La risposta onesta è: dipende, ma esistono intervalli realistici. Non sei in ritardo se inizi adesso, ma non hai nemmeno tempo da perdere.
L’AI Act è entrato in vigore ad agosto 2024 con un’applicazione scaglionata. Alcune disposizioni sono già operative, altre lo diventeranno tra il 2025 e il 2027. Questo significa che il percorso di adeguamento non è un blocco unico, ma una sequenza di passaggi con scadenze diverse.
Nella mia esperienza, un’azienda di medie dimensioni che parte da zero impiega tra i 6 e i 18 mesi per raggiungere una compliance solida. Il range dipende da quanti sistemi AI sono già in uso, dalla loro classificazione di rischio e dalla maturità dei processi interni di governance.
Da cosa dipende davvero la durata del percorso
Il primo fattore è la classificazione dei sistemi AI che la tua azienda utilizza o sviluppa. Un’azienda che impiega solo strumenti a rischio minimo, come chatbot per il customer service, chiude il percorso in pochi mesi. Chi opera in HR, credito, sanità o sicurezza ricade in categorie ad alto rischio, con obblighi molto più stringenti.
Il secondo fattore è lo stato di partenza. Se hai già un sistema di gestione documentale strutturato, policy privacy mature e un risk management attivo, parti avvantaggiato. Se invece l’AI è entrata in azienda in modo informale, attraverso singoli reparti senza coordinamento, serve prima una fase di mappatura che da sola può richiedere 2-3 mesi.
Le fasi tipiche di un percorso di compliance
Quando seguo un’azienda nel percorso di adeguamento, lavoro per fasi sequenziali. Ognuna ha obiettivi precisi e deliverable verificabili. Saltare passaggi per accelerare i tempi è la causa più comune di rilavorazioni costose.
Le fasi principali di un percorso strutturato:
- Inventario dei sistemi AI (4-8 settimane): mappatura di tutti gli strumenti AI in uso, inclusi quelli adottati dai singoli team senza autorizzazione formale.
- Classificazione del rischio (2-4 settimane): valutazione di ogni sistema secondo le categorie dell’AI Act, dal rischio inaccettabile al rischio minimo.
- Gap analysis (4-6 settimane): confronto tra lo stato attuale e i requisiti normativi applicabili a ciascun sistema.
- Implementazione delle misure (3-9 mesi): redazione di policy, documentazione tecnica, processi di monitoring e formazione del personale.
- Audit interno e messa a regime (6-8 settimane): verifica della tenuta del sistema e definizione del processo di mantenimento.
In totale, il percorso medio per un’azienda strutturata si colloca intorno ai 10-12 mesi. Le PMI con un perimetro AI più contenuto possono chiudere in 4-6 mesi. I gruppi con sistemi ad alto rischio richiedono spesso oltre 18 mesi, soprattutto se la documentazione tecnica va costruita ex novo.
Le scadenze dell’AI Act che condizionano la pianificazione
Le pratiche AI vietate sono operative da febbraio 2025. Significa che alcuni sistemi, come quelli di social scoring o di manipolazione comportamentale, devono già essere stati dismessi. Su questo non c’è margine: la verifica va fatta subito.
Gli obblighi sui modelli di AI generativa generale sono applicabili da agosto 2025. I requisiti completi per i sistemi ad alto rischio entrano a regime ad agosto 2026, con un’estensione ad agosto 2027 per alcune categorie specifiche. Pianificare a ritroso da queste date è l’unico modo per arrivare pronti.
Perché iniziare prima conviene anche economicamente
Affrontare la compliance in modo reattivo, sotto la pressione di una scadenza imminente, costa mediamente il doppio rispetto a un percorso pianificato. La fretta porta a consulenze d’urgenza, a documentazione fatta male e a rilavorazioni successive. Ho visto aziende spendere cifre importanti per rimettere a posto interventi affrettati.
C’è poi un vantaggio competitivo concreto. Le aziende già conformi diventano fornitori preferenziali per clienti enterprise che richiedono garanzie di filiera. La compliance, costruita bene, diventa un argomento commerciale, non solo un costo regolatorio.
Domande frequenti
La mia azienda usa solo ChatGPT e qualche strumento di marketing automation. Devo davvero preoccuparmi dell’AI Act?
Sì, anche se in modo proporzionato al rischio. L’uso di strumenti di AI generativa generale comporta obblighi di trasparenza verso utenti e dipendenti, oltre a politiche interne di utilizzo. Il percorso per realtà di questo tipo è più snello, tipicamente 3-5 mesi, ma va comunque formalizzato. Senza policy scritte e formazione documentata, in caso di controllo o contestazione non hai nulla da esibire.
Posso gestire la compliance internamente senza consulenti esterni?
Tecnicamente sì, se hai risorse competenti su normativa, sistemi AI e risk management. Nella pratica, le aziende che provano questa strada impiegano il doppio del tempo e spesso producono documentazione non allineata ai requisiti reali. Un supporto esterno mirato sulle fasi critiche, come classificazione del rischio e gap analysis, riduce sensibilmente i tempi senza spostare la responsabilità fuori dall’azienda.
Quanto costa indicativamente un percorso completo di adeguamento?
Il costo varia molto in base alle dimensioni e al numero di sistemi AI da gestire. Per una PMI con uso limitato di AI si parte da poche decine di migliaia di euro. Per realtà strutturate con sistemi ad alto rischio si superano facilmente i 100.000 euro tra consulenza, sviluppo documentale e formazione. Una stima precisa richiede sempre una valutazione preliminare del perimetro.
Cosa succede se l’AI Act mi trova impreparato dopo le scadenze?
Le sanzioni previste sono significative: fino a 35 milioni di euro o al 7% del fatturato globale per le violazioni più gravi. Oltre alle sanzioni, c’è il rischio reputazionale e l’esclusione da gare e supply chain di clienti già conformi. Le autorità di vigilanza si stanno organizzando ora, ma i controlli diventeranno sistematici nei prossimi 24 mesi.
La compliance AI Act si sovrappone al GDPR o sono percorsi separati?
Si sovrappongono parzialmente. Molti sistemi AI trattano dati personali, quindi il GDPR resta applicabile in parallelo. La buona notizia è che se hai già un’impostazione GDPR matura, parti con processi e ruoli utili anche per l’AI Act. La cattiva è che i requisiti AI Act vanno oltre la protezione dei dati: includono governance del modello, trasparenza algoritmica, human oversight e gestione del rischio sistemico.
Capire da dove parte la tua azienda
Se stai leggendo questa pagina, probabilmente hai già intuito che il tema non è più rinviabile. La domanda utile non è “quanto manca alla scadenza”, ma “dove sono oggi rispetto a dove devo arrivare”.
Ogni azienda ha un punto di partenza diverso. Alcune sono più vicine alla compliance di quanto pensino, altre hanno lacune nascoste che emergono solo con una mappatura seria. Un primo confronto serve esattamente a questo: capire il perimetro reale e valutare se ha senso strutturare insieme un percorso.
Se vuoi fare il punto sulla tua situazione, scrivimi dalla pagina contatti e organizziamo una prima chiamata.