AI Act & Compliance

Checklist di conformità AI Act per le PMI

Aggiornata al 30 giugno 2026 · Digital Omnibus incluso · Versione stampabile

Una guida pratica per orientarsi nell'AI Act europeo: mappa i sistemi che usi, classifica i rischi, rispetta le scadenze già attive e prepara ciò che serve per il 2027. Progettata per essere stampata e usata come strumento di lavoro interno.

Nota importante. Questa checklist è una guida informativa a carattere generale, basata sul testo del Regolamento (UE) 2024/1689 (AI Act) e sul pacchetto Digital Omnibus del 7 maggio 2026. Non costituisce consulenza legale. Per una valutazione vincolante della situazione specifica della tua azienda rivolgiti a un professionista qualificato.

Stampa questa pagina o salvala come PDF con Ctrl+P (Windows) oppure Cmd+P (Mac).

1. Mappa i tuoi sistemi AI

Prima di classificare il rischio devi sapere cosa hai. Molte aziende usano AI senza rendersene conto: dai filtri antispam ai chatbot, dagli strumenti di recruiting alle piattaforme di analisi predittiva. Parti dall'inventario.

Per ogni sistema AI in uso o in sviluppo, annota:

Cosa fa il sistema, in una frase chiara (es. "risponde alle domande dei clienti sul sito", "propone candidati a partire dai CV ricevuti").
Chi lo usa: solo il personale interno, i clienti finali, partner esterni o una combinazione?
Origine: sviluppato internamente, acquistato da un fornitore, oppure basato su API di un modello di base (ChatGPT, Gemini, Claude, ecc.)?
Dati elaborati: dati personali, dati sensibili, immagini, voci, documenti riservati?
Impatto sulle decisioni: il sistema decide in autonomia, fornisce suggerimenti al personale oppure produce solo output informativi senza conseguenze dirette?

Completa questo esercizio per ogni sistema prima di passare alla sezione successiva. L'inventario è il punto di partenza di qualsiasi percorso di conformità.

2. Classifica il rischio

L'AI Act divide i sistemi AI in quattro livelli di rischio. Il livello determina quali obblighi si applicano e quando entrano in vigore.

Livello	Cosa significa	Esempi concreti per PMI	Scadenza
Vietato	Pratiche proibite senza eccezioni. Nessuna possibilità di deroga.	Punteggio sociale dei dipendenti o clienti, manipolazione occulta delle decisioni, raccolta massiva di volti da internet, riconoscimento delle emozioni su dipendenti o studenti in contesti di lavoro o istruzione.	Dal 2 feb 2025
Alto rischio	Obblighi pesanti: documentazione tecnica, log delle attività, supervisione umana, analisi e gestione del rischio, qualità dei dati.	Screening CV e selezione del personale, valutazione del merito creditizio, sistemi per l'istruzione e gli esami, dispositivi medici con componenti AI, infrastrutture critiche, sistemi per la migrazione o le frontiere.	Dal 2 dic 2027
Rischio limitato	Obblighi di trasparenza: informare l'utente che sta interagendo con un'intelligenza artificiale o che un contenuto è generato dall'AI.	Chatbot sul sito web, assistenti vocali, strumenti che generano testi, immagini, audio o video destinati alla pubblicazione.	Dal 2 ago 2026
Rischio minimo	Nessun obbligo specifico previsto dalla legge. Le buone pratiche su privacy e sicurezza restano comunque raccomandate.	Filtri antispam, suggerimenti di prodotti su e-commerce, correttori ortografici, strumenti di analisi predittiva su dati interni senza impatto su persone fisiche.	Nessuna scadenza

Come capire se sei in "alto rischio". Un sistema è ad alto rischio non per la tecnologia che usa, ma per la finalità d'uso e l'impatto sulle persone. Lo stesso modello può essere a rischio minimo se fornisce suggerimenti generici, e ad alto rischio se quelle risposte determinano l'accesso a un servizio essenziale o una decisione di assunzione.

Soglia PMI semplificata (Digital Omnibus 2026). Le aziende fino a 750 dipendenti e 150 milioni di euro di fatturato beneficiano di linee guida semplificate, documentazione standardizzata e sanzioni ridotte. La conformità resta obbligatoria, ma il carico burocratico è calibrato sulle dimensioni reali dell'impresa.

3. Obblighi di trasparenza già in vigore (dal 2 agosto 2026)

Questa è la scadenza più vicina e non ha subito proroghe. Se il tuo sistema rientra nelle categorie indicate, gli obblighi scattano il 2 agosto 2026.

Chatbot e assistenti virtuali. Qualsiasi sistema che risponde agli utenti in linguaggio naturale (testo o voce) deve dichiarare esplicitamente di essere un'intelligenza artificiale, non un essere umano. La dichiarazione deve avvenire al primo contatto, in modo chiaro e visibile, non nascosta in fondo alla pagina o in una sezione di note legali.
Contenuti generati con AI destinati alla pubblicazione. Testi, immagini, audio e video prodotti con strumenti di intelligenza artificiale generativa devono essere segnalati come tali agli utenti. Eccezione prevista dalla legge: testi interamente rivisti e pubblicati sotto piena responsabilità editoriale umana non richiedono etichettatura obbligatoria.
Deepfake e contenuti sintetici realistici. Immagini, audio o video che rappresentano persone reali o eventi in modo verosimile ma artificiale devono essere dichiarati esplicitamente come contenuto artificiale.
Riconoscimento di emozioni o categorie biometriche (nei casi consentiti dalla legge): le persone esposte al sistema devono essere informate in anticipo.
Filigrana tecnica (watermarking), dal 2 dicembre 2026. I contenuti generati da AI dovranno incorporare anche una marcatura leggibile dalle macchine. Questa parte tecnica è posticipata di quattro mesi rispetto all'obbligo di disclosure testuale, ma va pianificata adesso.

Costo delle violazioni. Le sanzioni per il mancato rispetto degli obblighi di trasparenza arrivano fino a 15 milioni di euro o al 3% del fatturato mondiale annuo. Per le PMI si applica la soglia più bassa, ma il rischio reputazionale si somma a quello economico.

4. Cosa preparare per l'alto rischio (entro il 2 dicembre 2027)

Se uno o più dei tuoi sistemi rientrano nella categoria "alto rischio", hai tempo fino al 2 dicembre 2027. Usalo bene: costruire la documentazione a posteriori, su un sistema già in produzione, costa molto di più che integrarla fin dall'inizio del progetto.

Documentazione tecnica. Descrizione completa del sistema: cosa fa, quali dati sono stati usati per addestrarlo, architettura, metriche di prestazione attese, limiti noti e rischi residui. Deve essere aggiornata a ogni modifica significativa del sistema.
Analisi e gestione del rischio. Procedura formale per identificare, valutare e mitigare i rischi del sistema lungo l'intero ciclo di vita, non solo prima del lancio. Va ripetuta a ogni aggiornamento rilevante.
Qualità dei dati. I dataset di addestramento, validazione e test devono essere pertinenti, rappresentativi della popolazione reale di utilizzo, privi di errori gravi e documentati. Serve un processo per monitorarli e aggiornarli nel tempo.
Supervisione umana. Devono esistere meccanismi che consentano a una persona di monitorare il funzionamento del sistema in tempo reale, di intervenire per correggere comportamenti anomali e, se necessario, di fermarlo. Chi esercita la supervisione deve avere le competenze tecniche adeguate.
Registro delle attività (logging). Il sistema deve generare automaticamente log delle operazioni rilevanti, in modo da garantire la tracciabilità degli eventi critici, degli errori e degli eventuali incidenti. I log devono essere conservati per il periodo stabilito dalla legge.
Robustezza, accuratezza e sicurezza informatica. Il sistema deve essere testato per resistere a errori, malfunzionamenti e tentativi di manipolazione (inclusi gli attacchi di tipo "adversarial"). La sicurezza va valutata periodicamente, non solo al momento del lancio.
Dichiarazione di conformità UE e registrazione (dove richiesta). Per alcune categorie di sistemi ad alto rischio è obbligatoria la registrazione in una banca dati pubblica europea. Verifica con anticipo se il tuo sistema rientra nelle categorie che lo richiedono.
Chiarezza sui ruoli: fornitore e deployer. Metti per iscritto, nei contratti o in una policy interna, chi ha sviluppato il sistema (fornitore) e chi lo usa nella propria attività (deployer). I due ruoli hanno obblighi distinti: non definirli genera contestazioni e responsabilità non chiarite.

5. Alfabetizzazione AI (Art. 4, già in vigore)

L'Articolo 4 dell'AI Act impone a chi fornisce o utilizza sistemi AI di garantire che il proprio personale abbia una competenza sufficiente sull'intelligenza artificiale: cosa fa, come funziona, quali sono i limiti e i rischi. In vigore dal 2 febbraio 2025. Non servono corsi enormi, ma serve poter dimostrare di aver fatto qualcosa di concreto e documentato.

Formare chi usa l'AI quotidianamente. Ogni dipendente che interagisce con strumenti AI (anche solo ChatGPT per lavoro ordinario) deve capire cosa fa lo strumento, quali sono i suoi limiti e come verificare i risultati prima di usarli in un contesto professionale.
Formare chi supervisiona sistemi ad alto rischio. Le persone responsabili della supervisione umana di sistemi AI ad alto rischio devono avere competenze tecniche proporzionate alla funzione che svolgono, non solo una comprensione generica dell'AI.
Documentare la formazione erogata. Tieni un registro di chi ha ricevuto quale formazione e quando. Anche un foglio di calcolo o una email di riepilogo con conferme di partecipazione può essere sufficiente per dimostrare il rispetto dell'Art. 4 in una PMI.
Aggiornare la formazione periodicamente. L'AI evolve rapidamente: pianifica aggiornamenti almeno annuali e ogni volta che introduci uno strumento o un sistema AI significativamente nuovo.
Includere l'AI literacy nell'onboarding. Chi entra in azienda e userà strumenti AI deve ricevere una formazione di base come parte dell'inserimento. Non trattarla come un'attività separata e opzionale.

6. Checklist operativa: spunta le voci completate

Usa questa lista come strumento di lavoro pratico. Stampala, spunta le voci man mano che le completi e torna a verificarla ogni volta che introduci un nuovo sistema AI in azienda o aggiorni uno esistente.

☐ Ho compilato un inventario di tutti i sistemi AI in uso in azienda, inclusi quelli forniti da terzi e le API di modelli di base.
☐ Per ogni sistema ho annotato finalità d'uso, dati elaborati, utenti coinvolti e impatto sulle decisioni.
☐ Ho classificato ciascun sistema come vietato, alto rischio, rischio limitato o rischio minimo.
☐ Nessun sistema in uso o in sviluppo rientra nelle pratiche vietate dall'AI Act.
☐ I chatbot e gli assistenti virtuali dichiarano chiaramente di essere un'intelligenza artificiale al primo contatto con l'utente (scadenza: 2 agosto 2026).
☐ I contenuti generati con AI e destinati alla pubblicazione sono etichettati come tali, oppure ho verificato che si applica l'eccezione per responsabilità editoriale umana.
☐ Ho avviato la pianificazione della documentazione tecnica per i sistemi ad alto rischio.
☐ Ho definito chi esercita la supervisione umana sui sistemi che la richiedono e verificato che abbia le competenze necessarie.
☐ I sistemi ad alto rischio generano log delle attività rilevanti e li conservano per il periodo previsto.
☐ Ho avviato (o pianificato) una valutazione formale dei rischi per i sistemi ad alto rischio.
☐ I dati usati per addestrare o alimentare i sistemi AI sono documentati, controllati e aggiornati.
☐ Ho chiarito per iscritto i ruoli di fornitore e deployer per ogni sistema, nei contratti o in una policy interna.
☐ Il personale che usa strumenti AI ha ricevuto una formazione di base (Art. 4, già in vigore).
☐ Esiste un registro della formazione AI erogata al personale, con data e partecipanti.
☐ Ho pianificato la watermark tecnica sugli output generati, in vista della scadenza del 2 dicembre 2026.
☐ Ho pianificato una revisione di questa checklist entro i prossimi 12 mesi o alla prossima introduzione di un sistema AI.
☐ Per i sistemi ad alto rischio ho consultato (o pianificato di consultare) un esperto di conformità AI.

Hai dubbi sulla conformità del tuo progetto AI?

Offriamo un audit di conformità AI Act su misura per la tua azienda: classifichiamo i sistemi, identifichiamo gli obblighi applicabili e definiamo un piano d'azione concreto. Risposta entro 24 ore.

Richiedi l'audit di conformità

← Torna alla home