PROTEGGI Intelligenza Artificiale sicura
Policy AI
Che tu sia una multinazionale o piccola azienda, una Onlus, un professionista o una scuola, chiunque utilizzi l’Intelligenza Artificiale per lavoro è soggetto a nuovi obblighi.
Il 2 agosto 2026, infatti, l’AI Act diventa pienamente applicabile. Da questa data, chi usa l’AI per lavoro deve rispettare precisi obblighi normativi e poterlo dimostrare.
Livelli di Rischio
Il rischio dipende dall’USO dell’AI, non dal settore di azienda
L’AI Act identifica 4 livelli di rischio per chi usa l’AI:
INACCETTABILE
Social scoring, manipolazione comportamento, sorveglianza…
alto rischio
Screening CV automatizzato, credit scroing, biometria…
rischio limitato
Contenuti generati da AI, chatbot, deep fake…
basso rischio
Tool di produttività, filtri spam,organizzazione documenti…
Ciascun livello comporta obblighi diversi.
Ricorda:
Anche se rientri nel rischio limitato o minimo per l'AI Act, l'uso scorretto dell'AI può violare oggi stesso il GDPR, operativo e sanzionabile dal 2018.
La maggior parte delle aziende e persone che usano l’AI generativa per lavoro (definite Deployer) rientrano nel rischio limitato o minimo.
Qui ci concentriamo su questi due livelli, i più comuni per PMI, studi professionali, aziende e Onlus che utilizzano AI come strumento operativo quotidiano.
Alcuni esempi che possono riguardarti:
Chi pubblica sul sito testi e immagini realizzate con AI, senza etichettatura, rischia sanzioni fino a € 15 milioni.
Un volontario che usa l’AI per riassumere verbali con dati dei beneficiari rischia violazioni GDPR con sanzioni fino a € 20 milioni.
Il cliente ti ha inviato documentazione tecnica riservata, know-how aziendale, materiali formativi in anteprima, informazioni coperte da NDA. Se inserisci questi dati in AI pubbliche, violi il GDPR e obblighi contrattuali, con sanzioni fino a € 20 milioni o 4% del fatturato annuo.
Prepari un’offerta inserendo in ChatGPT dati riservati del capitolato o informazioni confidenziali del cliente. Violi il GDPR e gli obblighi contrattuali. Nelle gare PA, l’azienda perde i requisiti di conformità; nelle gare private, perde il vantaggio competitivo rispetto a chi dimostra garanzie superiori su AI e dati.
Uno studio legale o commercialista usano AI per redigere pareri, contratti o dichiarazioni fiscali senza informare il cliente. Violano gli obblighi di trasparenza AI Act con sanzioni fino a € 15 milioni.
Se nella tua Organizzazione dipendenti e collaboratori usano l’AI, sei obbligato a fornire una formazione adeguata a tutti.
Obblighi AI ACT
I principali obblighi per chi usa l’AI a Rischio limitato o minimo sono:
trasparenza
informare gli utenti
etichettatura
marcare i contenuti
formazione
formare i dipendenti
Sanzioni AI ACT
L’AI Act stabilisce tre livelli di sanzioni amministrative pecuniarie massime:
Violazioni più gravi
Fino a € 35 milioni o 7% del fatturato annuo
Violazione obblighi di trasparenza e altri obblighi rilevanti
Violare obblighi di trasparenza e altri obblighi rilevanti: fino a € 15 milioni o 3% del fatturato annuo
Informazioni inesatte o fuorvianti
Fornire informazioni inesatte, incomplete o fuorvianti alle autorità: fino a € 7,5 milioni o 1% del fatturato annuo
COSA FARE: ROADMAP COMPLIANCE AI
Avere una Policy AI significa definire regole chiare per l’uso dell’intelligenza artificiale, che ti mette al riparo da rischi, sanzioni e perdita di fiducia, facilita accertamenti e ispezioni, garantisce qualità del lavoro, tutela il tuo know-how, previene errori professionali, rispetta obblighi verso terzi.
Ecco una sintesi delle cose da fare:
mappatura
e invetario dei casi d'uso AI
Classificazione
per livello di rischio
Formazione
e sviluppo competenze
ruoli
e responsabilità
Trasparenza
e etichettatura, contratti
Documentazione
e tracciabilità
PERCHÉ INIZIARE ORA
La scadenza del 2 agosto 2026 è vicina.
Serve tempo per: mappare gli usi AI, classificare i rischi, formare il personale, verificare la conformità GDPR, aggiornare informative e contratti, prepararsi agli audit. Anche le aziende a rischio limitato devono organizzarsi.
Aspettare comporta rischi significativi:
- Complessità tecnica e organizzativa
Implementare documentazione, logging, monitoraggio e formazione non si fa in pochi giorni. - Spreco di investimenti
Progetti AI impostati in modo non conforme vanno rifatti da zero. - Perdita vantaggio competitivo
Chi è già conforme vince gare e clienti. Fornitori e committenti valutano sempre più le garanzie AI e dati. - Sanzioni pesanti
Multe fino a € 35 milioni + danno reputazionale che può compromettere l’attività.
Non serve fare tutto subito, ma serve iniziare adesso.
Indipendentemente da future evoluzioni normative, suggeriamo di iniziare subito almeno con alcuni primi passi indispensabili.
Ogni giorno che passa senza agire aumenta l’esposizione a violazioni GDPR e rischi operativi.
FAQ
Sì. L’AI Act distingue tra fornitore (chi sviluppa/vende il sistema AI) e deployer (chi lo mette in servizio/usa professionalmente).
Il deployer è il custode del corretto utilizzo: informa gli utenti, monitora gli effetti del sistema e documenta i casi d’uso nel suo file di conformità.
Usi un chatbot per assistenza clienti? Fai selezionare i CV con un software automatico? Generi contenuti (testi, immagini) con AI per marketing? Inserisci in AI pubbliche dati clienti, documenti in anteprima cliente, materiale coperto da NDA?
Anche solo usare strumenti AI “normali” nel lavoro quotidiano ti riguarda: devi formare il personale su cosa puoi/non puoi inserirci e rispettare gli obblighi di trasparenza quando l’AI interagisce con persone.
GDPR: già operativo dal 2018. Usare AI scorrettamente viola il GDPR oggi stesso.
AI Act: alcuni obblighi sono in vigore dal 2 febbraio 2025 ma la maggior parte lo sarà dal 2 agosto 2026.
Pensare “lo facciamo vedere all’avvocato”. La policy AI non è solo carta: servono processi, responsabili, controlli, documentazione. Devi mappare e coinvolgere tutti quelli che in azienda usano l’AI: dal commerciale che usa ChatGPT per le mail, all’HR che fa lo screening dei CV, al marketing che genera contenuti, al formatore che inserisce documenti riservati del cliente, al progettista che compila bandi, all’amministrativo che riassume riunioni con dati beneficiari, al docente che prepara materiale inserendo dati degli alunni. Ognuno deve sapere cosa può/non può fare ed essere formato. È un lavoro di squadra che parte dal censire chi in azienda tocca l’AI ogni giorno, anche per operazioni che sembrano banali.
Varia molto: da poche migliaia di euro per formazione e policy base fino a investimenti maggiori per sistemi ad alto rischio. Ma le sanzioni sono devastanti: fino a € 35 milioni (AI Act) + € 20 milioni (GDPR), senza contare il danno reputazionale.
Garante Privacy per protezione dati personali, AgID (Agenzia per l’Italia Digitale) e ACN (Agenzia per la Cybersicurezza Nazionale), più altre autorità settoriali. Possono fare ispezioni, chiedere documentazione, testare i sistemi.
Il GDPR protegge i dati personali, l’AI Act regola come funzionano i sistemi IA. Si sovrappongono spesso: un sistema IA può violare entrambi contemporaneamente.
È stata presentata una proposta (“Digital Omnibus”) che, se approvata, potrebbe modificare alcuni obblighi dell’AI Act per chi usa l’AI. Prevede possibili alleggerimenti sull’obbligo formativo e sulle sanzioni, più tempo per l’etichettatura dei contenuti.
Ma i divieti più gravi e gli obblighi di trasparenza sostanziali (anche in ottemperanza al Gdpr) restano invariati.
Consigliamo dunque di prepararsi per la scadenza del 2 agosto 2026.
