Compliance
Adeguamento all'EU AI Act
Sono il dott. Dimitrios Grammenidis, Revisore legale e Commercialista con pratica di legal tech. L'AI Act — Regolamento UE 2024/1689 — non riguarda solo chi sviluppa l'intelligenza artificiale: riguarda chi la usa. Se in azienda girano strumenti di IA, anche solo un chatbot o un software di selezione del personale, hai già degli obblighi. Meglio saperlo prima dell'ispettore.
Cos'è e a chi si applica
Il Regolamento UE 2024/1689 è la prima legge organica al mondo sull'intelligenza artificiale. Si applica a chi sviluppa sistemi di IA, ma anche — ed è la parte che le imprese sottovalutano — a chi li utilizza nella propria attività: il "deployer". Il gestionale con modulo predittivo, il software di screening dei curricula, il chatbot sul sito, gli strumenti di IA generativa usati dai dipendenti: tutto questo è utilizzo di IA ai sensi del regolamento.
La logica del rischio
L'AI Act classifica i sistemi per livello di rischio: inaccettabile (pratiche vietate, come il social scoring), alto (usi in aree sensibili: lavoro, credito, istruzione — con obblighi stringenti), limitato (obblighi di trasparenza: l'utente deve sapere che sta interagendo con una macchina), minimo (nessun obbligo specifico). Più regole dedicate ai modelli per finalità generali. Il primo passo dell'adeguamento è capire dove cadono i tuoi casi d'uso — che spesso non sono quelli che pensi.
Cosa deve fare un'impresa che usa l'IA
- Censimento — quali sistemi di IA girano in azienda, compresi quelli dentro software di terzi e quelli usati informalmente dai dipendenti;
- Classificazione — valutazione del rischio per ciascun caso d'uso, documentata;
- AI literacy — l'art. 4 impone dal febbraio 2025 un livello adeguato di alfabetizzazione del personale che usa l'IA: formazione breve, mirata, tracciata;
- Policy interne — regole d'uso degli strumenti di IA generativa: cosa si può inserire, cosa no, chi risponde degli output;
- Presidio dei fornitori — clausole contrattuali e verifiche su chi ti vende software con IA dentro;
- Governance — responsabilità assegnate, controllo umano sui processi ad alto rischio, monitoraggio nel tempo.
Un cantiere unico con GDPR e 231
I sistemi di IA trattano quasi sempre dati personali, e le decisioni automatizzate toccano il GDPR prima ancora dell'AI Act. E per gli enti con Modello 231, l'uso scorretto dell'IA è un rischio operativo nuovo che la mappatura deve intercettare. Per questo lo Studio tratta le tre discipline come un cantiere unico: adeguamento GDPR, Modello 231 e OdV, AI Act.
Domande frequenti
Uso solo ChatGPT e strumenti simili: l'AI Act mi riguarda?
Sì, come deployer: dall'obbligo di alfabetizzazione del personale (art. 4, già in vigore) alle regole di trasparenza quando l'output dell'IA raggiunge clienti o dipendenti. Gli obblighi crescono con il rischio del caso d'uso, non con la dimensione dell'azienda.
Quali usi sono "ad alto rischio"?
Tra gli altri: selezione e gestione del personale, accesso al credito e scoring, istruzione, componenti di sicurezza. Se un tuo processo usa l'IA in queste aree — anche tramite un software comprato — scattano obblighi specifici di controllo umano, monitoraggio e documentazione.
Quali sono le scadenze?
Il regolamento è in vigore dal 1° agosto 2024, con applicazione scaglionata: divieti e obbligo di AI literacy da febbraio 2025, regole sui modelli di IA per finalità generali da agosto 2025, il grosso degli obblighi — inclusi i sistemi ad alto rischio — da agosto 2026. Il tempo per adeguarsi con calma è adesso.
Cosa rischia chi non si adegua?
Sanzioni fino a 35 milioni di euro o al 7% del fatturato mondiale per le violazioni più gravi, con soglie inferiori per gli altri obblighi. Ma prima delle sanzioni conta il rischio operativo: contratti, responsabilità verso clienti e dipendenti, danno reputazionale.
Usi l'IA in azienda e non sai da dove cominciare?
Il punto di partenza è sempre lo stesso: un censimento onesto di cosa gira davvero. Un incontro di un'ora basta per impostarlo. Scrivimi.