AI Act: checklist di conformità per le aziende

Per metterti in regola con l'AI Act (Regolamento IA, Regolamento UE 2024/1689) devi capire se sei fornitore o deployer, classificare il rischio di ogni sistema di AI, applicare gli obblighi della categoria corrispondente e documentare tutto. Per i sistemi ad alto rischio servono valutazione di conformità e marcatura CE. Usa la checklist qui sotto come punto di partenza. Informazione generale, non consulenza legale.

Sei fornitore o deployer ai sensi dell'AI Act?

Il primo passo è capire il tuo ruolo, perché determina gli obblighi a tuo carico. Il fornitore sviluppa un sistema di AI (o lo fa sviluppare) e lo immette sul mercato o lo mette in servizio con il proprio nome o marchio. Il deployer utilizza un sistema di AI nell'ambito di un'attività professionale. Un'azienda può essere entrambi: ad esempio se acquista un modello di terzi ma lo personalizza e lo rilancia sul mercato a proprio nome. Attenzione: modificare in modo sostanziale un sistema ad alto rischio o usarlo con un marchio proprio può trasformare un deployer in fornitore, con obblighi molto più gravosi.

La distinzione vale anche fuori dall'UE: per via della portata extraterritoriale del Regolamento IA, sei coinvolto se immetti sistemi sul mercato dell'Unione o se i loro output sono usati nell'UE, anche con sede negli Stati Uniti, nel Regno Unito o altrove.

Come classificare il rischio dei tuoi sistemi di AI?

A quale livello di rischio appartiene il tuo sistema?

Mappa ogni sistema di AI in uso o in sviluppo e assegnagli una delle quattro categorie. La classificazione guida tutto il resto del lavoro di conformità.

Se utilizzi modelli di AI per finalità generali (GPAI), verifica anche gli obblighi specifici di trasparenza e documentazione previsti per questi modelli, applicabili dal 2 agosto 2025.

Qual è la checklist di conformità passo-passo?

Segui questi passaggi per costruire un programma di conformità all'AI Act solido e tracciabile:

• Inventario. Censisci tutti i sistemi di AI sviluppati, acquistati o integrati, indicando ruolo (fornitore/deployer) e finalità d'uso.
• Classificazione del rischio. Assegna a ciascun sistema la categoria di rischio e documenta la motivazione.
• Alfabetizzazione all'AI. Forma il personale che sviluppa o utilizza l'AI: è un obbligo già applicabile dal 2 febbraio 2025.
• Gestione del rischio. Per i sistemi ad alto rischio, istituisci un sistema continuo di gestione del rischio lungo l'intero ciclo di vita.
• Governance dei dati. Verifica qualità, rappresentatività e assenza di bias nei set di dati di addestramento, validazione e test.
• Documentazione tecnica. Predisponi la documentazione tecnica, le istruzioni per l'uso e la registrazione automatica dei log.
• Sorveglianza umana. Progetta misure che consentano un controllo umano efficace sul sistema.
• Robustezza e cybersicurezza. Assicura accuratezza, robustezza e sicurezza adeguate al contesto d'uso.
• Trasparenza. Per i sistemi a rischio limitato, informa gli utenti ed etichetta deepfake e contenuti generati dall'AI.
• Valutazione di conformità. Per l'alto rischio, completa la valutazione di conformità, appone la marcatura CE e registra il sistema nella banca dati UE.
• Monitoraggio post-mercato. Attiva il monitoraggio successivo all'immissione e la segnalazione degli incidenti gravi.

Come funziona la valutazione di conformità e la marcatura CE?

Quando serve la marcatura CE per l'alto rischio?

I sistemi di AI ad alto rischio non possono essere immessi sul mercato dell'Unione senza una valutazione di conformità che dimostri il rispetto dei requisiti dell'AI Act. A seconda della tipologia, la valutazione può basarsi su un controllo interno del fornitore oppure richiedere il coinvolgimento di un organismo notificato indipendente, in particolare per i sistemi integrati in prodotti già regolamentati.

Superata la valutazione, il fornitore redige una dichiarazione di conformità UE, appone la marcatura CE e, per i sistemi autonomi ad alto rischio, registra il sistema nell'apposita banca dati dell'Unione. La conformità va mantenuta nel tempo: una modifica sostanziale richiede una nuova valutazione.

Quale documentazione e governance interna predisporre?

La conformità all'AI Act è soprattutto una questione di prove documentali e di responsabilità chiare. È opportuno mettere in atto:

• un registro dei sistemi di AI con classificazione del rischio e titolarità;
• policy interne su uso accettabile, sorveglianza umana e gestione degli incidenti;
• la documentazione tecnica e le istruzioni per l'uso di ciascun sistema ad alto rischio;
• ruoli e responsabilità definiti (un referente per la conformità AI, idealmente coordinato con DPO e funzione sicurezza);
• il coordinamento con il GDPR, integrando la valutazione d'impatto sulla protezione dei dati (DPIA) dove l'AI tratta dati personali;
• contratti e clausole con fornitori terzi che ripartiscano gli obblighi lungo la catena del valore.

Quali sono le tempistiche da rispettare?

Il Regolamento IA si applica per fasi. I divieti sulle pratiche vietate e gli obblighi di alfabetizzazione sono in vigore dal 2 febbraio 2025; gli obblighi per l'AI per finalità generali dal 2 agosto 2025. Gli obblighi per i sistemi ad alto rischio erano originariamente fissati al 2 agosto 2026 (Allegato III) e al 2 agosto 2027 (sistemi integrati in prodotti regolamentati, Allegato I).

Aggiornamento (giugno 2026): con il pacchetto di semplificazione Digital Omnibus, il 7 maggio 2026 le istituzioni UE hanno raggiunto un accordo politico provvisorio per posticipare gli obblighi sull'alto rischio (Allegato III al 2 dicembre 2027 e Allegato I al 2 agosto 2028). Il testo non è ancora adottato in via definitiva. Tratta quindi le date dell'alto rischio come non definitive e verifica lo stato della normativa sulle fonti ufficiali: non rinviare però l'inventario e la classificazione, che vanno avviati subito.

Come iniziare il percorso di conformità?

Non aspettare le scadenze finali: i tempi tecnici per documentazione, governance e valutazione di conformità sono lunghi. Parti da questi tre passi concreti: (1) crea l'inventario dei sistemi di AI e classifica il rischio; (2) elimina subito eventuali pratiche vietate e attiva la formazione del personale; (3) per i sistemi ad alto rischio, pianifica gestione del rischio, documentazione e valutazione di conformità con un calendario interno.

Per approfondire il quadro normativo, leggi la nostra guida cos'è l'AI Act e come funziona. Opsio, azienda nordica cloud e AI certificata ISO 27001, supporta le aziende nella mappatura dei rischi e nella governance dell'AI attraverso servizi di consulenza AI dedicati. Questo contenuto ha finalità informative e non sostituisce una consulenza legale qualificata.

Domande frequenti

Quando si applica l'AI Act alle aziende?

Per fasi: divieti dal 2 febbraio 2025, obblighi GPAI dal 2 agosto 2025, obblighi per l'alto rischio inizialmente dal 2 agosto 2026. Il Digital Omnibus 2026 ne propone il rinvio: verifica le date aggiornate sulle fonti ufficiali. Inventario e classificazione vanno comunque avviati subito.

L'AI Act si applica alla mia azienda anche se ha sede fuori dall'UE?

Sì, se immetti sistemi di AI sul mercato dell'Unione o se i loro output sono usati nell'UE. I fornitori extra-UE di sistemi ad alto rischio devono inoltre nominare un rappresentante autorizzato nell'Unione.

Qual è la differenza tra AI Act e GDPR nella checklist?

Il GDPR riguarda i dati personali, l'AI Act la sicurezza e l'affidabilità dei sistemi di AI. Sono complementari: nella checklist integra la DPIA del GDPR con la valutazione di conformità dell'AI Act quando l'AI tratta dati personali.

Quali sanzioni rischio in caso di non conformità?

Fino a 35 milioni di euro o al 7% del fatturato annuo mondiale (l'importo più alto) per le pratiche vietate, con massimali inferiori per le altre violazioni. Per le PMI gli importi sono ridotti.