C'è una data che vale la pena segnare sul calendario
2 agosto 2026. Da quel giorno, il Regolamento (UE) 2024/1689, noto come EU AI Act, sarà in piena applicazione. Non è un annuncio, non è una bozza: è la legge già in vigore, con una roadmap di scadenze progressive che in buona parte sono già passate.
Il problema è che la maggior parte delle aziende italiane, soprattutto le PMI, sta ancora affrontando questa normativa come se fosse roba da grandi tech company. Non è così. Il Regolamento si applica anche a chi usa sistemi di AI in contesto professionale, non solo a chi li sviluppa. Chi usa un CRM predittivo, un chatbot o un software HR con funzioni automatizzate è già soggetto alla normativa.
Proviamo a fare chiarezza su cosa è già successo, cosa scatta tra pochi mesi e cosa significa concretamente per chi sviluppa software con AI o per chi lo usa in azienda.
Cosa è già entrato in vigore (e molti non lo sanno)
L'AI Act non è arrivato tutto insieme. La prima scadenza critica è stata il 2 febbraio 2025, quando è scattato il divieto assoluto per i sistemi AI a rischio inaccettabile, come il social scoring, la manipolazione subliminale e la sorveglianza biometrica di massa. La seconda scadenza, il 2 agosto 2025, ha riguardato invece gli obblighi per i modelli di AI general-purpose (GPAI), che si applica direttamente a chi usa LLM come GPT, Claude o Gemini in produzione.
C'è anche un obbligo che è passato quasi in sordina: l'AI Act impone che tutti i dipendenti che usano sistemi AI abbiano un livello di AI literacy proporzionato al loro ruolo. Non si tratta di un corso tecnico avanzato, è un obbligo di consapevolezza. Chi non ha ancora fatto nulla su questo fronte è già in ritardo.
Il punto è che questi obblighi non sono teorici. Sono già attivi.
La distinzione che tutti devono capire: provider vs deployer
Questa è forse la cosa più importante da interiorizzare, e anche quella su cui c'è più confusione.
L'AI Act distingue principalmente tra fornitori e deployer, ossia tra chi sviluppa il sistema IA e lo immette sul mercato sotto la propria responsabilità, e chi lo utilizza. Sulla carta la distinzione sembra netta, ma nella concreta applicazione il confine tra le due figure è spesso difficile da individuare.
Per una software house come noi, la distinzione è tutt'altro che accademica. Un'agenzia o una software house che sviluppa per un cliente un assistente virtuale, usando l'API di un modello esistente e aggiungendo codice, interfaccia e branding, agli occhi del Regolamento non è più un semplice utilizzatore dell'AI: è un fornitore, con obblighi ben più gravosi rispetto a chi usa ChatGPT come strumento operativo.
In pratica: se integri un modello AI in un prodotto che poi consegni a un cliente, sei probabilmente un provider. Se usi strumenti AI internamente per lavorare meglio, sei un deployer. Attenzione però: se personalizzi un modello tramite fine-tuning per un caso d'uso specifico, puoi essere considerato provider anche se non hai sviluppato il modello base.
E per i deployer? Gli obblighi sono meno pesanti ma concreti: supervisione umana, formazione del personale, gestione del rischio e trasparenza verso gli utenti finali. Non è un'esenzione, è un perimetro diverso.
I quattro livelli di rischio: dove ti collochi
L'AI Act classifica i sistemi in quattro categorie. Il livello di rischio determina quali obblighi si applicano, e qui la differenza è sostanziale.
I sistemi a rischio inaccettabile sono vietati dal febbraio 2025: manipolazione comportamentale, social scoring governativo, biometria in tempo reale in spazi pubblici. Nessun adeguamento possibile, semplicemente non si fanno.
I sistemi ad alto rischio sono quelli che entrano in gioco in settori sensibili: selezione del personale, credito, sistemi educativi, componenti di sicurezza. Per le aziende che li utilizzano, la scadenza operativa è il 2 agosto 2026, quando entreranno in vigore gli obblighi completi: documentazione tecnica, valutazione di conformità, registrazione nel database europeo e monitoraggio post-market.
I sistemi a rischio limitato, come i chatbot che devono dichiarare di essere AI, hanno obblighi principalmente di trasparenza. Quelli a rischio minimo, come i filtri antispam o i sistemi di raccomandazione di contenuti generici, non hanno obblighi specifici.
La domanda pratica che ogni azienda dovrebbe farsi adesso: in quale categoria ricade il software AI che sviluppo o che uso?
Cosa scatta ad agosto 2026 e cosa viene dopo
Da agosto 2026, tutte le disposizioni dell'AI Act diventeranno pienamente applicabili. Chi sviluppa o utilizza sistemi di intelligenza artificiale nei propri processi dovrà essere conforme a tutti gli obblighi previsti, pena sanzioni fino a 35 milioni di euro o al 7% del fatturato annuo globale.
Le sanzioni seguono una logica a tre livelli ben precisa:
- Violazione dei divieti (sistemi a rischio inaccettabile): fino a 35 milioni di euro o il 7% del fatturato globale
- Violazione degli obblighi per i sistemi ad alto rischio: fino a 15 milioni o il 3% del fatturato
- Informazioni false alle autorità: fino a 7,5 milioni o l'1% del fatturato
Per le PMI si applica sempre l'importo più basso. Ma le sanzioni economiche non sono il rischio peggiore. Le autorità possono ordinare la sospensione o il ritiro dal mercato del sistema non conforme, con impatti operativi potenzialmente più gravi della multa stessa.
La roadmap non si ferma ad agosto 2026. Il 2 agosto 2027 diventerà applicabile l'Articolo 6(1), con le relative regole di classificazione per i sistemi di AI ad alto rischio che fungono da componenti di sicurezza di prodotti già regolamentati. Per i modelli già sul mercato prima di agosto 2025, invece, i fornitori hanno tempo fino al 2027 per adeguarsi.
Cosa fare adesso, concretamente
Non serve entrare nel panico, ma serve muoversi. Tre azioni pratiche che consigliamo a chi sviluppa o usa software con componenti AI:
- Mappa i sistemi AI in uso o in sviluppo. Identifica cosa usi internamente e cosa consegni ai clienti. Per ciascuno, chiediti: in quale categoria di rischio rientra? Sono provider o deployer?
- Rivedi i contratti con fornitori e clienti. Molti contratti SaaS attuali non chiariscono i ruoli tra provider e deployer. Prima di agosto 2026 è il momento di allinearli. Chi è responsabile di cosa, in caso di contestazione?
- Avvia un piano di AI literacy interno. Non un corso da 40 ore, ma una consapevolezza di base su cosa si usa e perché. È già obbligatorio, non è opzionale.
Noi di Redergo stiamo già integrando queste valutazioni nei progetti che sviluppiamo con componenti AI, dalla fase di design fino alla documentazione tecnica consegnata al cliente. Se stai sviluppando o valutando un sistema con funzioni di intelligenza artificiale e vuoi capire dove ti collochi rispetto alla normativa, parlaci del tuo progetto.
