L’EU AI Act (Regolamento UE 2024/1689), il primo quadro normativo organico al mondo sull’intelligenza artificiale, si applica per fasi. Dopo il divieto delle pratiche vietate (febbraio 2025) e gli obblighi sui modelli di uso generale (agosto 2025), ad agosto 2026 scatta la parte più sostanziosa: gli obblighi sui sistemi di AI ad alto rischio e gran parte delle altre disposizioni. Vediamo cosa significa concretamente per una PMI italiana.
Come funziona l’AI Act: l’approccio per rischio
Il regolamento classifica i sistemi di AI per livello di rischio:
| Livello | Esempi | Obblighi |
|---|---|---|
| Vietato | Social scoring, manipolazione, certi usi biometrici | Proibiti |
| Alto rischio | AI per selezione del personale, credito, dispositivi medici, infrastrutture critiche | Obblighi stringenti (gestione rischio, dati, documentazione, sorveglianza umana, ecc.) |
| Rischio limitato | Chatbot, AI generativa “general purpose” | Obblighi di trasparenza (dichiarare che si interagisce con un’AI / che un contenuto è generato) |
| Rischio minimo | Filtri spam, gran parte degli usi quotidiani | Nessun obbligo specifico |
La buona notizia per la maggior parte delle PMI
La maggioranza delle PMI italiane usa l’AI come utilizzatore (deployer) di strumenti general-purpose — tipicamente Microsoft 365 Copilot per produttività, redazione, analisi. Questi usi ricadono in larga parte nel rischio limitato/minimo, non nell’alto rischio. Gli obblighi principali, in questi casi, sono di trasparenza e uso consapevole, non le pesanti procedure dell’alto rischio.
Attenzione però a quando si entra nell’alto rischio: se usi (o sviluppi) AI per selezione del personale, valutazione del merito creditizio, o in prodotti regolamentati, gli obblighi cambiano radicalmente.
Cosa fare adesso
- Fai l’inventario dei sistemi di AI che usi (incluse funzioni AI dentro software che già usi) e classificali per rischio.
- Identifica eventuali usi ad alto rischio (HR, credito, biometria, sicurezza prodotti): lì servono procedure specifiche.
- Trasparenza: informa le persone quando interagiscono con un’AI o ricevono contenuti generati da AI.
- Formazione e governance interna (AI literacy): è un requisito esplicito che il personale che usa l’AI ne comprenda limiti e rischi.
- Verifica i fornitori: chi fornisce i sistemi di AI ha obblighi propri — pretendi documentazione e conformità.
Cosa significa per chi usa Copilot
Usare Microsoft 365 Copilot per scrivere email, riassumere riunioni o analizzare fogli non è un uso ad alto rischio. Ma l’AI Act spinge comunque verso buone pratiche che fanno bene a prescindere: sapere cosa fa l’AI, formare le persone, non delegarle decisioni sensibili senza supervisione umana. È lo stesso approccio che riduce anche i 5 errori più comuni nell’adoption di Copilot.
Per impostare un uso dell’AI consapevole e conforme in azienda, parla con un nostro consulente.
Nota: articolo informativo, non costituisce consulenza legale. La classificazione di rischio e gli obblighi vanno verificati sul testo del Reg. UE 2024/1689 e sulle linee guida ufficiali.