Domande frequenti

FAQ — AI Act e Actify

Le domande che ci fanno sempre — con le risposte vere, non quelle di circostanza. Aggiornate con l’entrata in vigore del Reg. UE 2024/1689.

Q 01Chi controlla la compliance all'AI Act in Italia e quando?

Domanda legittima. La risposta breve: non domani, ma prima di quanto pensi — e quando succede, trovi la documentazione o paghi.

Chi controlla

Ogni stato membro deve designare una National Competent Authority (NCA). In Italia l’autorità competente designata è l’ACN — Agenzia per la Cybersicurezza Nazionale, che svolge il ruolo di supervisore nazionale per il Reg. UE 2024/1689. A livello europeo c’è l’EU AI Office, che gestisce i casi cross-border e i modelli AI più grandi.

🇮🇹
ACN Italia
Designata

Agenzia per la Cybersicurezza Nazionale — NCA italiana per il Reg. UE 2024/1689. Controllo su tutti i sistemi AI operativi nel territorio italiano.

🇪🇺
EU AI Office
Operativo

Casi cross-border, modelli GPAI con rischio sistemico, coordinamento tra NCA nazionali.

Cosa fa scattare un controllo

Non aspettarti un’ispezione a freddo. I controlli partono da quattro trigger concreti:

1
Un incidente documentato

Un candidato discriminato da un algoritmo di selezione, un credito negato ingiustamente, una decisione medica errata. Chi subisce il danno fa un reclamo, l’autorità apre un’istruttoria e ti chiede la documentazione.

2
Un reclamo di terzi

Un dipendente, un concorrente, un’associazione di consumatori. Non lo controlli tu, e basta una segnalazione formale per far partire un’ispezione.

3
Un sweep settoriale

Le autorità faranno campagne tematiche su settori ad alto rischio, esattamente come ha fatto il Garante Privacy dopo il GDPR. HR, fintech, healthcare saranno i primi.

4
Una verifica del database EU

Per i sistemi ad alto rischio la registrazione è obbligatoria. L’autorità può verificarla in autonomia, senza bisogno di incidenti.

Quando

Guarda cosa è successo con il GDPR: entrato in vigore nel 2018, prime sanzioni pesanti nel 2019–2020, enforcement sistematico dal 2022. L’AI Act seguirà lo stesso schema.

PeriodoCosa aspettarsi
2025–2026Le autorità si organizzano. Prime linee guida, nessuna sanzione pesante.
2026–2027Primi incidenti → prime istruttorie → prime sanzioni sui casi più evidenti.
2027–2028Enforcement sistematico. Sweep settoriali. Sanzioni routinarie.

La cosa che fa davvero la differenza

Non è avere un sistema perfettamente conforme — è avere la documentazione che dimostra che ci hai provato. Davanti all’autorità, la buona fede documentata è la difesa legale più forte che esiste. Riduce drasticamente la sanzione, spesso la trasforma in un warning. Chi non ha nulla da mostrare non ha questa opzione.

Q 02Sì ma tanto da me non ci vengono mai a controllare.

Probabilmente hai ragione. Il Garante non busserà alla tua porta domani mattina. Il problema è che il Garante è l’ultimo anello della catena. Prima di lui arrivano quattro cose che non controlli tu.

Le quattro cose che arrivano prima del Garante

1
Un dipendente o un candidato scontento

Chi viene scartato da un algoritmo di selezione, o monitorato da un sistema AI sul lavoro, può fare un esposto con un click. Non serve un’ispezione proattiva — basta una segnalazione.

2
I tuoi clienti enterprise

Le grandi aziende stanno già inserendo clausole di AI compliance nei contratti con i fornitori. Se vendi a una banca, a una compagnia assicurativa, a un gruppo industriale — tra 12–18 mesi ti arriverà un questionario sulla tua AI governance. Chi non risponde perde il contratto.

3
La tua banca e la tua assicurazione

Le assicurazioni cyber e le banche stanno iniziando a valutare il rischio AI dei clienti nei processi di underwriting e credito. Nessuna documentazione significa rischio più alto — premio assicurativo più alto, o credito più difficile.

4
Un incidente interno

Un sistema AI che prende una decisione sbagliata su un cliente o un dipendente. Non serve il Garante: basta una causa civile o la notizia che esce. In quel momento non avere documentazione è la cosa peggiore che ti possa capitare.

Actify non ti vende protezione dal Garante. Ti vende protezione da tutto il resto.

Una nota sul GDPR

Nel 2018 le PMI dicevano esattamente la stessa cosa. “Tanto da me non ci vengono.” Poi sono arrivate le prime sanzioni — non per violazioni gravi, ma perché qualcuno aveva fatto un esposto o un cliente enterprise aveva chiesto la documentazione e non c’era.

L’AI Act seguirà lo stesso schema. Con il GDPR le PMI hanno avuto anni per adeguarsi prima dell’enforcement serio. Con l’AI Act quella finestra si sta chiudendo adesso.

Q 03Non posso chiedere a ChatGPT se sono conforme all'AI Act?

Prova adesso: apri ChatGPT e scrivi “sono conforme all’AI Act?”

Non sa nulla di te. Non sa quali sistemi AI usi, come li usi, chi li usa in azienda, se sei fornitore o deployer, quali categorie di rischio li riguardano. Ti risponderà con informazioni generiche sull’AI Act — le stesse che trovi su Google.

Il problema non è la risposta. È la domanda.

Per ottenere una valutazione seria devi sapere esattamente cosa chiedere: distinguere tra provider e deployer, identificare correttamente la categoria di rischio del tuo sistema, capire se sei escluso dall’ambito applicativo, quali obblighi scattano e quando. Questa è competenza specialistica, non prompting.

Actify fa una cosa diversa

1
Ti guida con un form strutturato e preciso

Discrimina ogni sistema AI che usi — non “usi AI sì/no”, ma quale, come, per cosa, su chi. Il risultato è un profilo d’uso reale, non una risposta generica.

2
Fa il matching preciso tra te e l’AI Act

Mappa il tuo profilo d’uso sugli obblighi specifici del Regolamento, incluse le sanzioni applicabili — fino al 3–7% del fatturato globale — per ogni gap trovato.

3
Non si ferma alla diagnosi: genera i documenti

Produce automaticamente i documenti mancanti: registri, valutazioni di conformità, politiche d’uso, informative di trasparenza. Quello che un consulente ti fattura a giorni/uomo, Actify lo genera in secondi.

4
Mantiene aggiornato il tuo AI Inventory

Un asset che ti serve non solo per il Garante — ma per audit interni, questionari da clienti enterprise, banche, assicurazioni, e ogni futuro aggiornamento normativo.

ChatGPT ti spiega l’AI Act.
Actify ti dice se e come ti riguarda, la tua esposizione in termini di sanzioni e cosa può automatizzare — e tutto ciò che può automatizzare, lo automatizza.

Q 04Quali sistemi AI rientrano nell'AI Act? Il mio è coinvolto?

La domanda giusta. L’AI Act non parla di “intelligenza artificiale” in senso generico: definisce un perimetro preciso. Molte aziende che pensano di non essere coinvolte lo sono — e viceversa.

La definizione tecnica del Regolamento

L’AI Act si applica a qualsiasi sistema basato su machine learning, logica e metodi statisticiche genera output — predizioni, decisioni, raccomandazioni, contenuti — in grado di influenzare ambienti reali o virtuali. Non serve che il sistema sia “intelligente” nel senso comune del termine.

Esempi concreti di sistemi che rientrano nel perimetro

!
HR & Recruiting

Tool di screening CV, scoring dei candidati, sistemi di valutazione delle performance, rilevamento presenze con analisi comportamentale. Categoria: alto rischio. Obblighi pesanti.

!
Credito & Finanza

Scoring creditizio, valutazione del rischio assicurativo, rilevamento frodi basato su ML, raccomandazioni di investimento automatizzate. Categoria: alto rischio.

~
Chatbot & Customer Service AI

Assistenti virtuali che interagiscono con clienti. Se non dichiarano di essere AI rischiano violazioni di trasparenza (Art. 50). Categoria: rischio limitato — obblighi di disclosure.

~
Marketing & Personalizzazione

Sistemi che profilano utenti per personalizzare offerte o contenuti. A seconda delle categorie di dati usate e dell’impatto sulle decisioni, possono rientrare in categorie di rischio significativo.

Cosa fare adesso

Non puoi sapere se sei coinvolto finché non mappi cosa usi e come lo usi. Il primo passo è un AI Inventory: censire ogni sistema AI dell’azienda, classificarlo per ruolo (provider/deployer) e livello di rischio. Actify lo fa guidandoti passo dopo passo, in meno di un’ora per la prima mappatura.

Q 05Cosa significa essere 'Provider' o 'Deployer'? Cambia qualcosa per me?

Sì, cambia moltissimo. È una delle distinzioni più importanti dell’AI Act — e quella che genera più confusione nelle aziende.

La differenza in una frase

RuoloChi seiEsempio
ProviderSviluppi e commercializzi il sistema AICostruisci un tool di screening CV che vendi alle HR
DeployerUsi un sistema AI sviluppato da altri nel tuo contesto operativoUsi ChatGPT, un CRM con AI, un tool di scoring acquistato

Perché cambia

P
Obblighi del Provider (i più pesanti)

Documentazione tecnica completa del sistema, gestione dei rischi, registrazione nel database EU per sistemi ad alto rischio, marcatura CE, supervisione post-mercato, notifica incidenti all’autorità. Se sei Provider di un sistema ad alto rischio, hai gli obblighi più onerosi del Regolamento.

D
Obblighi del Deployer (più limitati, ma non zero)

Supervisione umana, uso conforme alle istruzioni del provider, formazione del personale (Art. 4 — AI Literacy), non modificare il sistema in modi non previsti, comunicare incidenti al provider. Meno documentazione tecnica, ma responsabilità operative concrete.

Il caso più comune nelle PMI

La maggior parte delle PMI italiane sono Deployer: usano tool AI di terzi (OpenAI, Google, Salesforce AI, strumenti HR, chatbot acquistati). Non hanno l’onere della documentazione tecnica del sistema, ma hanno l’obbligo di formare il personale, garantire supervisione umana e documentare l’uso conforme.

Actify classifica automaticamente ogni sistema censito come Provider o Deployer e mostra gli obblighi specifici per ciascun ruolo. Non devi interpretare tu il Regolamento: il sistema lo fa per te, articolo per articolo.

Q 06Quanto costano davvero le sanzioni? Sono rischi reali per una PMI?

Le cifre nel Regolamento fanno effetto, ma la domanda giusta non è “quanto è il massimo?” — è “qual è la mia esposizione realistica?”

Le sanzioni previste dal Reg. UE 2024/1689

ViolazioneSanzione massima
Sistemi AI vietati (Art. 5) — es. social scoring, manipolazione subliminale35 M€ o 7% fatturato globale
Obblighi per sistemi ad alto rischio non rispettati15 M€ o 3% fatturato globale
Informazioni false o incomplete all’autorità7,5 M€ o 1% fatturato globale

La realtà per una PMI

Le sanzioni massime riguardano le grandi violazioni sistemiche. Per una PMI che usa AI di terzi in modo non documentato, i rischi concreti sono diversi:

Warning + obbligo di adeguamento

Il caso più frequente per chi non ha documentazione ma non ha causato danni. Hai 30–60 giorni per metterti in regola. Se non lo fai, arriva la sanzione.

€€
Sanzione proporzionata al fatturato

Per una PMI da 5 M€ di fatturato, il 3% significa 150.000€. Non è il massimo, ma è reale — specialmente se c’è stato un incidente o un reclamo formale.

€€€
Il costo reale: reputazione + clienti enterprise

Più della sanzione, il rischio concreto è perdere contratti con grandi clienti che richiedono documentazione AI governance, e il danno reputazionale da un incidente pubblico.

La Fine Estimation Board di Actify calcola la tua esposizione sanzionatoria reale articolo per articolo, basandosi sul tuo profilo aziendale e sui sistemi AI censiti. Non sono numeri astratti: sono cifre specifiche per la tua situazione.

Q 07Actify sostituisce un avvocato o un consulente specializzato in AI Act?

No — e saremmo disonesti a dirlo. Actify è uno strumento operativo, non un servizio di consulenza legale. La distinzione è importante, ed è giusto chiarirla.

Cosa fa Actify (e cosa non fa)

Actify faActify non fa
Censisce e classifica i tuoi sistemi AI per livello di rischioFornire pareri legali vincolanti su casi specifici
Mappa i gap rispetto agli obblighi dell’AI ActRappresentarti davanti all’autorità in caso di istruttoria
Genera automaticamente i documenti di complianceInterpretare il Regolamento in casi legalmente ambigui
Calcola l’esposizione sanzionatoria estimataSostituire la due diligence legale in operazioni M&A
Traccia la formazione del personale (Art. 4)Garantire l’esito di un procedimento sanzionatorio

Come si usano insieme

Il modello più efficace che vediamo nelle aziende che si stanno attrezzando seriamente:

1
Actify fa il lavoro operativo

Inventory, classificazione, gap analysis, generazione documenti, monitoraggio continuo. Tutto ciò che è sistematico e ripetibile. Questo è il 90% del lavoro.

2
Il consulente interviene sui casi critici

Sistemi ad alto rischio con ambiguità classificatorie, contratti con clienti enterprise che richiedono garanzie legali, situazioni al confine con pratiche vietate. Il consulente lavora su casi specifici ad alto valore, non sul lavoro di base.

Usare Actify riduce il costo della consulenza legale, non la elimina. Arrivare dal consulente con un inventory già fatto, i gap identificati e i documenti generati significa pagare ore di analisi strategica, non ore di data collection.

Q 08Ho letto che l'AI Act è stato rinviato al 2027: posso aspettare?

No. Questa è la cosa più pericolosa che circola in questo momento. Il rinvio esiste, ma riguarda una parte specifica degli obblighi — non il Regolamento nel suo complesso.

Cosa prevede il “Digital Omnibus”

Il pacchetto Digital Omnibus, concordato a maggio 2026 e in via di adozione formale, sposta solo gli obblighi più pesanti sui sistemi ad alto rischio:

CosaNuova scadenza
Obblighi per sistemi AI autonomi ad alto rischio (Allegato III)2 dicembre 2027
Obblighi per AI integrata in prodotti regolati (Allegato I — es. dispositivi medici, automotive)2 agosto 2028

Cosa NON è stato rinviato

!
Art. 5 — Pratiche AI vietate

In vigore dal 2 febbraio 2025. Social scoring, manipolazione subliminale, riconoscimento biometrico in tempo reale in spazi pubblici. Due nuovi divieti entrano in vigore il 2 dicembre 2026.

!
Art. 4 — AI Literacy (formazione del personale)

In vigore dal 2 agosto 2026. Ogni azienda che usa AI deve garantire che il personale abbia una competenza adeguata. Obbligo attivo tra poche settimane, non nel 2027.

!
Art. 50 — Obblighi di trasparenza

In vigore dal 2 agosto 2026. Dichiarare che un chatbot è un’AI, etichettare i contenuti generati artificialmente (immagini, video, audio). Se hai un assistente virtuale sul sito, questo obbligo ti riguarda già.

Per una PMI che usa AI di terzi, gli obblighi che ti riguardano non sono stati rinviati. Il rinvio al 2027–2028 riguarda chi sviluppa sistemi ad alto rischio. Chi usa ChatGPT, tool HR, CRM con AI, chatbot — ha scadenze attive nel 2026.

Q 09Actify è una garanzia contro le sanzioni?

No — e diffida di chi te lo promette. Actify non è uno studio legale e non può garantire l’esito di un procedimento sanzionatorio. Ma può cambiare radicalmente la tua posizione se dovesse succedere qualcosa.

Cosa fa concretamente Actify per la tua difesa

1
Costruisce il tuo fascicolo documentale

Inventario dei sistemi AI, classificazioni motivate articolo per articolo, evidenze di formazione del personale, log degli aggiornamenti. Davanti all’autorità, questo è la prova tangibile della buona fede.

2
Ti prepara le evidenze da esibire

Attestati di compliance, dichiarazioni di trasparenza, piano di gestione dei rischi, report Art. 4 sulla literacy del personale. Documenti formali, strutturati, pronti per essere consegnati all’autorità o a un cliente enterprise.

3
Monitora i gap aperti e ti avvisa

La compliance non è un evento una tantum — è uno stato continuativo. Actify tiene traccia di cosa hai chiuso e cosa resta aperto, così non ti fai trovare impreparato.

Quando serve un legale

Ci sono situazioni in cui Actify da solo non basta e un professionista qualificato è necessario: sistemi ad alto rischio con classificazioni ambigue, procedimenti sanzionatori già aperti, contratti enterprise che richiedono garanzie legali, operazioni di M&A con due diligence AI. In questi casi lo diciamo esplicitamente — non promettiamo ciò che non possiamo dare.

La differenza tra chi subisce una sanzione pesante e chi riceve un warning spesso non è la gravità della violazione — è quanto hai da mostrare. Actify si assicura che tu abbia sempre qualcosa da mettere sul tavolo.

Hai altre domande? Scrivici a officialactify@gmail.com — rispondiamo a tutti entro 24 ore lavorative.