L'AI Act è entrato in vigore nell'agosto 2024. Per le startup SaaS che integrano intelligenza artificiale, il tempo per capire la classificazione del rischio e costruire la compliance — prima che arrivino le sanzioni — è adesso.
L'AI Act (Reg. UE 2024/1689) classifica i sistemi di intelligenza artificiale in quattro categorie di rischio, da "inaccettabile" (vietato) ad "alto rischio" (obblighi pesanti di documentazione, testing e supervisione umana), fino ai sistemi a rischio limitato o minimo. La maggior parte delle startup SaaS si trova nella zona grigia tra rischio limitato e alto rischio — e sbagliare classificazione è costoso.
Chi integra API di LLM come OpenAI o Anthropic nel proprio prodotto deve capire se diventa "deployer" o "provider" di un sistema AI ai sensi del regolamento. Chi sviluppa modelli proprietari ha obblighi aggiuntivi di documentazione tecnica. Chi usa AI per scoring, ranking o raccomandazioni verso consumatori ha obblighi di trasparenza che scattano progressivamente dal 2025.
La mia consulenza ti aiuta a navigare questo quadro normativo con un approccio ingegneristico: classificazione corretta, documentazione proporzionata al rischio, governance interna sostenibile per un team small.
Dall'analisi iniziale alla documentazione tecnica, un percorso strutturato per essere AI Act ready.
Analisi del sistema AI rispetto alle 4 categorie del regolamento. Mappatura dei casi d'uso vietati (art. 5), identificazione dei sistemi ad alto rischio (Allegato III), definizione degli obblighi applicabili. Output: classification memo con posizione difendibile.
Valutazione d'impatto sui diritti fondamentali per sistemi AI ad alto rischio e per sistemi utilizzati da enti pubblici. Metodologia EDPB-OECD, analisi dei bias, valutazione dell'impatto su gruppi vulnerabili. Documento obbligatorio dal 2026.
Redazione della technical documentation richiesta dall'Allegato IV AI Act: descrizione del sistema, performance metrics, dataset di training, istruzioni per l'uso, misure di supervisione umana. Adattata al tuo stack tecnico.
Analisi delle pratiche di data governance per il training dei modelli: provenienza, qualità, rappresentatività dei dataset. Identificazione di bias sistematici, raccomandazioni per il data pipeline, documentazione per il registro log obbligatorio.
Implementazione degli obblighi di disclosure per chatbot (art. 52 AI Act), sistemi di raccomandazione e contenuti sintetici. Redazione delle notifiche obbligatorie, revisione del flusso UX per garantire il consenso informato.
Progettazione delle procedure di supervisione umana richieste per i sistemi ad alto rischio. Definizione dei ruoli, dei trigger di escalation e delle procedure di override. Policy interna per il team, allineata con gli obblighi del deployer.
L'AI Act tocca chiunque costruisca o utilizzi sistemi AI nel contesto europeo. Tre scenari tipici.
Hai integrato chatbot, motori di raccomandazione, scoring automatico o analisi predittiva nel tuo prodotto. Gli utenti interagiscono con decisioni algoritmiche. Devi capire se scattano obblighi di trasparenza o di alto rischio.
Usi API di modelli foundation di terze parti e le esponi ai tuoi utenti come parte del tuo prodotto. Sei un "deployer" ai sensi del regolamento. Hai obblighi specifici distinti da quelli del provider del modello.
Sviluppi e addestri modelli ML o AI per uso interno o come core del prodotto. Sei un "provider" con obblighi più estesi: documentazione tecnica, conformità per progettazione, registrazione nel database EU. Il percorso verso il mercato è più lungo.
L'AI Act si applica progressivamente. Ecco le date chiave per le startup tech.
Proibiti i sistemi di AI inaccettabili: social scoring da enti pubblici, manipolazione subliminale, identificazione biometrica real-time in spazi pubblici (con eccezioni), pratiche di polizia predittiva su individui. Sanzioni fino a 35M€ o 7% del fatturato globale.
Entrano in vigore le norme sui modelli GPAI (Titolo VIII). Provider di modelli con più di 10^25 FLOPs devono pubblicare il sommario dei dati di training, rispettare il copyright, implementare politiche di sicurezza. Rilevante per chi sviluppa modelli foundation.
Tutti gli obblighi per i sistemi AI ad alto rischio (Allegato III) diventano pienamente esigibili: documentazione tecnica, registrazione nel database EU, FRIA, supervisione umana, log automatici. Autorità di vigilanza nazionali operative. Sanzioni fino a 15M€ o 3% del fatturato.
Sì. Chi integra un'API di LLM di terze parti nel proprio prodotto e lo espone agli utenti finali è qualificato come "deployer" ai sensi dell'AI Act. Non sei il provider del modello (OpenAI lo è), ma hai obblighi propri: trasparenza verso gli utenti, misure di supervisione umana per usi ad alto rischio, e — se il modello è usato in contesti elencati nell'Allegato III (selezione del personale, accesso a servizi, valutazione degli studenti…) — obblighi completi da deployer di AI ad alto rischio.
Il caso d'uso specifico è determinante. Un chatbot di customer support è probabilmente a rischio limitato. Un sistema di scoring per l'accesso al credito basato su LLM è quasi certamente ad alto rischio.
L'Allegato III dell'AI Act elenca 8 categorie di sistemi ad alto rischio: infrastrutture critiche, istruzione, occupazione (recruiting, performance management), accesso a servizi essenziali (credito, assicurazione), law enforcement, migrazione, amministrazione della giustizia, e processi democratici.
Un sistema AI è ad alto rischio se rientra in queste categorie E se ha un impatto significativo sugli interessati. Il regolamento prevede anche una procedura di auto-classificazione per sistemi che potrebbero sembrare borderline. L'errore di classificazione verso il basso (underclassification) è il rischio più comune — e quello più sanzionato.
Sì, con lo stesso principio di extraterritorialità del GDPR. L'AI Act si applica a: (1) provider che immettono sistemi AI sul mercato UE, indipendentemente da dove sono stabiliti; (2) deployer stabiliti nell'UE, indipendentemente da dove gira il sistema; (3) provider e deployer extra-UE quando l'output del sistema è usato nell'UE.
Una startup americana con clienti europei che usa un modello AI per profilare quegli utenti è soggetta al regolamento. La giurisdizione del server è irrilevante.
Iniziamo con una sessione di classificazione: analizziamo il tuo prodotto, identifichiamo la categoria di rischio corretta e definiamo le priorità di compliance. 45 minuti, nessun impegno.
Contattami