutto se l’adozione di IA è già diffusa in modo non coordinato.
L’AI Act si applica anche se uso solo strumenti di IA generativa come ChatGPT o Copilot?
Sì. L’uso di sistemi di IA generativa rientra negli obblighi dell’AI Act, in particolare per quanto riguarda la trasparenza verso gli utenti finali, la gestione dei dati immessi nei prompt e la sorveglianza sui contenuti prodotti. L’azienda è considerata deployer del sistema, e ha obblighi specifici anche se non sviluppa il modello. Questo include valutare se l’uso ricade in categorie ad alto rischio.
Che differenza c’è tra AI Act e GDPR nella pratica?
Il GDPR regola il trattamento dei dati personali, l’AI Act regola i sistemi di intelligenza artificiale in base al rischio che generano. I due ambiti si sovrappongono quando un sistema IA tratta dati personali, ma hanno logiche diverse: il GDPR ragiona sui dati, l’AI Act sui sistemi e sui loro effetti. In azienda servono entrambi, e devono parlarsi attraverso documentazione coerente.
Chi deve occuparsi della compliance AI Act all’interno dell’azienda?
Non esiste una figura unica obbligatoria come il DPO per il GDPR, ma serve un presidio chiaro. Nelle PMI seguo un modello che coinvolge la direzione, l’IT, l’ufficio legale e i responsabili dei reparti che usano IA. Spesso accompagno l’azienda in qualità di AI Manager Esterno, soprattutto quando manca una competenza interna dedicata e si vuole evitare di assumere una figura full-time.
Cosa rischia un’azienda che ignora l’AI Act?
Le sanzioni previste arrivano fino a 35 milioni di euro o al 7% del fatturato globale annuo per le violazioni più gravi, come l’uso di sistemi vietati. Per altre violazioni le soglie sono inferiori ma comunque significative. Oltre alle sanzioni, c’è il rischio reputazionale e operativo: un sistema IA non conforme può dover essere disattivato, con impatti immediati sui processi che ne dipendono.
Parliamo della tua situazione concreta
Se in azienda stai usando sistemi di intelligenza artificiale e non hai ancora una mappatura strutturata, è il momento di farla. Non per anticipare scadenze formali, ma per sapere cosa stai governando.
Il primo confronto serve a capire dove sei oggi: quali sistemi hai introdotto, come sono distribuiti tra i reparti, quali aree richiedono attenzione prioritaria. Da lì decidiamo insieme se ha senso procedere con un assessment completo o se bastano interventi mirati.
Se vuoi inquadrare la tua posizione rispetto all’AI Act, scrivimi dalla pagina contatti e organizziamo una prima chiamata.