Salta al contenuto

Compliance

Adeguamento all'EU AI Act

Sono il dott. Dimitrios Grammenidis, Revisore legale e Commercialista con pratica di legal tech. L'AI Act — Regolamento UE 2024/1689 — non riguarda solo chi sviluppa l'intelligenza artificiale: riguarda chi la usa. Se in azienda girano strumenti di IA, anche solo un chatbot o un software di selezione del personale, hai già degli obblighi. Meglio saperlo prima dell'ispettore.

Censisci i tuoi sistemi di IA — parliamone

Cos'è e a chi si applica

Il Regolamento UE 2024/1689 è la prima legge organica al mondo sull'intelligenza artificiale. Si applica a chi sviluppa sistemi di IA, ma anche — ed è la parte che le imprese sottovalutano — a chi li utilizza nella propria attività: il "deployer". Il gestionale con modulo predittivo, il software di screening dei curricula, il chatbot sul sito, gli strumenti di IA generativa usati dai dipendenti: tutto questo è utilizzo di IA ai sensi del regolamento.

La logica del rischio

L'AI Act classifica i sistemi per livello di rischio: inaccettabile (pratiche vietate, come il social scoring), alto (usi in aree sensibili: lavoro, credito, istruzione — con obblighi stringenti), limitato (obblighi di trasparenza: l'utente deve sapere che sta interagendo con una macchina), minimo (nessun obbligo specifico). Più regole dedicate ai modelli per finalità generali. Il primo passo dell'adeguamento è capire dove cadono i tuoi casi d'uso — che spesso non sono quelli che pensi.

Cosa deve fare un'impresa che usa l'IA

  • Censimento — quali sistemi di IA girano in azienda, compresi quelli dentro software di terzi e quelli usati informalmente dai dipendenti;
  • Classificazione — valutazione del rischio per ciascun caso d'uso, documentata;
  • AI literacy — l'art. 4 impone dal febbraio 2025 un livello adeguato di alfabetizzazione del personale che usa l'IA: formazione breve, mirata, tracciata;
  • Policy interne — regole d'uso degli strumenti di IA generativa: cosa si può inserire, cosa no, chi risponde degli output;
  • Presidio dei fornitori — clausole contrattuali e verifiche su chi ti vende software con IA dentro;
  • Governance — responsabilità assegnate, controllo umano sui processi ad alto rischio, monitoraggio nel tempo.

Un cantiere unico con GDPR e 231

I sistemi di IA trattano quasi sempre dati personali, e le decisioni automatizzate toccano il GDPR prima ancora dell'AI Act. E per gli enti con Modello 231, l'uso scorretto dell'IA è un rischio operativo nuovo che la mappatura deve intercettare. Per questo lo Studio tratta le tre discipline come un cantiere unico: adeguamento GDPR, Modello 231 e OdV, AI Act.

Domande frequenti

Uso solo ChatGPT e strumenti simili: l'AI Act mi riguarda?

Sì, come deployer: dall'obbligo di alfabetizzazione del personale (art. 4, già in vigore) alle regole di trasparenza quando l'output dell'IA raggiunge clienti o dipendenti. Gli obblighi crescono con il rischio del caso d'uso, non con la dimensione dell'azienda.

Quali usi sono "ad alto rischio"?

Tra gli altri: selezione e gestione del personale, accesso al credito e scoring, istruzione, componenti di sicurezza. Se un tuo processo usa l'IA in queste aree — anche tramite un software comprato — scattano obblighi specifici di controllo umano, monitoraggio e documentazione.

Quali sono le scadenze?

Il regolamento è in vigore dal 1° agosto 2024, con applicazione scaglionata: divieti e obbligo di AI literacy da febbraio 2025, regole sui modelli di IA per finalità generali da agosto 2025, il grosso degli obblighi — inclusi i sistemi ad alto rischio — da agosto 2026. Il tempo per adeguarsi con calma è adesso.

Cosa rischia chi non si adegua?

Sanzioni fino a 35 milioni di euro o al 7% del fatturato mondiale per le violazioni più gravi, con soglie inferiori per gli altri obblighi. Ma prima delle sanzioni conta il rischio operativo: contratti, responsabilità verso clienti e dipendenti, danno reputazionale.

Usi l'IA in azienda e non sai da dove cominciare?

Il punto di partenza è sempre lo stesso: un censimento onesto di cosa gira davvero. Un incontro di un'ora basta per impostarlo. Scrivimi.

Scrivimi

Contatti

Studio Grammenidis

Viale della Libertà, 212 — 95129 Catania
Tel. 392 413 40 67 · Email segreteria@sdgp.it
PEC: dimitrios.grammenidis@pec.odcec.ct.it
Ricevo su appuntamento; per la revisione legale e la consulenza alle procedure opero in tutta Italia con incontri in videoconferenza.