ai / compliance-ai-act

Compliance AI Act

Adeguamento all'AI Act per la tua organizzazione: censimento dei sistemi AI, classificazione del rischio e governance, in un quadro unico con GDPR e NIS2.

richiedi_informazioni

L’AI Act è in vigore e i suoi obblighi arrivano a scaglioni. E riguardano anche chi l’AI la usa soltanto, non solo chi la sviluppa: il regolamento assegna obblighi propri ai «deployer», chi adotta sistemi AI di terzi (art. 26). Se nella tua organizzazione girano sistemi di AI — comprati, incorporati nei gestionali o costruiti in casa — devi sapere in quale categoria di rischio ricadono e come dimostrarne la governance. Scoprirlo a ridosso delle scadenze è il modo più costoso di farlo.

Quando si applica l’AI Act

Una parte degli obblighi del regolamento (UE) 2024/1689 non è in arrivo: è già qui, e ogni scadenza chiede qualcosa di diverso. I divieti delle pratiche inaccettabili e l’obbligo di AI literacy del personale si applicano dal 2 febbraio 2025: l’AI literacy è già esigibile e serve evidenza formativa adesso. Gli obblighi per i modelli GPAI valgono dal 2 agosto 2025; quelli di trasparenza dell’art. 50 — dichiarare l’interazione con un sistema AI e marcare i contenuti generati — scattano il 2 agosto 2026. Per l’alto rischio il calendario è più mobile: l’accordo provvisorio UE sul Digital Omnibus (7 maggio 2026), non ancora adottato formalmente, prevede di rinviare l’applicazione al 2 dicembre 2027 per i casi dell’Allegato III e al 2 agosto 2028 per l’alto rischio nei prodotti regolamentati.

Il rinvio non è una proroga generale: divieti, trasparenza e AI literacy restano pienamente in vigore. E l’AI Act non agisce da solo: poiché i sistemi AI trattano dati personali, il GDPR si somma — il Garante privacy ha già sanzionato OpenAI per 15 milioni di euro su ChatGPT (provvedimento di fine 2024, oggi oggetto di contenzioso). La cornice italiana dell’AI Act è la legge 132/2025, che designa AgID e ACN autorità nazionali — ad ACN vigilanza e sanzioni — con decreti attuativi attesi entro ottobre 2026.

L’alto rischio è spesso già in casa

Le categorie dell’Allegato III non descrivono laboratori di ricerca: descrivono software che molte aziende usano ogni giorno. Lo screening dei CV nel gestionale HR, lo scoring per l’accesso al credito, gli strumenti di valutazione e monitoraggio dei dipendenti sono casi d’uso ad alto rischio — anche quando l’AI è una funzione comprata dentro un prodotto di terzi. Accanto ai sistemi ufficiali c’è la shadow AI: solo il 31% delle organizzazioni italiane ha policy per governare l’AI o rilevarne l’uso non autorizzato (IBM Cost of a Data Breach 2025). La classificazione del rischio è l’analisi del terreno di questo adeguamento: prima di costruire documenti e procedure, serve sapere dove poggia ogni sistema.

Cosa facciamo

  • Censiamo i sistemi AI in uso, compresi quelli incorporati in software di terze parti e gli strumenti adottati dal personale senza policy
  • Classifichiamo ogni sistema secondo le categorie di rischio dell’AI Act e ne determiniamo il ruolo, fornitore o deployer — anche quando il confine si sposta, come nel fine-tuning o nel white-label
  • Facciamo la gap analysis sugli obblighi applicabili — trasparenza, sorveglianza umana, documentazione tecnica, qualità dei dati — e la FRIA, la valutazione d’impatto sui diritti fondamentali, per i soggetti che vi sono tenuti: tipicamente enti pubblici, fornitori di servizi pubblici e alcuni deployer di sistemi ad alto rischio
  • Costruiamo la governance su standard internazionali di gestione dell’AI, ISO/IEC 42001 in testa: registro dei sistemi, policy d’uso interno, qualifica dei fornitori, con le dichiarazioni di conformità da pretendere dai vendor
  • Curiamo gli adempimenti di trasparenza e il programma di AI literacy, con evidenze formative che documentano l’obbligo già vigente

Cosa ottieni

  • Il registro dei sistemi AI: fornitore, ruolo, categoria di rischio, obblighi e owner per ogni sistema
  • Un piano di adeguamento con priorità ancorate al calendario applicativo
  • Il corpo documentale: policy d’uso, informative di trasparenza, procedura di sorveglianza umana, questionario di qualifica dei fornitori
  • Un presidio continuativo: linee guida della Commissione, standard armonizzati in arrivo, provvedimenti di AgID e ACN, revisione del registro a ogni nuovo sistema

Classificare un sistema AI richiede di capire come funziona davvero, non solo cosa dice la norma: per questo nella stessa squadra lavorano chi si occupa di sicurezza dei sistemi AI e i legali che seguono GDPR e NIS2 nella nostra cybercompliance. Se l’adeguamento GDPR l’hai già fatto, gran parte di quelle fondamenta si riusa e il percorso si accorcia. Prenota il censimento preliminare dei tuoi sistemi AI: mette a fuoco dove sei rispetto alle scadenze già in vigore, prima che a deciderlo sia un controllo o la richiesta di un cliente.

// domande frequenti

Usiamo solo strumenti AI comprati, come ChatGPT, Copilot o funzioni AI nei gestionali: l'AI Act ci riguarda?

Sì. L'AI Act impone obblighi anche a chi usa sistemi AI di terzi, i «deployer» (art. 26): uso conforme alle istruzioni del fornitore, sorveglianza umana, informative a lavoratori e utenti. L'obbligo di AI literacy vale per chiunque impieghi sistemi AI ed è in vigore da febbraio 2025. Anche l'AI incorporata nei software comprati va censita e classificata: è spesso quella più difficile da vedere.

Quali sono le scadenze dell'AI Act?

I divieti delle pratiche inaccettabili e l'obbligo di AI literacy si applicano dal 2 febbraio 2025 e gli obblighi per i modelli GPAI dal 2 agosto 2025: sono già in vigore. Gli obblighi di trasparenza scattano il 2 agosto 2026. Per i sistemi ad alto rischio l'accordo provvisorio UE sul Digital Omnibus, in attesa di adozione formale, prevede di rinviare l'applicazione al 2 dicembre 2027 (e al 2 agosto 2028 per l'alto rischio nei prodotti regolamentati).

Cosa rischia chi non si adegua all'AI Act?

Le sanzioni proprie dell'AI Act arrivano a 35 milioni di euro o al 7% del fatturato mondiale per le pratiche vietate e a 15 milioni o al 3% per gli altri obblighi (art. 99); per PMI e start-up si applica l'importo più basso. In Italia la legge 132/2025 designa AgID e ACN come autorità nazionali, con vigilanza e sanzioni in capo ad ACN (mentre per i profili di protezione dati resta competente il Garante). A questo si somma il rischio commerciale: i clienti più strutturati chiedono già garanzie di conformità AI ai propri fornitori.

Abbiamo già completato l'adeguamento GDPR: quanto di quel lavoro si riutilizza?

Parecchio. Registro dei trattamenti, valutazioni d'impatto, governance dei dati e qualifica dei fornitori sono fondamenta su cui l'adeguamento AI Act si innesta: i sistemi AI trattano quasi sempre dati personali e le due normative condividono la logica dell'accountability. Per questo in CyberQuake il servizio è erogato con la stessa squadra legale che segue GDPR e NIS2: il lavoro già fatto accorcia il percorso invece di duplicarlo.

Quando chi usa un sistema AI diventa «fornitore», con gli obblighi pieni?

Quando lo modifica in modo sostanziale, lo commercializza con il proprio marchio o lo impiega fuori dalla destinazione d'uso prevista dal fornitore originario. È il caso tipico del fine-tuning di un modello o del white-label adottato senza valutarne le conseguenze: il ruolo va verificato prima di firmare, perché gli obblighi del fornitore sono molto più onerosi di quelli del deployer.

Come funziona il censimento preliminare e cosa otteniamo alla fine?

È il primo passo di qualunque adeguamento: un incontro e una raccolta strutturata di informazioni su strumenti, fornitori e usi interni dell'AI, compresi quelli mai dichiarati. Alla fine resta la mappa dei sistemi AI in uso, con una prima classificazione del rischio e le priorità di adeguamento. La durata dipende dal numero di sistemi e dalla complessità dell'organizzazione.

// incident response

Sotto attacco? Agisci ora.

Il CSIRT risponde 24/7: contenimento, analisi e ripristino, a partire dalla prima chiamata.

sono_stato_hackerato

csirt 24/7 --> +39 376 25 89 182