L'AI Act UE: una checklist pratica per le aziende

L'AI Act UE è ora in vigore e la maggior parte delle disposizioni che riguardano le aziende che distribuiscono sistemi AI si applicano da agosto 2026. Se la tua organizzazione usa l'AI per supportare decisioni in aree come HR, valutazione del credito, accesso all'istruzione o gestione delle infrastrutture critiche, stai probabilmente affrontando un sistema ad alto rischio ai sensi della classificazione dell'Atto. Questa checklist è un punto di partenza pratico — non è una consulenza legale — per aiutarti a capire cosa è richiesto e perché l'AI on-premise con Privonis può rendere la conformità considerevolmente più semplice.

Passaggio 1: classifica il tuo sistema AI per categoria di rischio

L'Atto divide i sistemi AI in quattro livelli: rischio inaccettabile (vietato), rischio elevato (obblighi rigidi), rischio limitato (obblighi di trasparenza) e rischio minimo (nessun requisito specifico). La maggior parte dei deployment AI enterprise — strumenti di recruitment, scoring dei clienti, elaborazione di documenti per decisioni regolamentate — rientra in rischio elevato o limitato. Classificare erroneamente un sistema ad alto rischio come a rischio limitato è il singolo errore di conformità più comune in questa fase.

Passaggio 2: costruisci la tua documentazione tecnica

I sistemi ad alto rischio devono essere accompagnati da documentazione tecnica dettagliata prima di essere immessi sul mercato o messi in servizio. Questa documentazione deve descrivere lo scopo previsto, i dati di addestramento utilizzati, le metriche di performance, gli scenari di uso improprio prevedibili e le misure di gestione del rischio. Se stai distribuendo un modello di fondazione di terze parti tramite un'API, ottenere questa documentazione dal fornitore potrebbe essere difficile o impossibile. I modelli self-hosted ti danno piena visibilità sullo stack.

• Descrizione generale: scopo previsto, cronologia delle versioni, interazione con altri sistemi.
• Progettazione e sviluppo: governance dei dati, metodologia di addestramento, descrizione dell'architettura.
• Validazione e test: metriche di performance, dataset di test, limitazioni note.
• Gestione del rischio: rischi identificati, misure di mitigazione, valutazione del rischio residuo.
• Monitoraggio post-mercato: piano per il tracciamento delle performance una volta distribuito.
• Log e registri: audit trail degli output del sistema, specialmente per decisioni ad alto rischio.

Passaggio 3: implementa meccanismi di supervisione umana

L'Atto richiede che i sistemi AI ad alto rischio siano progettati per consentire a persone fisiche di supervisionare e intervenire efficacemente durante l'uso. Ciò significa che il sistema deve poter essere fermato, sovrascritto o corretto da un operatore umano. Significa anche che l'interfaccia deve presentare gli output in un modo che un essere umano competente possa interpretare e contestare in modo significativo. Il processo decisionale autonomo senza un essere umano nel ciclo è consentito solo in scenari strettamente delimitati, e anche allora con registrazione completa.

La conformità non è una casella da spuntare — è una decisione architetturale. Integra la supervisione fin dal primo giorno, non come ripensamento.

Passaggio 4: governance dei dati e sovrapposizione con il GDPR

L'AI Act introduce requisiti di governance dei dati per i dataset di addestramento e validazione che si affiancano — e in alcune aree si sovrappongono — ai tuoi obblighi GDPR esistenti. Devi documentare la provenienza dei dati di addestramento, assicurarti che siano rappresentativi e privi di bias che potrebbero portare a output discriminatori, e conservare registrazioni delle decisioni di elaborazione dei dati. Se sono coinvolti dati personali (e nella maggior parte dei contesti enterprise lo saranno), le attività di trattamento dei dati del tuo sistema AI devono essere coperte anche da una base giuridica lecita ai sensi del GDPR, un accordo di trattamento dei dati con qualsiasi responsabile del trattamento e, ove applicabile, una valutazione d'impatto sulla protezione dei dati (DPIA).

Perché l'AI on-premise semplifica la conformità

Quando invii dati a un'API AI cloud, introduci un responsabile del trattamento di terze parti, un potenziale trasferimento transfrontaliero di dati e una dipendenza dalle capacità di documentazione e audit di quel fornitore — tutti elementi che creano complessità di conformità. Eseguire l'AI sulla propria infrastruttura con Privonis elimina completamente il flusso di dati verso terze parti. Tu controlli il modello, i log, i permessi di accesso e la policy di conservazione. I tuoi dati rimangono nell'UE. Il tuo audit trail è tuo. Non si tratta solo di privacy: si tratta di essere in grado di dimostrare la conformità a un regolatore con prove che effettivamente detieni. L'AI Act è complesso, ma le aziende meglio posizionate per soddisfarne le esigenze sono quelle che mantengono un genuino controllo sui propri sistemi AI fin dall'inizio.