DataGovern
Classificazione automatica del rischio AI, documentazione tecnica e verifica continua di conformità. On-premise, con LLM open source.
Scopri DataGovern →Admina Enterprise
Governance AI open per le applicazioni in produzione: audit trail, PII redaction, policy bidirezionali. AI Act nativo.
Scopri Admina Enterprise →
Intelligenza Artificiale
Consulenza EU AI Act: classificazione dei sistemi, policy, governance AI, formazione.
Scopri →Il contesto
L’EU AI Act (Regolamento UE 2024/1689) è il primo quadro normativo al mondo che disciplina l’uso dell’intelligenza artificiale. Entrato in vigore il 1 agosto 2024, prevede un’applicazione graduale:
- Febbraio 2025: divieto delle pratiche AI proibite (social scoring, manipolazione subliminale, sorveglianza biometrica di massa)
- Agosto 2025: obblighi per i modelli AI general-purpose (GPAI) e strutture di governance
- Agosto 2026: obblighi principali per i sistemi AI ad alto rischio (Allegato III)
- Agosto 2027: obblighi per i sistemi AI in prodotti regolamentati (Allegato I)
Le sanzioni sono tra le più elevate nel panorama regolamentare europeo: fino al 7% del fatturato globale per le pratiche proibite, 3% per i sistemi ad alto rischio non conformi, 1% per informazioni false alle autorità.
Cosa devono fare le aziende italiane
1. Inventario dei sistemi AI
Il primo passo è identificare tutti i sistemi che utilizzano AI, inclusi quelli forniti da terzi (SaaS, API, modelli embedded). Secondo Deloitte (2024), meno del 25% delle organizzazioni ha completato questo censimento.
2. Classificazione del rischio
Ogni sistema va categorizzato sulla scala definita dal regolamento:
- Proibito: social scoring, manipolazione, sorveglianza biometrica di massa
- Alto rischio: sistemi AI in ambito sanitario, creditizio, HR, giustizia, infrastrutture critiche
- Rischio limitato: chatbot e sistemi con obbligo di trasparenza
- Rischio minimo: la maggior parte dei sistemi AI — nessun obbligo specifico
3. Valutazione di conformità
Per i sistemi ad alto rischio è necessario predisporre:
- Documentazione tecnica completa
- Sistema di gestione del rischio
- Requisiti di qualità dei dati di training
- Trasparenza e supervisione umana
- Accuratezza, robustezza e cybersecurity
4. Governance interna
L’organizzazione deve definire:
- Politiche interne sull’uso dell’AI
- Ruoli e responsabilità (chi supervisiona i sistemi AI)
- Formazione del personale
- Procedure di monitoraggio post-deployment
Le sovrapposizioni con GDPR e NIS2
L’AI Act non vive in isolamento. Si sovrappone con:
- GDPR: protezione dei dati personali usati per il training, valutazione d’impatto (DPIA), diritti degli interessati
- NIS2: cybersecurity dei sistemi AI nelle infrastrutture critiche, incident reporting, gestione del rischio
McKinsey (2024) stima che gestire le tre normative in silos costa il 40-60% in più rispetto a un approccio integrato. Con una piattaforma unificata, il costo incrementale scende al 10-15%.
Le scadenze
| Scadenza | Obbligo |
|---|---|
| Feb 2025 | Pratiche AI proibite |
| Ago 2025 | GPAI + governance |
| Ago 2026 | Sistemi ad alto rischio (Allegato III) |
| Ago 2027 | Prodotti regolamentati (Allegato I) |
Fonti: Regolamento UE 2024/1689 (EU AI Act), PwC EU AI Act Survey 2024, Deloitte State of AI 2024, McKinsey “The compliance convergence” 2024.