Cybersecurity & Privacy

Cos’è l’AI Act e cosa cambia per le aziende italiane

Scritto da Paolo Monini | May 28, 2026 12:30:00 PM

L’Intelligenza Artificiale non è più un tema da convegni futuristici o da film di fantascienza. Oggi entra nei processi aziendali, nelle decisioni operative, nelle HR, nel marketing, nella cybersecurity e perfino nella gestione documentale. Ed è proprio per questo che l’Europa ha deciso di intervenire con una normativa organica: l’AI Act.

Dal 2026, le aziende italiane dovranno affrontare obblighi concreti legati all’utilizzo dei sistemi di Intelligenza Artificiale. Non parliamo soltanto delle Big Tech: anche PMI, studi professionali, sanità, consulenti e pubbliche amministrazioni sono coinvolti.

Cos’è l’AI Act

L’AI Act è il Regolamento Europeo 2024/1689, il primo quadro normativo completo al mondo dedicato all’Intelligenza Artificiale. L’obiettivo dichiarato dell’Unione Europea è duplice:

  • favorire l’innovazione;
  • proteggere diritti fondamentali, sicurezza e trasparenza.

In pratica, l'Europa vuole evitare che l’AI diventi una partita giocata senza arbitro.

E qui la metafora calcistica è inevitabile: fino a oggi molte aziende hanno utilizzato strumenti AI come se fossero in una partitella tra amici. Dal 2026, invece, si entrerà in un campionato professionistico: regole precise, controlli, responsabilità e VAR normativo sempre acceso.

Quando entra davvero in vigore

L’AI Act è entrato formalmente in vigore il 1° agosto 2024, ma gli obblighi vengono introdotti progressivamente.

Le date da monitorare sono:

  • 2 febbraio 2025 → obbligo AI Literacy già in vigore;
  • 2 dicembre 2026 → primi obblighi rilevanti per sistemi ad alto rischio;
  • 2 agosto 2028 → piena applicazione delle disposizioni operative per l'intelligenza artificiale integrata in prodotti.

Questo significa che le aziende dovrebbero già muoversi oggi per evitare corse disperate all’ultimo minuto.

 

Chi riguarda davvero l’AI Act

Uno degli errori più comuni è pensare:

“Noi non sviluppiamo AI, quindi non ci riguarda.”

In realtà l’AI Act distingue due figure:

Provider:

Chi sviluppa o commercializza sistemi AI.

Deployer:

Chi utilizza sistemi AI nei propri processi aziendali.

E qui centriamo proprio tutti: praticamente ogni azienda che utilizza ChatGPT, Copilot, Gemini o altri strumenti AI è un deployer. In alcuni casi, un deployer può persino trasformarsi in provider, ad esempio quando modifica sostanzialmente un sistema AI o lo rivende con il proprio marchio.

 

Il cuore del regolamento: il rischio AI

L’AI Act funziona con una logica basata sul rischio. Più alto è il rischio generato dal sistema AI, maggiori saranno gli obblighi.

I quattro livelli di rischio AI

1. Rischio minimo

Sistemi con impatto limitato e pochi obblighi.

2. Rischio limitato

Obblighi di trasparenza verso gli utenti.

3. Alto rischio

Procedure rigorose di conformità, documentazione, supervisione umana e monitoraggio.

4. Rischio inaccettabile

Sistemi vietati dall’AI Act.

 

Cosa devono fare le aziende italiane

Le imprese non devono semplicemente “installare un software AI”,  devono costruire una governance. La linea guida per le attività operative prevede:

  1. Inventario dei sistemi AI utilizzati;
  2. mappatura dei casi d’uso;
  3. classificazione del rischio;
  4. definizione di ruoli e responsabilità;
  5. formazione del personale;
  6. gestione fornitori;
  7. documentazione della conformità.

Il ruolo della formazione

Uno degli aspetti più sottovalutati riguarda l’AI Literacy: dal 2 febbraio 2025, provider e deployer devono garantire un livello sufficiente di alfabetizzazione AI al personale.

Tradotto: non basta usare ChatGPT, occorre capire:

  • come funziona;
  • quali dati si possono caricare quali no;
  • quali limiti ha (allucinazinoi, bias, accondiscendenza);
  • quali rischi comporta;
  • quali responsabilità genera.

Nel calcio sarebbe assurdo mandare un giocatore in campo per una finale senza preparazione tattica. Allo stesso modo, un dipendente non può usare sistemi AI senza la formazione adeguata.

AI Act e GDPR: attenzione ai dati personali

Molti strumenti AI trattano dati personali.

Questo significa che l’AI Act non sostituisce il GDPR: si aggiunge ad esso.

Le aziende dovranno quindi:

  • valutare i trattamenti dati;
  • verificare trasferimenti extra-UE;
  • eseguire DPIA nei casi necessari;
  • implementare controlli di cybersecurity.

AI ACT e sanzioni alle imprese

L’AI Act introduce sanzioni molto elevate:

  • fino a 15 milioni di euro;
  • oppure fino al 3% del fatturato globale.

Ma il vero rischio spesso è reputazionale:

  • fuga di dati;
  • utilizzo scorretto dell’AI;
  • decisioni automatizzate errate;
  • perdita di fiducia.

L’AI Act non è un ostacolo all’innovazione. È il tentativo europeo di trasformare l’Intelligenza Artificiale da zona grigia a ecosistema regolato. Le aziende che inizieranno subito a costruire governance, formazione e processi avranno un vantaggio competitivo enorme. Chi invece aspetterà l’ultimo minuto rischia di entrare in campo senza preparazione… e subire gol nei primi cinque minuti.
Visualizza articolo completo