Perché ora

L'AI Act trasforma l'uso dell'AI in una responsabilità documentabile.

Per molte aziende il rischio non è avere “troppa AI”. È non sapere dove viene usata, da chi, con quali dati e con quali controlli. La preparazione parte da una domanda semplice: se domani un cliente, un investitore o l'ufficio legale vi chiedesse prove, sapreste da dove iniziare?

Aggiornato a maggio 2026 Tempo di lettura: 6 minuti

L'AI è entrata in azienda più in fretta dei processi che dovrebbero governarla. Un team usa strumenti generativi per preparare offerte, un altro sintetizza le richieste di assistenza, l'HR prova software di screening, l'ufficio finanza automatizza la lettura delle fatture. Preso singolarmente, ogni uso può sembrare gestibile. Messi insieme, diventano una questione di responsabilità.

L'AI Act non vieta improvvisamente di usare l'AI. Chiede però alle aziende di sapere cosa stanno usando, in quale contesto, con quali dati, con quali rischi e con quale controllo umano. È una questione organizzativa, prima ancora che legale.

Le scadenze non sono tutte nel futuro.

Molti parlano dell'AI Act come di qualcosa che arriverà “più avanti”. È una lettura comoda, ma sbagliata. Il calendario è già partito e le aziende che aspettano la richiesta formale rischiano di dover ricostruire mesi di uso dell'AI sotto pressione.

1 agosto 2024

L'AI Act entra in vigore

Da quel momento il regolamento smette di essere una bozza da guardare a distanza e diventa il quadro europeo dentro cui si muove l'adozione dell'AI.

2 febbraio 2025

Divieti e alfabetizzazione AI iniziano ad applicarsi

Le aziende devono prestare attenzione alle pratiche vietate e alla competenza delle persone che usano o supervisionano sistemi AI.

2 agosto 2025

Governance e modelli AI di uso generale

Entrano in applicazione altre parti del regolamento, comprese le regole di governance e gli obblighi sui modelli AI di uso generale.

2 agosto 2026

Applicazione generale del regolamento

Molte regole diventano operative. Alcune aree hanno tempi di transizione specifici, ma il lavoro interno di mappatura non può aspettare l'ultima scadenza.

Alcune regole hanno eccezioni, periodi di transizione e possibili aggiornamenti. Per una media azienda B2B il punto non è memorizzare ogni articolo, ma costruire una base di documenti aggiornabile nel tempo.

La domanda giusta non è “siamo in regola?”. È “possiamo dimostrare come usiamo l'AI, se qualcuno ce lo chiede?”.

Non riguarda solo chi sviluppa modelli AI.

Molte aziende non costruiscono modelli, non vendono sistemi ad alto rischio e non hanno un team di ricerca AI. Però usano l'AI dentro processi reali: HR, marketing, vendite, prodotto, finanza, assistenza clienti, operations. Tanto basta per creare responsabilità operative.

Prima di classificare qualsiasi cosa serve un inventario. Ogni caso d'uso dovrebbe avere una finalità, un responsabile, uno strumento, una descrizione dei dati trattati, una prima valutazione del rischio e i documenti collegati. Senza questa base, anche il miglior parere legale parte da informazioni incomplete.

Le multe danno il contesto, ma non sono il punto di partenza.

L'AI Act prevede sanzioni importanti. Usarle però come unico argomento produce paura, non metodo. Il valore concreto per un'azienda è un altro: ridurre il caos interno prima che diventi un problema davanti a clienti, investitori, ufficio acquisti o autorità.

Pratiche AI vietate fino a €35M o 7% del fatturato mondiale
Violazioni di obblighi per fornitori, utilizzatori e trasparenza fino a €15M o 3% del fatturato mondiale
Informazioni scorrette, incomplete o fuorvianti alle autorità fino a €7,5M o 1% del fatturato mondiale

Per PMI e startup valgono criteri specifici. L'entità delle sanzioni dipende dal caso concreto. Actus non calcola multe, non certifica la conformità e non sostituisce il parere legale.

La richiesta arriverà come verifica formale.

Nella pratica, l'urgenza raramente arriva con una lettera dell'autorità. Arriva con la domanda di un grande cliente, una verifica dell'ufficio acquisti, un'operazione di investimento, una riunione del consiglio di amministrazione o una richiesta dell'ufficio legale.

Quali sistemi AI usate nelle diverse funzioni aziendali?

Quali dati entrano in quei sistemi e chi ne subisce l'impatto?

Chi è responsabile di ogni caso d'uso AI?

Avete una valutazione preliminare del rischio?

Avete verificato fornitori, conservazione dei dati, hosting e subfornitori?

Potete dimostrare formazione, policy e controllo umano?

Il primo passo non è scrivere una policy.

Una policy generica può sembrare rassicurante, ma se non è collegata agli usi reali resta un documento isolato. Il lavoro utile comincia dal registro: quali casi d'uso esistono, chi li gestisce, quali documenti mancano e cosa deve essere rivisto.

  1. Raccogliere i casi d'uso reali dell'AI, funzione per funzione.
  2. Assegnare un responsabile a ogni caso d'uso.
  3. Documentare finalità, dati, strumenti, fornitori e persone coinvolte.
  4. Fare una valutazione preliminare del rischio, sempre rivedibile.
  5. Collegare verifica fornitori, prove di formazione e policy ai casi reali.
  6. Preparare un dossier di documenti da far verificare a persone responsabili.

Come entra Actus

Da usi dell'AI sparsi a documenti pronti per la revisione.

Actus aiuta ufficio legale, operations e responsabili di funzione a costruire un registro degli usi AI, fare una valutazione preliminare del rischio, individuare i documenti mancanti e generare un dossier da far verificare internamente. Non promette scorciatoie verso la conformità. Dà struttura al lavoro che serve prima di ogni revisione seria.

Richiedi accesso Torna alla home