Domanda legittima. La risposta breve: non domani, ma prima di quanto pensi — e quando succede, trovi la documentazione o paghi.
Ogni stato membro deve designare una National Competent Authority (NCA). In Italia l’autorità competente designata è l’ACN — Agenzia per la Cybersicurezza Nazionale, che svolge il ruolo di supervisore nazionale per il Reg. UE 2024/1689. A livello europeo c’è l’EU AI Office, che gestisce i casi cross-border e i modelli AI più grandi.
Agenzia per la Cybersicurezza Nazionale — NCA italiana per il Reg. UE 2024/1689. Controllo su tutti i sistemi AI operativi nel territorio italiano.
Casi cross-border, modelli GPAI con rischio sistemico, coordinamento tra NCA nazionali.
Non aspettarti un’ispezione a freddo. I controlli partono da quattro trigger concreti:
Un candidato discriminato da un algoritmo di selezione, un credito negato ingiustamente, una decisione medica errata. Chi subisce il danno fa un reclamo, l’autorità apre un’istruttoria e ti chiede la documentazione.
Un dipendente, un concorrente, un’associazione di consumatori. Non lo controlli tu, e basta una segnalazione formale per far partire un’ispezione.
Le autorità faranno campagne tematiche su settori ad alto rischio, esattamente come ha fatto il Garante Privacy dopo il GDPR. HR, fintech, healthcare saranno i primi.
Per i sistemi ad alto rischio la registrazione è obbligatoria. L’autorità può verificarla in autonomia, senza bisogno di incidenti.
Guarda cosa è successo con il GDPR: entrato in vigore nel 2018, prime sanzioni pesanti nel 2019–2020, enforcement sistematico dal 2022. L’AI Act seguirà lo stesso schema.
| Periodo | Cosa aspettarsi |
|---|---|
| 2025–2026 | Le autorità si organizzano. Prime linee guida, nessuna sanzione pesante. |
| 2026–2027 | Primi incidenti → prime istruttorie → prime sanzioni sui casi più evidenti. |
| 2027–2028 | Enforcement sistematico. Sweep settoriali. Sanzioni routinarie. |
Non è avere un sistema perfettamente conforme — è avere la documentazione che dimostra che ci hai provato. Davanti all’autorità, la buona fede documentata è la difesa legale più forte che esiste. Riduce drasticamente la sanzione, spesso la trasforma in un warning. Chi non ha nulla da mostrare non ha questa opzione.
Probabilmente hai ragione. Il Garante non busserà alla tua porta domani mattina. Il problema è che il Garante è l’ultimo anello della catena. Prima di lui arrivano quattro cose che non controlli tu.
Chi viene scartato da un algoritmo di selezione, o monitorato da un sistema AI sul lavoro, può fare un esposto con un click. Non serve un’ispezione proattiva — basta una segnalazione.
Le grandi aziende stanno già inserendo clausole di AI compliance nei contratti con i fornitori. Se vendi a una banca, a una compagnia assicurativa, a un gruppo industriale — tra 12–18 mesi ti arriverà un questionario sulla tua AI governance. Chi non risponde perde il contratto.
Le assicurazioni cyber e le banche stanno iniziando a valutare il rischio AI dei clienti nei processi di underwriting e credito. Nessuna documentazione significa rischio più alto — premio assicurativo più alto, o credito più difficile.
Un sistema AI che prende una decisione sbagliata su un cliente o un dipendente. Non serve il Garante: basta una causa civile o la notizia che esce. In quel momento non avere documentazione è la cosa peggiore che ti possa capitare.
Actify non ti vende protezione dal Garante. Ti vende protezione da tutto il resto.
Nel 2018 le PMI dicevano esattamente la stessa cosa. “Tanto da me non ci vengono.” Poi sono arrivate le prime sanzioni — non per violazioni gravi, ma perché qualcuno aveva fatto un esposto o un cliente enterprise aveva chiesto la documentazione e non c’era.
L’AI Act seguirà lo stesso schema. Con il GDPR le PMI hanno avuto anni per adeguarsi prima dell’enforcement serio. Con l’AI Act quella finestra si sta chiudendo adesso.
Prova adesso: apri ChatGPT e scrivi “sono conforme all’AI Act?”
Non sa nulla di te. Non sa quali sistemi AI usi, come li usi, chi li usa in azienda, se sei fornitore o deployer, quali categorie di rischio li riguardano. Ti risponderà con informazioni generiche sull’AI Act — le stesse che trovi su Google.
Per ottenere una valutazione seria devi sapere esattamente cosa chiedere: distinguere tra provider e deployer, identificare correttamente la categoria di rischio del tuo sistema, capire se sei escluso dall’ambito applicativo, quali obblighi scattano e quando. Questa è competenza specialistica, non prompting.
Discrimina ogni sistema AI che usi — non “usi AI sì/no”, ma quale, come, per cosa, su chi. Il risultato è un profilo d’uso reale, non una risposta generica.
Mappa il tuo profilo d’uso sugli obblighi specifici del Regolamento, incluse le sanzioni applicabili — fino al 3–7% del fatturato globale — per ogni gap trovato.
Produce automaticamente i documenti mancanti: registri, valutazioni di conformità, politiche d’uso, informative di trasparenza. Quello che un consulente ti fattura a giorni/uomo, Actify lo genera in secondi.
Un asset che ti serve non solo per il Garante — ma per audit interni, questionari da clienti enterprise, banche, assicurazioni, e ogni futuro aggiornamento normativo.
ChatGPT ti spiega l’AI Act.
Actify ti dice se e come ti riguarda, la tua esposizione in termini di sanzioni e cosa può automatizzare — e tutto ciò che può automatizzare, lo automatizza.
La domanda giusta. L’AI Act non parla di “intelligenza artificiale” in senso generico: definisce un perimetro preciso. Molte aziende che pensano di non essere coinvolte lo sono — e viceversa.
L’AI Act si applica a qualsiasi sistema basato su machine learning, logica e metodi statisticiche genera output — predizioni, decisioni, raccomandazioni, contenuti — in grado di influenzare ambienti reali o virtuali. Non serve che il sistema sia “intelligente” nel senso comune del termine.
Tool di screening CV, scoring dei candidati, sistemi di valutazione delle performance, rilevamento presenze con analisi comportamentale. Categoria: alto rischio. Obblighi pesanti.
Scoring creditizio, valutazione del rischio assicurativo, rilevamento frodi basato su ML, raccomandazioni di investimento automatizzate. Categoria: alto rischio.
Assistenti virtuali che interagiscono con clienti. Se non dichiarano di essere AI rischiano violazioni di trasparenza (Art. 50). Categoria: rischio limitato — obblighi di disclosure.
Sistemi che profilano utenti per personalizzare offerte o contenuti. A seconda delle categorie di dati usate e dell’impatto sulle decisioni, possono rientrare in categorie di rischio significativo.
Non puoi sapere se sei coinvolto finché non mappi cosa usi e come lo usi. Il primo passo è un AI Inventory: censire ogni sistema AI dell’azienda, classificarlo per ruolo (provider/deployer) e livello di rischio. Actify lo fa guidandoti passo dopo passo, in meno di un’ora per la prima mappatura.
Sì, cambia moltissimo. È una delle distinzioni più importanti dell’AI Act — e quella che genera più confusione nelle aziende.
| Ruolo | Chi sei | Esempio |
|---|---|---|
| Provider | Sviluppi e commercializzi il sistema AI | Costruisci un tool di screening CV che vendi alle HR |
| Deployer | Usi un sistema AI sviluppato da altri nel tuo contesto operativo | Usi ChatGPT, un CRM con AI, un tool di scoring acquistato |
Documentazione tecnica completa del sistema, gestione dei rischi, registrazione nel database EU per sistemi ad alto rischio, marcatura CE, supervisione post-mercato, notifica incidenti all’autorità. Se sei Provider di un sistema ad alto rischio, hai gli obblighi più onerosi del Regolamento.
Supervisione umana, uso conforme alle istruzioni del provider, formazione del personale (Art. 4 — AI Literacy), non modificare il sistema in modi non previsti, comunicare incidenti al provider. Meno documentazione tecnica, ma responsabilità operative concrete.
La maggior parte delle PMI italiane sono Deployer: usano tool AI di terzi (OpenAI, Google, Salesforce AI, strumenti HR, chatbot acquistati). Non hanno l’onere della documentazione tecnica del sistema, ma hanno l’obbligo di formare il personale, garantire supervisione umana e documentare l’uso conforme.
Actify classifica automaticamente ogni sistema censito come Provider o Deployer e mostra gli obblighi specifici per ciascun ruolo. Non devi interpretare tu il Regolamento: il sistema lo fa per te, articolo per articolo.
Le cifre nel Regolamento fanno effetto, ma la domanda giusta non è “quanto è il massimo?” — è “qual è la mia esposizione realistica?”
| Violazione | Sanzione massima |
|---|---|
| Sistemi AI vietati (Art. 5) — es. social scoring, manipolazione subliminale | 35 M€ o 7% fatturato globale |
| Obblighi per sistemi ad alto rischio non rispettati | 15 M€ o 3% fatturato globale |
| Informazioni false o incomplete all’autorità | 7,5 M€ o 1% fatturato globale |
Le sanzioni massime riguardano le grandi violazioni sistemiche. Per una PMI che usa AI di terzi in modo non documentato, i rischi concreti sono diversi:
Il caso più frequente per chi non ha documentazione ma non ha causato danni. Hai 30–60 giorni per metterti in regola. Se non lo fai, arriva la sanzione.
Per una PMI da 5 M€ di fatturato, il 3% significa 150.000€. Non è il massimo, ma è reale — specialmente se c’è stato un incidente o un reclamo formale.
Più della sanzione, il rischio concreto è perdere contratti con grandi clienti che richiedono documentazione AI governance, e il danno reputazionale da un incidente pubblico.
La Fine Estimation Board di Actify calcola la tua esposizione sanzionatoria reale articolo per articolo, basandosi sul tuo profilo aziendale e sui sistemi AI censiti. Non sono numeri astratti: sono cifre specifiche per la tua situazione.
No — e saremmo disonesti a dirlo. Actify è uno strumento operativo, non un servizio di consulenza legale. La distinzione è importante, ed è giusto chiarirla.
| Actify fa | Actify non fa |
|---|---|
| Censisce e classifica i tuoi sistemi AI per livello di rischio | Fornire pareri legali vincolanti su casi specifici |
| Mappa i gap rispetto agli obblighi dell’AI Act | Rappresentarti davanti all’autorità in caso di istruttoria |
| Genera automaticamente i documenti di compliance | Interpretare il Regolamento in casi legalmente ambigui |
| Calcola l’esposizione sanzionatoria estimata | Sostituire la due diligence legale in operazioni M&A |
| Traccia la formazione del personale (Art. 4) | Garantire l’esito di un procedimento sanzionatorio |
Il modello più efficace che vediamo nelle aziende che si stanno attrezzando seriamente:
Inventory, classificazione, gap analysis, generazione documenti, monitoraggio continuo. Tutto ciò che è sistematico e ripetibile. Questo è il 90% del lavoro.
Sistemi ad alto rischio con ambiguità classificatorie, contratti con clienti enterprise che richiedono garanzie legali, situazioni al confine con pratiche vietate. Il consulente lavora su casi specifici ad alto valore, non sul lavoro di base.
Usare Actify riduce il costo della consulenza legale, non la elimina. Arrivare dal consulente con un inventory già fatto, i gap identificati e i documenti generati significa pagare ore di analisi strategica, non ore di data collection.
No. Questa è la cosa più pericolosa che circola in questo momento. Il rinvio esiste, ma riguarda una parte specifica degli obblighi — non il Regolamento nel suo complesso.
Il pacchetto Digital Omnibus, concordato a maggio 2026 e in via di adozione formale, sposta solo gli obblighi più pesanti sui sistemi ad alto rischio:
| Cosa | Nuova scadenza |
|---|---|
| Obblighi per sistemi AI autonomi ad alto rischio (Allegato III) | 2 dicembre 2027 |
| Obblighi per AI integrata in prodotti regolati (Allegato I — es. dispositivi medici, automotive) | 2 agosto 2028 |
In vigore dal 2 febbraio 2025. Social scoring, manipolazione subliminale, riconoscimento biometrico in tempo reale in spazi pubblici. Due nuovi divieti entrano in vigore il 2 dicembre 2026.
In vigore dal 2 agosto 2026. Ogni azienda che usa AI deve garantire che il personale abbia una competenza adeguata. Obbligo attivo tra poche settimane, non nel 2027.
In vigore dal 2 agosto 2026. Dichiarare che un chatbot è un’AI, etichettare i contenuti generati artificialmente (immagini, video, audio). Se hai un assistente virtuale sul sito, questo obbligo ti riguarda già.
Per una PMI che usa AI di terzi, gli obblighi che ti riguardano non sono stati rinviati. Il rinvio al 2027–2028 riguarda chi sviluppa sistemi ad alto rischio. Chi usa ChatGPT, tool HR, CRM con AI, chatbot — ha scadenze attive nel 2026.
No — e diffida di chi te lo promette. Actify non è uno studio legale e non può garantire l’esito di un procedimento sanzionatorio. Ma può cambiare radicalmente la tua posizione se dovesse succedere qualcosa.
Inventario dei sistemi AI, classificazioni motivate articolo per articolo, evidenze di formazione del personale, log degli aggiornamenti. Davanti all’autorità, questo è la prova tangibile della buona fede.
Attestati di compliance, dichiarazioni di trasparenza, piano di gestione dei rischi, report Art. 4 sulla literacy del personale. Documenti formali, strutturati, pronti per essere consegnati all’autorità o a un cliente enterprise.
La compliance non è un evento una tantum — è uno stato continuativo. Actify tiene traccia di cosa hai chiuso e cosa resta aperto, così non ti fai trovare impreparato.
Ci sono situazioni in cui Actify da solo non basta e un professionista qualificato è necessario: sistemi ad alto rischio con classificazioni ambigue, procedimenti sanzionatori già aperti, contratti enterprise che richiedono garanzie legali, operazioni di M&A con due diligence AI. In questi casi lo diciamo esplicitamente — non promettiamo ciò che non possiamo dare.
La differenza tra chi subisce una sanzione pesante e chi riceve un warning spesso non è la gravità della violazione — è quanto hai da mostrare. Actify si assicura che tu abbia sempre qualcosa da mettere sul tavolo.