Perimetro e soggetti coinvolti

Chi deve adeguarsi all’AI Act: soggetti obbligati, ruoli e casi pratici per aziende

Redazione GAPOFF · Aggiornato il 2026-05-20 · Revisione: 2026-05-20

Risposta rapida

Devono valutare l’AI Act non solo le aziende che sviluppano intelligenza artificiale, ma anche quelle che usano sistemi AI in ambito professionale, li importano, li distribuiscono, li integrano o li mettono a disposizione nel mercato europeo. Il perimetro si determina considerando ruolo, territorio, destinazione d’uso e rischio. Anche un’impresa non tecnologica può essere coinvolta se usa AI in HR, credito, servizi essenziali, customer care, sicurezza, education o processi che incidono su persone.

Verifica gli obblighi AI Act della tua organizzazione

Inventory sistemi AI, classificazione del rischio, governance e audit-ready.

Verifica gratis →

Perché questo tema è importante

La domanda “chi deve adeguarsi?” non ha una risposta unica perché l’AI Act non segue il settore dell’azienda ma il ruolo nella catena AI e l’uso concreto del sistema. Un’impresa manifatturiera può essere deployer di AI per manutenzione predittiva e provider se vende un macchinario con componente AI. Una banca può usare sistemi ad alto rischio per credito o assicurazioni. Una scuola può usare AI per valutare studenti. Una software house può diventare provider anche se il modello di base è di terzi.

Per GAPOFF il punto editoriale è sempre lo stesso: normativa → problema aziendale → rischio concreto → azione operativa → evidenza richiesta → modulo utile → CTA. L’AI Act non deve essere presentato come una raccolta astratta di articoli, ma come un sistema di controlli che l’organizzazione può applicare, dimostrare e aggiornare.

Quadro normativo e fonti ufficiali

Il riferimento principale è il Regolamento (UE) 2024/1689, cioè l’AI Act. Le fonti istituzionali da monitorare sono la pagina della Commissione Europea sull’AI Act, l’AI Act Service Desk, le pagine dedicate all’AI literacy, all’Articolo 6 sui sistemi ad alto rischio, all’Annex III, agli obblighi di provider, deployer, trasparenza e sanzioni.

Alla data di revisione di questo articolo va considerato anche l’accordo provvisorio del 7 maggio 2026 tra Consiglio e Parlamento sul pacchetto di semplificazione AI. Prima della pubblicazione definitiva, il coding agent o il revisore editoriale dovrà verificare lo stato dell’adozione formale e aggiornare date e note di manutenzione se necessario.

Cosa significa per l’azienda

Per un’organizzazione l’AI Act significa passare da uso spontaneo dell’intelligenza artificiale a governance documentata. Questo richiede almeno quattro livelli di controllo: inventario dei sistemi, classificazione del rischio, definizione dei ruoli e raccolta delle evidenze. Nei casi più delicati entrano in gioco valutazioni su dati personali, contratti con fornitori, human oversight, log, incidenti, formazione e reporting verso direzione o clienti.

La valutazione dipende dal caso concreto e deve essere verificata con professionisti qualificati e fonti ufficiali aggiornate. In particolare, non basta sapere che uno strumento “usa AI”: bisogna descrivere come viene usato, chi subisce gli effetti, se l’output influenza decisioni e se il sistema rientra in un’area sensibile.

Criteri per capire se sei dentro il perimetro

Verificare se l’organizzazione sviluppa o commissiona sviluppo di sistemi AI con proprio marchio.
Verificare se usa sistemi AI sotto la propria autorità in ambito professionale.
Verificare se importa o distribuisce sistemi AI nel mercato UE.
Verificare se i risultati del sistema sono usati nell’UE o producono effetti su persone nell’UE.
Verificare se il sistema rientra in aree sensibili: biometria, infrastrutture, education, lavoro, credito, servizi essenziali, law enforcement, migrazione, giustizia.
Verificare se esistono obblighi di trasparenza verso utenti o interessati.
Documentare eventuali esclusioni o classificazioni a rischio minimo.

Queste attività dovrebbero essere assegnate a owner interni, con data, stato, evidenza collegata e riesame periodico. La logica corretta non è completare un documento una tantum, ma mantenere un sistema aggiornato quando cambia il fornitore, il modello, il contesto d’uso o il processo aziendale.

Esempio pratico

Una piccola società di selezione personale usa un SaaS americano che propone ranking dei candidati. Anche senza sviluppare AI, la società può essere deployer in un contesto HR sensibile. Deve quindi comprendere istruzioni del fornitore, logica d’uso, impatto sui candidati, controllo umano, informazione e collegamento con privacy. Il fatto che il fornitore sia extra-UE non elimina gli obblighi dell’utilizzatore professionale.

Errori comuni da evitare

Guardare solo il codice ATECO dell’azienda.
Pensare che le PMI siano automaticamente escluse.
Dimenticare sistemi AI comprati come SaaS.
Non valutare effetti su persone nell’UE.
Non documentare perché un sistema non è ad alto rischio.

Come GAPOFF aiuta

GAPOFF guida l’azienda con un perimetro operativo: registro sistemi, ruolo aziendale, fornitore, scopo, dati, classificazione e owner. Questo approccio consente a consulenti e imprese di evitare risposte generiche e di costruire una posizione documentata per ogni sistema AI.

L'AI Act non si gestisce con Excel.

Inventory sistemi AI, classificazione del rischio, sorveglianza umana, documentazione tecnica, fornitori AI ed evidenze devono essere collegati e dimostrabili. GAPOFF unifica AI Act, GDPR (DPIA), Vendor Risk, NIS2, DORA e ISO 27001 in un unico sistema audit-ready.

Scopri il modulo AI Act →

Checklist operativa

Sistemi AI mappati per reparto.
Ruolo aziendale identificato.
Territorialità verificata.
Destinazione d’uso descritta.
Aree sensibili Annex III controllate.
Esclusioni documentate.
Owner e revisione assegnati.

Trasforma la checklist in attività tracciabili

Con GAPOFF ogni voce diventa un controllo con owner, scadenza ed evidenza — non un foglio Excel. Modulo AI Act →

FAQ

Una PMI deve adeguarsi all’AI Act?

Sì, se sviluppa, usa, importa o distribuisce sistemi AI nel perimetro del regolamento. Gli obblighi variano in base al ruolo e al rischio.

Un’azienda che usa solo SaaS con AI è coinvolta?

Potenzialmente sì come deployer, specialmente se l’AI incide su persone o processi sensibili.

Le aziende extra-UE sono coinvolte?

Possono esserlo se immettono sistemi nel mercato UE o se gli output sono usati nell’Unione.

Come documento che un sistema è fuori perimetro?

Con una valutazione scritta: scopo, funzionalità, ruolo aziendale, rischio, dati trattati e motivazione dell’esclusione.

Modulo GAPOFF AI Act

Inventory sistemi AI, classificazione del rischio (vietato/alto/limitato/minimo), obblighi provider e deployer, governance AI, documentazione tecnica, sorveglianza umana, GPAI, audit-ready. Cross-mapping con GDPR (DPIA), NIS2, DORA e ISO 27001.

Vai al modulo AI Act →

Fonti ufficiali e riferimenti

Disclaimer legale

Questo contenuto ha finalità informative e di orientamento generale. Non costituisce consulenza legale, tecnica, fiscale o organizzativa personalizzata. Per determinare obblighi, responsabilità e misure applicabili al caso concreto, è necessario svolgere una valutazione specifica con professionisti qualificati e fonti ufficiali aggiornate.

Libro: AI Act per il Business

Guida pratica scaricabile gratis — perimetro, obblighi, governance e implementazione operativa del Regolamento (UE) 2024/1689 per imprese italiane.

Scarica il libro (PDF)

FAQ