EU AI Act: cosa cambia davvero per le PMI italiane
Il regolamento europeo sull'intelligenza artificiale introduce obblighi nuovi. Per la maggior parte delle PMI italiane, però, l'impatto pratico è molto più limitato di quello che le notizie fanno sembrare. Guida a cosa conta davvero.
Redazione
Consulenza Digitale Italia
L'EU AI Act è il primo regolamento organico sull'intelligenza artificiale al mondo. Il suo arrivo ha generato titoli di giornale che lo descrivono come una rivoluzione normativa per qualsiasi azienda che usa l'AI. Nella realtà delle PMI italiane, le cose stanno diversamente.
Capire cosa cambia davvero, e soprattutto cosa non cambia, permette di evitare due errori opposti: ignorare il tema del tutto, o investire risorse in compliance per obblighi che non riguardano la propria attività.
Come funziona il sistema di classificazione
Il regolamento non si applica allo stesso modo a tutto ciò che è AI. Usa un sistema a rischi: più un sistema AI può causare danni a persone, più è soggetto a obblighi severi.
Ci sono quattro livelli. I sistemi con rischio inaccettabile sono direttamente vietati: sistemi di riconoscimento facciale in spazi pubblici per sorveglianza di massa, manipolazione subliminale, social scoring. Sono applicazioni che non riguardano il mondo delle PMI.
I sistemi ad alto rischio sono quelli che richiedono più obblighi: documentazione tecnica, registri di log, valutazioni di conformità, supervisione umana obbligatoria. Rientrano qui le AI usate per selezione del personale, valutazione del credito, accesso a servizi pubblici, gestione di infrastrutture critiche. Non ci rientrano l'assistente che scrive email, lo strumento di analisi dei dati, il chatbot di supporto commerciale.
I sistemi a rischio limitato, come certi chatbot, devono solo dichiarare trasparentemente che l'utente sta interagendo con un sistema AI. I sistemi a rischio minimo non hanno obblighi aggiuntivi.
L'impatto pratico per chi usa strumenti AI già esistenti
La grande maggioranza delle PMI italiane non sviluppa sistemi AI: li usa. Usa ChatGPT per scrivere testi, usa Copilot per analizzare dati, usa HubSpot con funzionalità AI per il CRM. Per queste aziende, gli obblighi dell'EU AI Act non sono obblighi propri: ricadono sui fornitori di quegli strumenti.
Microsoft, Google, OpenAI, Salesforce hanno uffici legali e team di compliance dedicati. Hanno già iniziato ad adeguarsi. Le PMI che usano queste piattaforme beneficiano di quel lavoro senza doverlo fare da sé.
Questo non significa che non ci sia nulla da fare. Ma è diverso dall'avere obblighi di conformità diretti.
Quando una PMI ha obblighi diretti
Ci sono casi in cui una PMI ha obblighi veri e propri sotto l'EU AI Act.
Se l'azienda sviluppa un proprio sistema AI, anche solo per uso interno, ed è classificabile come ad alto rischio, deve seguire i requisiti tecnici del regolamento: documentazione, gestione dei dati, supervisione umana, registrazione degli eventi.
Se l'azienda usa l'AI in processi di selezione del personale in modo automatizzato, senza sufficiente supervisione umana, può rientrare negli scenari ad alto rischio anche senza avere sviluppato il sistema internamente.
Se l'azienda opera come fornitore di sistemi AI verso terzi, ha obblighi di certificazione e documentazione che variano in base alla categoria di rischio del sistema.
Per le PMI manifatturiere che integrano AI nei propri macchinari o processi produttivi legati a sicurezza, la questione va verificata con attenzione.
I sistemi AI vietati: cosa non si può fare
Il regolamento vieta alcune applicazioni indipendentemente dal livello di rischio. Manipolazione cognitiva tramite tecniche subliminali che sfruttano vulnerabilità psicologiche. Riconoscimento delle emozioni nei luoghi di lavoro e nelle scuole in contesti non espressamente ammessi. Sistemi di categorizzazione biometrica che deducono caratteristiche sensibili come orientamento politico o religioso.
Nessuna di queste applicazioni è realistica nel contesto operativo di una PMI italiana. Ma vale la pena saperlo, perché il mercato dei fornitori AI sta cambiando in risposta a queste norme, e alcune feature potrebbero sparire da strumenti già in uso.
Cosa conviene fare adesso
Per una PMI che usa strumenti AI generici, il lavoro pratico è relativamente contenuto.
Il primo passo è fare un inventario di quali sistemi AI sono in uso in azienda. Non in modo exhaustivo come farebbe un grande gruppo, ma abbastanza per avere chiaro: chi usa cosa, per quale scopo, con quali dati.
Il secondo passo è verificare se qualcuno di questi sistemi si avvicina alle categorie ad alto rischio. Selezione del personale automatizzata, valutazioni di credito, gestione di dati sensibili in modo autonomo: questi sono i campi da esaminare.
Il terzo passo è controllare se i fornitori principali hanno già pubblicato documentazione sulla conformità all'EU AI Act. Microsoft, Google e OpenAI hanno materiale disponibile. Leggere quella documentazione è parte del processo di due diligence che ogni azienda dovrebbe fare.
Per chi sviluppa o fa sviluppare soluzioni AI personalizzate, il percorso è più strutturato e richiede probabilmente il supporto di un legale specializzato in privacy e regolamentazione digitale.
Il rischio reale: non l'AI Act, ma le pratiche non documentate
La maggior parte dei problemi legali che le PMI incontrano con l'AI non arriveranno dall'EU AI Act. Arriveranno da violazioni del GDPR nell'uso dei dati per addestrare o alimentare sistemi AI, da contratti con fornitori che non chiariscono chi possiede i dati generati, da processi automatizzati che prendono decisioni su persone senza documentazione adeguata.
Questo tipo di rischio è già presente, con o senza l'AI Act. E si gestisce con buone pratiche di governance dei dati, non con grandi investimenti in compliance specifica.
Chi vuole capire come strutturare un approccio responsabile all'AI in azienda, che tenga conto sia delle opportunità che dei requisiti normativi, trova indicazioni pratiche in un percorso di adozione AI strutturata che parte dalla valutazione del contesto specifico.
Il segnale che conta davvero
L'EU AI Act non è una minaccia per le PMI che usano l'AI responsabilmente. È una cornice normativa che consolida pratiche di buon senso: trasparenza su come si usa l'AI, supervisione umana sui processi critici, documentazione di cosa si fa con i dati.
Le aziende che già seguono buone pratiche sul GDPR, che hanno policy chiare sull'uso degli strumenti digitali, che scelgono fornitori affidabili: per loro, l'adeguamento all'EU AI Act è un lavoro di ottimizzazione, non una rivoluzione.
Le aziende che non hanno mai messo ordine nei processi digitali hanno un lavoro più ampio davanti, ma è un lavoro che aveva senso fare già prima del regolamento.
Leggi anche:
Tag
Domande Frequenti
L'EU AI Act si applica alle piccole imprese italiane?
Dipende da cosa fa l'azienda con l'AI. Le PMI che usano strumenti AI già sul mercato (ChatGPT, Copilot, HubSpot AI) non hanno obblighi diretti: gli obblighi ricadono sui fornitori. Le PMI che sviluppano sistemi AI propri per uso interno o clienti devono invece valutare la classificazione del sistema secondo il regolamento.
Quali sistemi AI sono considerati 'ad alto rischio' dall'EU AI Act?
I sistemi ad alto rischio includono AI usate in selezione del personale, valutazione del credito, infrastrutture critiche, gestione di dispositivi medici, sistemi educativi, e applicazioni di law enforcement. La maggior parte degli usi aziendali comuni (marketing, contenuti, assistenti testo) non rientrano in questa categoria.
Quando entra in vigore l'EU AI Act?
Il regolamento è entrato in vigore in fasi: le disposizioni sui sistemi vietati dal febbraio del primo anno, le regole sui sistemi ad alto rischio gradualmente nei due anni successivi, e le norme sui modelli AI generativi entro 12 mesi dall'entrata in vigore. Le scadenze vanno verificate sul testo aggiornato del regolamento.
Approfondisci
Esplora tutti gli articoli dell'archivio su digitalizzazione e AI per le PMI.