La scadenza prevista dalla legge UE sull'IA si avvicina rapidamente. Entro il 2 agosto 2026, tutte le organizzazioni che gestiscono sistemi di IA nell'Unione Europea dovranno conformarsi alle nuove normative relative ai sistemi ad alto rischio. Ecco la vostra checklist completa per la conformità.
Iniziate catalogando ogni sistema di IA presente nella vostra organizzazione. Ciò include strumenti evidenti come chatbot e motori di raccomandazione, ma anche altri meno evidenti: screening automatizzato dei CV, manutenzione predittiva, algoritmi di valutazione del merito creditizio e persino l'instradamento del servizio clienti potenziato dall'IA.
L'AI Act definisce quattro livelli di rischio. Le pratiche vietate (Articolo 5) devono essere interrotte immediatamente — ciò include il social scoring, l'IA manipolativa e l'identificazione biometrica in tempo reale negli spazi pubblici. I sistemi ad alto rischio (Allegato III) richiedono misure di conformità complete. I sistemi a rischio limitato necessitano di etichette di trasparenza. I sistemi a rischio minimo non hanno obblighi specifici.
Per ogni sistema di IA ad alto rischio, è necessario un processo di gestione del rischio documentato. Ciò significa identificare i rischi potenziali, valutarne la probabilità e la gravità, implementare misure di mitigazione e monitorare continuamente i nuovi rischi dopo l'implementazione.
I dati di addestramento devono essere pertinenti, rappresentativi e privi di pregiudizi. Documentare la provenienza dei dati, le modalità di elaborazione e i controlli di qualità effettuati. Non si tratta solo di un requisito tecnico, ma di un obbligo legale con sanzioni significative in caso di non conformità.
Ogni sistema ad alto rischio necessita di una documentazione tecnica completa: lo scopo del sistema, l'architettura, le metriche di prestazione, i limiti noti e le istruzioni per la supervisione umana. Questa documentazione deve essere accessibile alle autorità di regolamentazione su richiesta.
Designare persone in grado di monitorare, interpretare e sovrascrivere le decisioni dell'IA. Questi responsabili della supervisione devono comprendere le capacità e i limiti del sistema, essere in grado di intervenire in qualsiasi momento e avere l'autorità di arrestare il sistema se necessario.
Prima di immettere sul mercato un sistema di IA ad alto rischio, è necessario completare una valutazione di conformità. Per la maggior parte dei sistemi, ciò può essere fatto internamente. Tuttavia, alcune categorie — in particolare i sistemi di identificazione biometrica — richiedono la valutazione da parte di un organismo notificato esterno.
Le sanzioni sono ingenti: fino a 35 milioni di euro o il 7% del fatturato annuo globale per le pratiche vietate, e fino a 15 milioni di euro o il 3% per le violazioni ad alto rischio. A differenza del GDPR, l'applicazione della normativa dovrebbe essere proattiva piuttosto che basata sui reclami.
Il messaggio è chiaro: le organizzazioni che iniziano a prepararsi ora avranno un vantaggio competitivo. Chi aspetta rischia non solo multe, ma anche di perdere la fiducia dei clienti in un mercato sempre più consapevole dell'IA.