Il Regolamento sull'IA: cosa significa concretamente per le PMI
Il Regolamento europeo sull'IA (AI Act) è entrato in vigore il 1° agosto 2024. I primi obblighi vincolanti hanno preso effetto a febbraio 2025. Altre scadenze arrivano nel corso del 2026 e del 2027. Se gestite la tecnologia o le operations in un'azienda tra 100 e 500 dipendenti in Francia o in Italia, non è una normativa che potete delegare all'ufficio legale e dimenticare. Influirà su cosa potete rilasciare, quando potete farlo e quale documentazione dovete avere prima che un sistema entri in produzione.
Questo articolo copre cosa richiede effettivamente il Regolamento, quali dei vostri sistemi di IA rientrano nel perimetro e i passi concreti che un'azienda di 200 persone deve compiere quest'anno.
Cos'è realmente il Regolamento sull'IA
Il Regolamento sull'IA è una normativa sulla sicurezza dei prodotti. Segue la logica della marcatura CE o dei livelli di rischio del GDPR. Più è alto il danno potenziale del vostro sistema di IA, più obblighi avete prima del deployment. Il Regolamento non vieta l'IA. Non vi chiede di smettere di costruire. Vi chiede di classificare ciò che state costruendo, documentarlo correttamente e, in alcuni casi, effettuare una valutazione di conformità da parte di terzi prima della messa in produzione. Le sanzioni per inadempienza arrivano fino a 30 milioni di euro o al 6% del fatturato annuo globale, a seconda di quale sia il valore più alto.
Quali sistemi di IA sono ad alto rischio e quali no
Il Regolamento traccia una linea tra alto rischio e tutto il resto.
Vietati (dal febbraio 2025):
- Sorveglianza biometrica in tempo reale in spazi pubblici (con eccezioni limitate per le forze dell'ordine)
- Punteggio sociale da parte di autorità pubbliche
- Sistemi di IA che manipolano il comportamento attraverso tecniche subliminali
- Sfruttamento delle vulnerabilità legate a età, disabilità o situazione sociale
Se nessuno dei vostri sistemi fa queste cose, non rientrate nella categoria vietata.
IA ad alto rischio (obblighi più stringenti): Include l'IA utilizzata nel recruiting e nelle decisioni HR, nel credit scoring, nella valutazione formativa o educativa, nei componenti di sicurezza delle infrastrutture critiche e negli strumenti utilizzati da forze dell'ordine o autorità per l'immigrazione. L'elenco completo si trova nell'Annex III del Regolamento.
Per la maggior parte delle PMI a Lione, Milano o Parigi, la domanda pratica è: state usando l'IA per filtrare CV, valutare candidati, misurare le performance dei dipendenti o prendere decisioni creditizie o assicurative? Se sì, quei sistemi sono ad alto rischio.
IA a rischio limitato: Chatbot, motori di raccomandazione, strumenti di generazione di contenuti. Questi comportano solo obblighi di trasparenza: dovete informare gli utenti che stanno interagendo con un sistema di IA. Generalmente è un intervento fattibile in uno sprint.
IA a rischio minimo: Filtri antispam, funzionalità ML di base nel vostro prodotto, dashboard di analytics assistite dall'IA. Nessun obbligo aggiuntivo oltre alle buone pratiche ingegneristiche.
Checklist pratica: cosa deve fare un'azienda di 200 persone nel 2026
Questo non è un parere legale. È ciò che abbiamo visto funzionare durante i deployment. Fate validare i dettagli specifici del vostro settore dai vostri legali.
1. Fate l'inventario. Mappate ogni sistema di IA che usate o costruite. Gli strumenti interni contano. I modelli di terze parti che integrate via API contano. Assegnate a ciascuno un livello di rischio secondo l'Annex III.
2. Verificate prima la vostra postura GDPR. Il Regolamento sull'IA e il GDPR si sovrappongono ampiamente. Se avete una struttura di data governance solida e una base giuridica legittima per il trattamento, siete già a metà strada verso la conformità al Regolamento sul versante dati.
3. Per i sistemi ad alto rischio, iniziate la documentazione adesso. Il Regolamento richiede un fascicolo tecnico che copra lo scopo previsto del sistema, le fonti dei dati di addestramento, le metriche di accuratezza, i limiti noti e i meccanismi di supervisione umana. Produrlo correttamente richiede tempo. Iniziare nel Q4 2026 è troppo tardi.
4. Stabilite un processo di supervisione umana. Le decisioni dell'IA ad alto rischio non possono essere completamente automatizzate. Vi serve un processo documentato per la revisione umana degli output, soprattutto quando la decisione riguarda dipendenti, clienti o l'ammissibilità a servizi finanziari.
5. Assegnate la responsabilità. Qualcuno nella vostra organizzazione deve essere titolare della conformità al Regolamento sull'IA. Non è una responsabilità condivisa. Designate una persona, datele perimetro e autorità, e documentatelo.
6. Rivedete i contratti con i fornitori. Se utilizzate un prodotto SaaS o un'API che incorpora IA in una categoria ad alto rischio, anche il vostro fornitore ha degli obblighi. Verificate cosa dicono i vostri contratti. Se non menzionano la conformità al Regolamento sull'IA, aggiornateli.
7. Formate i team coinvolti. Sviluppatori, product manager e team HR che utilizzano strumenti di IA devono capire cosa significa la supervisione nella pratica. Sessioni formative di un'ora sono sufficienti per la maggior parte dei team. Non si tratta di un corso di deep learning.
Cosa abbiamo visto nei deployment di Karven in Francia e Italia
Abbiamo lavorato con team operativi e tecnologici a Lione, Parigi e Milano per implementare sistemi di IA in ambienti regolamentati. Alcuni pattern ricorrono.
Le aziende che si muovono più velocemente sono quelle che hanno già una funzione di data governance. Quando la titolarità dei dati è chiara e i log di trattamento esistono, aggiungere un livello di conformità al Regolamento sull'IA richiede settimane, non mesi. Dove quella governance manca, vi ritrovate a gestire due progetti contemporaneamente.
La frizione maggiore la vediamo nell'HR tech. Diversi clienti avevano implementato strumenti di recruiting assistiti dall'IA costruiti su modelli di terze parti. Quegli strumenti si trovavano in una zona grigia: ad alto rischio secondo il Regolamento, ma costruiti e gestiti da un fornitore senza una postura di conformità chiara. Dipanare la situazione ha richiesto più tempo del deployment originale.
Le aziende che hanno bloccato completamente il deployment erano quelle in attesa di chiarezza perfetta da parte dei regolatori. Il Regolamento ha delle ambiguità. Le linee guida continuano a essere pubblicate dall'AI Office. Ma aspettare la certezza è la mossa sbagliata. Il quadro normativo è sufficientemente chiaro per agire. Le aziende che hanno iniziato il lavoro di conformità nel 2025 ora implementano con fiducia. Quelle che hanno aspettato ora corrono ai ripari.
I guadagni di efficienza sono reali. Abbiamo visto team che, dopo un processo di conformità strutturato, hanno rilasciato funzionalità di IA che hanno tenuto, perché avevano documentato il perimetro e i limiti dei loro sistemi fin dall'inizio. Su quei deployment, abbiamo registrato un miglioramento medio dell'efficienza del 35% nei workflow interessati. Le aziende che hanno saltato la conformità hanno spesso dovuto ritirare funzionalità dopo il deployment. Un costo molto più alto.
Dalla conformità alla produzione: come muoversi rapidamente restando in regola
L'obiettivo non è trattare la conformità come un cancello alla fine della vostra pipeline di delivery. Quel modello non regge sotto il Regolamento, perché i requisiti documentali devono essere integrati fin dall'inizio.
L'approccio che funziona è questo:
All'inizio di ogni nuovo progetto di IA, classificate il sistema. Scrivete lo scopo previsto, i dati in input e la decisione che il sistema prenderà o supporterà. Richiede un pomeriggio, non una settimana.
Durante lo sviluppo, documentate man mano che costruite. Model card, provenienza dei dati, benchmark di accuratezza. Non sono artefatti nuovi per gli ingegneri che sviluppano sistemi in produzione. Sono buone pratiche ingegneristiche che ora hanno una base normativa.
Prima del deployment, eseguite una revisione rispetto agli obblighi pertinenti. Se il sistema è ad alto rischio, questa revisione coinvolge la vostra funzione compliance o legale. Se è a rischio limitato, basta un'ora con i vostri responsabili prodotto e ingegneria.
Dopo il deployment, monitorate. Il Regolamento richiede il monitoraggio post-market per i sistemi ad alto rischio. Integrate il logging dal primo giorno. Costa molto meno che aggiungerlo a posteriori.
Non è un percorso lento. Le aziende che seguono questo processo implementano più velocemente dal secondo, terzo e quarto progetto in poi, perché il team ha interiorizzato il framework. Il primo progetto richiede più tempo. Ogni progetto successivo va più veloce.
Prossimo passo: prenotate una call di scoping sulla conformità
Se siete CTO, VP of Engineering o responsabili operativi in Francia o Italia e non siete certi di dove si posizionano i vostri sistemi rispetto al Regolamento, il passo più rapido è una call di scoping.
In un'ora, mapperemo i vostri attuali sistemi di IA rispetto ai livelli di rischio del Regolamento, identificheremo le due o tre cose che richiedono attenzione immediata e vi daremo una sequenza chiara di azioni per il 2026.
Niente slide. Niente framework generici. Specifico per il vostro stack e il vostro settore.
