AI Act e PMI italiane: cosa cambia davvero nei prossimi mesi
L'AI Act non riguarda solo chi sviluppa modelli: impatta anche le aziende che acquistano e usano sistemi AI pronti, con obblighi proporzionati al rischio.
La piramide del rischio
Il regolamento classifica i sistemi in quattro livelli: inaccettabile, alto, limitato e minimo.
- Rischio inaccettabile: usi vietati (es. social scoring governativo, scraping facciale indiscriminato).
- Rischio alto: ambiti sensibili con obblighi estesi di governance e conformita'.
- Rischio limitato: obblighi di trasparenza verso l'utente (chatbot, contenuti sintetici, deepfake).
- Rischio minimo: nessun obbligo specifico, ma codici di condotta raccomandati.
Scadenze operative da presidiare
2 febbraio 2025: divieti sui sistemi a rischio inaccettabile e alfabetizzazione AI del personale.
2 agosto 2025: obblighi per i fornitori di modelli general purpose.
2 agosto 2026: piena applicazione per sistemi ad alto rischio.
Cosa fare in azienda, senza burocrazia inutile
Per una PMI il percorso pratico parte da un inventario dei sistemi AI in uso, inclusi i copilot integrati nei software gia' presenti.
Poi si classifica il rischio di ogni sistema, si verifica la trasparenza verso utenti e clienti, si formalizza un piano di alfabetizzazione interno e si aggiornano i contratti con i fornitori.
Affrontare l'AI Act come leva di governance, e non solo come adempimento, riduce costi futuri e rischi reputazionali.
AI Act e GDPR: relazione corretta
AI Act e GDPR non si sostituiscono: il primo disciplina il sistema AI, il secondo il trattamento dei dati personali.
Quando un sistema AI tratta dati personali servono entrambi i fronti di compliance, idealmente in un framework unico di controllo.