C'è un equivoco diffuso sull'AI Act: che riguardi soltanto le grandi aziende tecnologiche che addestrano i modelli. Non è così. Il Regolamento (UE) 2024/1689 si rivolge a tutta la catena del valore — fornitori, deployer (chi mette in uso un sistema), importatori, distributori. Se la tua organizzazione usa l'IA per attività che toccano persone o processi regolati, sei dentro il perimetro. Con le scadenze europee che maturano per fasi e i decreti attuativi italiani della Legge 132/2025 in arrivo, conviene muoversi ora.
Ecco una checklist operativa per orientarsi.
Nota: questo è un punto di partenza pratico, non una valutazione di conformità completa né consulenza legale. Per i sistemi a rischio elevato serve un'analisi formale.
1. Fai l'inventario dei tuoi sistemi di IA
Non puoi governare ciò che non conosci. Censisci tutti i sistemi di IA in uso — inclusi quelli "nascosti" dentro software di terzi e i tool adottati informalmente dai team. Per ciascuno: a cosa serve, quali dati tratta, chi lo ha fornito, chi lo usa.
2. Classifica il rischio
L'AI Act ragiona per livelli di rischio: inaccettabile (vietato), alto (Allegato III: selezione del personale, credito, istruzione, infrastrutture critiche, giustizia, biometria…), rischio limitato (obblighi di trasparenza) e minimo. La maggior parte dei sistemi ricade in basso, ma sono quelli ad alto rischio a richiedere il grosso del lavoro. Identificarli è la decisione più importante.
3. Verifica i divieti
Alcune pratiche sono semplicemente proibite: social scoring, manipolazione subliminale, scraping indiscriminato di volti per costruire database di riconoscimento facciale, certe forme di categorizzazione biometrica. Sono le prime norme già applicabili. Assicurati di non usarle, nemmeno indirettamente tramite un fornitore.
4. Mappa i ruoli lungo la catena
Sei fornitore o deployer? Gli obblighi cambiano. Spesso un'azienda è deployer di sistemi di terzi e, senza accorgersene, diventa fornitore quando personalizza in modo sostanziale un sistema o lo mette sul mercato con il proprio marchio. Chiarire il ruolo definisce le responsabilità.
5. Pretendi trasparenza dai fornitori
Per i sistemi ad alto rischio servono documentazione tecnica, istruzioni d'uso, informazioni su dati di addestramento e limiti. Inseriscilo nei contratti: la conformità si costruisce anche con clausole e due diligence, non solo con la tecnologia.
6. Garantisci la sorveglianza umana
Per i sistemi ad alto rischio una persona deve poter comprendere, supervisionare e, se necessario, ribaltare l'output. I decreti italiani lo rendono molto concreto sul lavoro: nessuna decisione su assunzione, gestione o licenziamento può basarsi sul solo trattamento automatizzato. Progetta i processi di conseguenza.
7. Cura la governance dei dati
Dati di addestramento e di funzionamento devono essere pertinenti, rappresentativi e gestiti per ridurre i bias. È anche il punto di contatto con il GDPR: basi giuridiche, minimizzazione, valutazioni d'impatto. I due regimi vanno trattati insieme, non in silos separati.
8. Attiva logging e tracciabilità
I sistemi ad alto rischio devono registrare gli eventi in modo da consentire controllo e ricostruzione. Non è solo un requisito: i log sono ciò che ti permette di dimostrare la conformità, motivare una decisione a chi la subisce e difenderti in caso di contenzioso. Senza tracciabilità, l'onere della prova si ribalta contro di te.
9. Prepara le valutazioni e la documentazione
A seconda del caso possono servire una valutazione di conformità, una valutazione d'impatto sui diritti fondamentali (FRIA) per certi deployer, registrazioni in banche dati europee. Definisci chi è responsabile e con quali tempi. La documentazione richiesta è anche quella che servirà al danneggiato secondo le nuove tutele civili italiane.
10. Tieni d'occhio il calendario — ma non aspettarlo
Gli obblighi maturano per fasi e l'accordo sul Digital Omnibus del 2026 ha rinviato alcune scadenze per i sistemi ad alto rischio. È un sollievo, non un liberi tutti: i tempi di adeguamento — formazione, processi, contratti — sono lunghi, e i decreti italiani aggiungono il loro livello. Chi parte ora arriva pronto; chi aspetta la scadenza la rincorre.
Il filo conduttore: controllo
Quasi ogni punto di questa lista — trasparenza, sorveglianza umana, governance dei dati, logging, documentazione — è più semplice quando l'infrastruttura di IA è sotto il tuo controllo. È la ragione per cui molte organizzazioni che fanno sul serio con la conformità scelgono soluzioni on-premise come IntelligenceBox: quando i dati non lasciano il perimetro e ogni attività è registrata, rispondere alle domande dell'AI Act smette di essere un esercizio di fiducia verso terzi e diventa qualcosa che puoi dimostrare.
Per un approfondimento sui provvedimenti italiani, vedi il nostro articolo sui decreti attuativi della Legge 132/2025.
