Il 2 agosto 2026 entra in vigore il quadro di conformità completo per i sistemi di IA ad alto rischio previsto dal Regolamento sull'IA. Le sanzioni raggiungono i 15 milioni di euro o il 3% del fatturato annuo globale. A cinque mesi dalla scadenza, la maggior parte delle PMI non è pronta. Molte non sanno nemmeno se rientrano nel perimetro di applicazione.
Ecco la situazione reale.
Cosa cambia concretamente il 2 agosto
Il Regolamento sull'IA è stato introdotto per fasi dal momento della sua entrata in vigore nell'agosto 2024. La prima tornata, che copriva le pratiche di IA vietate, è diventata applicabile nel febbraio 2025. Se la vostra azienda utilizza l'IA per il punteggio sociale o l'identificazione biometrica in tempo reale in spazi pubblici, tali divieti sono già operativi.
Il 2 agosto 2026 è la data in cui entrano in vigore gli obblighi per i sistemi di IA ad alto rischio. È qui che si collocano la maggior parte delle PMI.
I sistemi di IA ad alto rischio, come definiti nell'Annex III del Regolamento, devono soddisfare un insieme specifico di requisiti entro quella data:
- Valutazioni di conformità completate e documentate
- Documentazione tecnica disponibile e aggiornata
- Sistemi di registrazione operativi, in modo che le decisioni dell'IA siano tracciabili
- Meccanismi di supervisione umana attivi e assegnati a un responsabile designato
- Registrazione nella banca dati dell'UE per alcune categorie di sistemi
- Formazione del personale sui sistemi che utilizza
Se siete un "deployer", ovvero utilizzate un'IA sviluppata da una terza parte, i vostri obblighi sono in parte più limitati rispetto a quelli di un fornitore, ma rimangono comunque rilevanti. Siete responsabili di garantire che il sistema venga utilizzato secondo le istruzioni del fornitore, che la registrazione venga mantenuta, che venga designato un responsabile e che le condizioni di utilizzo soddisfino i requisiti del Regolamento.
Anche gli obblighi di trasparenza per i sistemi di IA che interagiscono con le persone entrano pienamente in vigore il 2 agosto. I chatbot rivolti ai clienti e gli strumenti per la generazione di contenuti tramite IA dovranno identificarsi come tali.
Chi è davvero a rischio
Qualsiasi PMI europea che utilizza l'IA per decisioni in ambito HR o finanziario. Questa è la risposta diretta.
Nello specifico, se la vostra azienda conta tra 50 e 500 dipendenti e utilizza l'IA in uno dei modi seguenti, rientrate nel perimetro della classificazione ad alto rischio:
HR e lavoro: selezione di CV, classificazione di candidati, monitoraggio delle performance dei dipendenti, raccomandazioni di promozione, pianificazione basata su dati di produttività. Le piattaforme ATS che la maggior parte delle PMI utilizza hanno integrato queste funzionalità negli ultimi due anni. Molte sono attive per impostazione predefinita.
Decisioni creditizie e finanziarie: scoring di affidabilità creditizia, valutazione del rischio assicurativo, sottoscrizione di prestiti. Se la vostra azienda gestisce credito o assicurazioni, o utilizza l'IA per prendere decisioni sui conti dei clienti, questo vi riguarda.
Istruzione e formazione: strumenti di valutazione degli esami, sistemi di assessment degli studenti. Meno diffusi nelle PMI, ma vale la pena verificare se gestite programmi di formazione.
Accesso a servizi essenziali: se utilizzate l'IA per determinare chi ottiene l'accesso a un servizio, a un beneficio o a un'opportunità, e quella decisione ha conseguenze concrete per le persone, il Regolamento la classifica probabilmente come ad alto rischio.
Il punto critico è che molte aziende non sanno di stare usando l'IA in queste categorie. Una funzionalità integrata nella piattaforma HR in uso dal 2021 innesca comunque la questione della classificazione.
La geografia è rilevante. Il Regolamento si applica ai sistemi di IA utilizzati nell'UE, indipendentemente da dove ha sede l'azienda. Una società britannica con clienti nell'UE che usa l'IA per decisioni creditizie rientra nel perimetro. Una società statunitense che fornisce strumenti di screening HR a un datore di lavoro francese rientra nel perimetro come fornitore.
Cosa richiede concretamente la conformità
È qui che le persone si perdono tra i riassunti legali. Vediamo nel dettaglio cosa bisogna effettivamente fare.
Passo 1: sapere cosa avete. Fate un inventario dell'IA. Elencate ogni strumento che utilizza il machine learning o l'automazione decisionale che riguarda persone. Includete le funzionalità di IA integrate nelle piattaforme che già utilizzate. Questo passaggio richiede da due a quattro giorni con le persone giuste coinvolte. Non saltatelo: tutto il resto dipende da questo.
Passo 2: classificare ogni strumento. Per ogni elemento dell'inventario, chiedetevi: è presente nell'Annex III? In caso affermativo, trattatelo come ad alto rischio. Se non siete sicuri, trattatelo come ad alto rischio finché non riuscite a documentare il motivo per cui non lo è.
Passo 3: colmare le lacune con i fornitori. Per ogni strumento ad alto rischio, avete il diritto di richiedere al fornitore la documentazione tecnica e le prove della valutazione di conformità. Se non riesce a fornirle, non è in regola come provider e voi avete una decisione di procurement da prendere. Verificate anche che i Data Processing Agreements siano aggiornati e coprano le attività di trattamento tramite IA attualmente in corso.
Passo 4: designare la supervisione. Assegnate un responsabile per ogni sistema ad alto rischio. Quella persona deve conoscere le capacità e i limiti del sistema, avere l'autorità di sovrascriverlo o sospenderlo, ed essere formalmente registrata come operatore responsabile.
Passo 5: documentare. Create un registro dell'IA, ovvero un documento centrale che contenga ogni sistema di IA, la sua classificazione, il responsabile e lo stato delle attività di conformità. Può essere un foglio di calcolo. L'importante è che esista e sia aggiornato.
Passo 6: formare il team. L'articolo 4 del Regolamento richiede che i deployer garantiscano che il personale che opera con sistemi di IA abbia un'adeguata alfabetizzazione sull'IA. Organizzate una sessione di formazione documentata e conservate i registri di chi ha partecipato e quando.
Nulla di tutto questo richiede un team legale o un budget di compliance da grande azienda. Richiede alcuni mesi di lavoro strutturato e qualcuno con l'autorità di guidarlo.
Cosa succede se non rispettate la scadenza
Parliamo con realismo: il 2 agosto 2026 non è il giorno in cui le sanzioni inizieranno a piovere in massa. Le autorità nazionali competenti che gli Stati membri dell'UE erano tenuti a designare entro agosto 2025 sono di recente operatività, e gli organi di vigilanza tendono tipicamente a occuparsi prima dei casi più rilevanti prima di rivolgersi alle PMI.
Detto questo, le conseguenze dell'inazione sono reali e si accumulano nel tempo.
Il rischio di sanzioni esiste e crescerà. Il GDPR è un esempio istruttivo. L'applicazione è stata lenta nel periodo 2018-2020. Nel periodo 2022-2024, le sanzioni significative contro le PMI erano diventate routine. Il Regolamento seguirà la stessa traiettoria. Le aziende che si troveranno impreparate nel 2027 o nel 2028 si pentiranno di non aver agito nel 2026.
Le richieste di clienti e procurement si stanno già inasprendo. I clienti enterprise e i processi di acquisto del settore pubblico cominciano a richiedere la conformità documentata all'IA come condizione contrattuale. Se vendete a grandi aziende o enti pubblici in Europa, questo vi riguarderà a prescindere da eventuali controlli dei regolatori.
La pressione dei fornitori aggrava il problema. I vostri fornitori si stanno affrettando a mettere in ordine la propria conformità. Alcuni inizieranno a richiedere ai deployer la firma di addendum specifici per il Regolamento. Altri potrebbero ritirare funzionalità ad alto rischio dai mercati in cui non riescono a garantire la conformità.
La questione assicurativa si sta delineando. Alcune compagnie di assicurazione di responsabilità professionale hanno iniziato a includere domande sulla governance dell'IA nei questionari di rinnovo. I programmi di conformità documentati stanno diventando un fattore nei termini di copertura, non solo nel rischio regolatorio.
La struttura delle sanzioni prevede fino a 15 milioni di euro o il 3% del fatturato annuo globale per le violazioni degli obblighi sui sistemi di IA ad alto rischio. Per un'azienda con 50 milioni di euro di fatturato, si tratta di fino a 1,5 milioni di euro. I casi più gravi riguardanti pratiche vietate prevedono fino a 35 milioni di euro o il 7% del fatturato.
Il Compliance Sprint di Karven
Karven ha un programma di conformità strutturato e a tempo definito per le PMI che devono colmare il divario prima di agosto. Comprende l'inventario dell'IA, la classificazione del rischio, la valutazione delle lacune con i fornitori e il pacchetto di documentazione in circa sei settimane, con un perimetro fisso e un deliverable chiaro.
Se partite da zero, sei settimane sono sufficienti per comprendere la vostra esposizione e disporre di un programma di conformità documentato. Alcune aziende hanno bisogno solo dell'inventario e di un secondo parere su quanto emerso. Altre necessitano di supporto dalla fase di discovery fino all'implementazione.
Parlate con noi su karven.ai/contact. Il calendario si riempie rapidamente con l'avvicinarsi di agosto.
Cinque mesi sembrano un tempo abbondante. Ma quando si considerano i tempi di risposta dei fornitori, i processi di approvazione interni, i cicli di procurement e la realtà che le persone che devono essere coinvolte sono già impegnate, non lo sono.
Iniziate l'inventario adesso.
