AI Act e compliance

AI Act e AI responsabile: cosa deve sapere una PMI

Dal 2025 l'AI in Europa ha una legge: l'AI Act. Una PMI che usa l'AI ha quattro fronti da presidiare: legge, dati personali, governo interno e sicurezza. Il primo passo è semplice: mappare dove usi l'AI.

luglio 2026

In una frase

Dal 2025 l'AI in Europa ha una legge: l'AI Act. Non devi diventare un esperto di diritto, ma una PMI che usa l'AI ha quattro fronti da presidiare — la legge (AI Act), i dati personali (GDPR), il governo interno (chi decide e come) e la sicurezza del modello. La buona notizia: il primo passo è semplice ed economico — mappare dove usi l'AI.

AI responsabile: i quattro fronti

LA LEGGE       →  EU AI Act  (cosa puoi e non puoi fare)
IL GOVERNO     →  policy e processi interni  (NIST, ISO 42001)
I DATI         →  GDPR  (se tratti dati personali)
LA SICUREZZA   →  prompt injection & co.  (OWASP)

L'AI Act in due minuti: la legge "a semaforo"

L'EU AI Act (Regolamento UE 2024/1689) è la prima legge organica al mondo sull'intelligenza artificiale. Non regola la tecnologia in sé, ma l'uso che se ne fa, in base al rischio: più alto il rischio per le persone, più stringenti gli obblighi.

Classe di rischioEsempi tipiciCosa comporta
Inaccettabilesocial scoring, manipolazione, sorveglianza biometrica di massavietati
Alto rischioselezione del personale, credit scoring, dispositivi medici, giustiziaobblighi forti: gestione del rischio, qualità dei dati, documentazione, sorveglianza umana, valutazione di conformità
Rischio limitatochatbot, contenuti generati dall'AItrasparenza: dire che si sta parlando con un'AI, marcare i contenuti generati
Rischio minimola gran parte dei sisteminessun obbligo specifico
La maggior parte degli usi di una PMI ricade in rischio limitato o rischio minimo: l'obbligo tipico è la trasparenza, non la burocrazia dell'alto rischio. Ma se usi l'AI per assumere o valutare il merito creditizio, sei in alto rischio — lì gli obblighi sono seri.

Le scadenze (ma attenzione: sono in movimento)

1 ago 2024  │  l'AI Act entra in vigore
2 feb 2025  │  DIVIETI + obbligo di "AI literacy" (formare chi usa l'AI)
2 ago 2025  │  obblighi grandi modelli generali (GPT, Claude, Gemini) + SANZIONI attive
2 ago 2026  │  applicazione GENERALE + TRASPARENZA (dichiarare i bot, marcare i contenuti)
2 dic 2027  │  sistemi ad ALTO RISCHIO "stand-alone" (Allegato III)
2 ago 2028  │  AI ad alto rischio dentro prodotti regolati (Allegato I)
Aggiornamento (giugno 2026): il pacchetto Digital Omnibus è stato adottato e ha rinviato gli obblighi sui sistemi ad alto rischio (a dic 2027 / ago 2028). Quindi il 2 agosto 2026 fa scattare l'applicazione generale e la trasparenza, non ancora il grosso degli obblighi high-risk. Le sanzioni sono attive dal 2 ago 2025: fino a 35 milioni di € o il 7% del fatturato per gli usi vietati (per le PMI si applica l'importo più basso). Verifica sempre su fonte ufficiale.

Cosa significa per una PMI (e da dove partire)

Il punto che spesso sfugge: l'AI Act vincola anche chi usa l'AI, non solo chi la sviluppa. Ma per una piccola impresa non serve un piano faraonico: serve ordine. Il primo passo, economico e alla portata di tutti:

  1. Mappa — dove usi l'AI? (chatbot sul sito, generazione contenuti, screening dei CV, analisi clienti…)
  2. Classifica — in che classe di rischio ricade ciascun uso? (di solito rischio limitato/minimo; attenzione a HR e credito → alto rischio)
  3. Trasparenza — dichiari che è un'AI dove serve? Marchi i contenuti generati?
  4. AI literacy — il tuo team sa usarla con consapevolezza dei limiti (allucinazioni, dati)?
  5. Dati — stai dando dati personali a un'AI? Allora si attiva anche il GDPR (qui sotto).

Il governo interno: dai principi ai processi (AI Governance)

L'AI Act è la legge (il cosa); la AI Governance è il come lo metti in pratica in azienda. Non serve reinventare nulla: esistono framework di riferimento, complementari tra loro.

FrameworkCos'èA cosa ti serve
NIST AI RMFframework volontario — 4 funzioni: Govern, Map, Measure, Managevalutare e gestire il rischio AI
OECD AI Principlesprincipi adottati dal G20la bussola etica (hanno ispirato l'AI Act)
ISO/IEC 42001standard certificabile per un "sistema di gestione dell'AI"dimostrare la tua governance con una certificazione
Per una PMI: parti leggera. Una semplice policy d'uso dell'AI + la mappa dei sistemi valgono più di mille principi sulla carta. Il rischio da evitare è l'"ethics washing": dichiarare valori che poi non si traducono in processi.

I dati personali: l'AI Act non cancella il GDPR

Se l'AI tratta dati personali, si applica (anche) il GDPR (Reg. UE 2016/679), in parallelo all'AI Act. L'autorità europea (EDPB) ha chiarito alcuni nodi con l'Opinion 28/2024:

  • Base giuridica: spesso regge il legittimo interesse, ma serve un test di bilanciamento documentato (LIA).
  • Anonimato: un modello addestrato su dati personali non è automaticamente "anonimo" — lo è solo se quei dati non si possono più estrarre.
  • Decisioni automatizzate: se l'AI decide "da sola" su una persona (assunzione, fido), scattano le tutele dell'art. 22 GDPR.

In pratica, per una PMI:

  • Occhio ai prompt: non incollare dati personali non necessari in un'AI di terzi — quei dati escono verso il provider.
  • Informativa trasparente, DPIA per i trattamenti ad alto rischio, privacy by design (art. 25).
  • Per non esporre i dati a terzi: modelli on-premise / open-weight, RAG su basi controllate, dati sintetici.
  • In Italia: il Garante Privacy è attivo sul tema, e c'è la legge nazionale sull'IA da seguire.

La sicurezza: il rischio nuovo si chiama prompt injection

Gli LLM portano rischi di sicurezza inediti. Il principale — numero 1 nella OWASP Top 10 for LLM Applications — è la prompt injection: istruzioni malevole nascoste nell'input (o nei dati che il modello legge) che ne dirottano il comportamento.

  • Diretta: l'utente scrive istruzioni che alterano il comportamento del modello.
  • Indiretta: l'attacco è nascosto nei dati che il modello consuma (una pagina web, un documento in un RAG, un'email) — insidiosa soprattutto per gli agenti.
  • Jailbreak: input costruiti per far aggirare le protezioni di sicurezza del modello.
La prompt injection non ha una soluzione definitiva: si mitiga, non si elimina. Più l'AI compie azioni reali (un agente che invia email o spende denaro), più servono permessi stretti e human-in-the-loop sulle operazioni sensibili.

In sintesi

  • L'AI in Europa ha una legge — l'AI Act (Reg. UE 2024/1689) — con approccio a rischio e 4 classi "a semaforo".
  • Per una PMI gran parte degli usi è a rischio limitato/minimo → obbligo tipico la trasparenza; alto rischio (HR, credito) = obblighi seri.
  • Scadenze 2025–2028: il Digital Omnibus (adottato giu 2026) ha rinviato l'alto rischio a dic 2027 / ago 2028; sanzioni attive dal 2 ago 2025 (fino a 35 mln € o 7%).
  • Quattro fronti: legge (AI Act) · governo (NIST, ISO 42001) · dati (GDPR, EDPB 28/2024) · sicurezza (prompt injection, OWASP).
  • Primo passo concreto, semplice ed economico: mappare dove usi l'AI e in che classe di rischio ricade.

Fonti

  • EU AI Act: Regolamento (UE) 2024/1689 — EUR-Lex
  • GDPR: Regolamento (UE) 2016/679 — EUR-Lex
  • AI e protezione dati: EDPB, Opinion 28/2024 on data protection aspects of AI modelsedpb.europa.eu
  • Governance: NIST AI Risk Management Framework · OECD AI Principles · ISO/IEC 42001
  • Sicurezza: OWASP Top 10 for LLM Applicationsgenai.owasp.org

Materiale informativo a cura di Rayer Group. Non costituisce consulenza tecnica o legale personalizzata: per il caso concreto valutiamo insieme la situazione specifica.

Vuoi capire come può essere utile alla tua impresa?

Mezz'ora di confronto per capire cosa di tutto questo ha senso nel tuo caso concreto — e da dove conviene partire.

Prenota una call di approfondimento →