Perché ora

L'AI Act trasforma l'uso dell'AI in una responsabilità documentabile.

Per molte aziende il rischio non è avere “troppa AI”. È non sapere dove viene usata, da chi, con quali dati e con quali controlli. La preparazione parte da una domanda semplice: se domani un cliente, un investitore o il team legale chiedesse evidenze, sapreste da dove iniziare?

Aggiornato a maggio 2026 Tempo di lettura: 6 minuti

L'AI è entrata in azienda più velocemente dei processi che dovrebbero governarla. Un team usa strumenti generativi per preparare offerte, un altro sintetizza ticket di assistenza, HR prova software di screening, finance automatizza letture di fatture. Separatamente, ogni uso può sembrare gestibile. Insieme, diventano una domanda di responsabilità.

L'AI Act non rende improvvisamente proibito usare AI. Chiede però alle aziende di sapere che cosa stanno usando, in quale contesto, con quali dati, con quali rischi e con quale controllo umano. Questa è una disciplina organizzativa prima ancora che un esercizio legale.

Le scadenze non sono tutte nel futuro.

Molte conversazioni sull'AI Act trattano il regolamento come qualcosa che arriverà “più avanti”. È una lettura comoda, ma incompleta. Il calendario è già iniziato e le aziende che aspettano la richiesta formale rischiano di dover ricostruire mesi di uso AI sotto pressione.

1 agosto 2024

L'AI Act entra in vigore

Da quel momento il regolamento non è più una bozza da seguire a distanza, ma il quadro europeo dentro cui si muove l'adozione dell'AI.

2 febbraio 2025

Divieti e AI literacy iniziano ad applicarsi

Le aziende devono prestare attenzione alle pratiche vietate e alla competenza delle persone che usano o supervisionano sistemi AI.

2 agosto 2025

Governance e modelli general-purpose AI

Entrano in applicazione ulteriori parti del regolamento, incluse regole di governance e obblighi collegati ai modelli di AI generale.

2 agosto 2026

Applicazione generale del regolamento

Molte regole diventano operative. Alcune aree hanno transizioni specifiche, ma il lavoro interno di mappatura non aspetta l'ultima scadenza.

Alcune regole hanno eccezioni, transizioni e possibili aggiornamenti applicativi. Il punto per una media azienda B2B non è memorizzare ogni articolo, ma costruire una base di evidenze aggiornabile.

La domanda giusta non è “siamo compliant?”. È “possiamo dimostrare come usiamo l'AI, se qualcuno ce lo chiede?”.

Non riguarda solo chi sviluppa modelli AI.

Molte aziende non costruiscono modelli, non vendono sistemi high-risk e non hanno un team di ricerca AI. Ma usano AI dentro processi reali: HR, marketing, vendite, prodotto, finanza, assistenza clienti, operations. Questo basta per creare responsabilità operative.

Prima di classificare tutto serve un inventario. Ogni AI Use Case dovrebbe avere una finalità, un responsabile, un tool, una descrizione dei dati trattati, una prima valutazione del rischio e le evidenze collegate. Senza questa base, anche il miglior parere legale parte da informazioni incomplete.

Le multe danno il contesto, ma non sono il punto di partenza.

L'AI Act prevede sanzioni importanti. Usarle come unico argomento di vendita però produce paura, non metodo. Il valore per un'azienda è più concreto: ridurre il caos interno prima che diventi un problema davanti a clienti, investitori, procurement o autorità.

Pratiche AI vietate fino a €35M o 7% del fatturato mondiale
Violazioni di obblighi per operatori, deployer e trasparenza fino a €15M o 3% del fatturato mondiale
Informazioni scorrette, incomplete o fuorvianti alle autorità fino a €7,5M o 1% del fatturato mondiale

Per PMI e startup valgono criteri specifici. Le sanzioni dipendono dal caso concreto. Actus non calcola multe, non certifica conformità e non sostituisce il parere legale.

La richiesta arriverà come due diligence.

Nella pratica, l'urgenza spesso non arriva con una lettera dell'autorità. Arriva con una domanda di un cliente enterprise, una verifica di procurement, un investimento, una riunione del board o una richiesta del team legale.

Quali sistemi AI usate nelle diverse funzioni aziendali?

Quali dati entrano in quei sistemi e chi ne subisce l'impatto?

Chi è responsabile di ogni AI Use Case?

Avete una valutazione preliminare del rischio?

Avete verificato fornitori, retention, hosting e subfornitori?

Potete dimostrare formazione, policy e controllo umano?

Il primo passo non è scrivere una policy.

Una policy generica può sembrare rassicurante, ma se non è collegata agli usi reali resta un documento isolato. Il lavoro utile comincia dal registro: quali casi d'uso esistono, chi li possiede, quali evidenze mancano e cosa deve essere revisionato.

  1. Raccogliere gli AI Use Cases reali, funzione per funzione.
  2. Assegnare un responsabile a ogni caso d'uso.
  3. Documentare finalità, dati, tool, vendor e persone impattate.
  4. Fare un Risk Triage preliminare, sempre revisionabile.
  5. Collegare Vendor Checklist, Training Evidence e policy ai casi reali.
  6. Preparare un Audit Evidence Pack da far verificare a persone responsabili.

Come entra Actus

Da usi AI sparsi a evidenze pronte per revisione.

Actus aiuta legal, operations e responsabili di funzione a costruire un AI Use Register, fare un Risk Triage preliminare, individuare evidenze mancanti e generare un Audit Evidence Pack da far verificare internamente. Non promette una scorciatoia verso la conformità. Dà struttura al lavoro che serve prima di ogni revisione seria.

Richiedi accesso Torna alla landing