Il conto alla rovescia di agosto

2 agosto 2026. È la data in cui le disposizioni del Regolamento UE sull’IA per i sistemi IA ad alto rischio entrano pienamente in vigore. Non le disposizioni sui modelli GPAI e le regole di governance — quelle si applicano dal 2 agosto 2025. Non le pratiche vietate — quelle sono entrate in vigore a febbraio 2025. Le disposizioni ad alto rischio. Quelle con i denti.

Cinque mesi da oggi.

Questo non è un altro articolo “cosa significa il Regolamento UE sull’IA per la tua azienda”. Il mercato ne ha prodotti migliaia. Sono astratti, completi e operativamente inutili — progettati per dimostrare la familiarità dell’autore con il regolamento, non per aiutare un’azienda a prepararsi alla conformità.

Questa è un’analisi specifica, articolo per articolo, di cosa un’azienda che distribuisce sistemi IA deve avere in essere entro il 2 agosto 2026. È scritto per aziende con 50-500 dipendenti che hanno distribuito o stanno distribuendo sistemi IA che potrebbero rientrare nella classificazione ad alto rischio. Si assume che non hai iniziato a prepararti. Cinque mesi bastano — se inizi ora.

Il tuo sistema è ad alto rischio?

L’Articolo 6 definisce i sistemi IA ad alto rischio in due categorie:

Categoria 1 (Articolo 6(1)): Sistemi IA che sono componenti di sicurezza di prodotti, o sono essi stessi prodotti, coperti dalla legislazione di armonizzazione UE elencata nell’Allegato I. Questo include macchinari, dispositivi medici, giocattoli, apparecchiature radio, aviazione civile, veicoli, attrezzature marine, sistemi ferroviari e altri. Se il tuo sistema IA è incorporato in o agisce come componente di sicurezza di un prodotto coperto da queste direttive, è ad alto rischio per definizione.

Categoria 2 (Articolo 6(2) e Allegato III): Sistemi IA utilizzati in specifiche aree ad alto rischio elencate nell’Allegato III. Le otto aree sono:

1. Identificazione e categorizzazione biometrica. Sistemi di identificazione biometrica a distanza, riconoscimento delle emozioni, categorizzazione biometrica.
2. Gestione e funzionamento di infrastrutture critiche. Sistemi IA utilizzati come componenti di sicurezza nella gestione del traffico stradale, della fornitura idrica, del gas, del riscaldamento e dell’elettricità.
3. Istruzione e formazione professionale. Sistemi IA che determinano l’accesso all’istruzione, valutano i risultati dell’apprendimento, monitorano il comportamento vietato durante gli esami.
4. Occupazione, gestione dei lavoratori e accesso al lavoro autonomo. Sistemi IA per lo screening delle candidature, il targeting degli annunci di lavoro, le decisioni di assunzione, l’assegnazione dei compiti, il monitoraggio e la valutazione delle prestazioni dei lavoratori, e le decisioni su promozione o licenziamento.
5. Accesso a servizi privati e pubblici essenziali. Credit scoring, pricing assicurativo, idoneità ai benefici sociali, smistamento dei servizi di emergenza.
6. Applicazione della legge. Valutazioni del rischio individuale, rilevamento delle menzogne, valutazione delle prove, profilazione.
7. Migrazione, asilo e controllo delle frontiere. Valutazioni del rischio, verifica dei documenti, elaborazione delle domande.
8. Amministrazione della giustizia e processi democratici. Sistemi IA che assistono nella ricerca giuridica, nell’analisi dei casi o nella determinazione delle sentenze.

Per una PMI UE con 50-500 dipendenti, le classificazioni ad alto rischio più comuni sono: occupazione (qualsiasi strumento IA utilizzato in assunzione, valutazione delle prestazioni o gestione del personale) e servizi essenziali (qualsiasi strumento IA utilizzato in decisioni di credito, valutazioni assicurative o idoneità ai benefici).

La classificazione non riguarda il modello. Riguarda il caso d’uso. Lo stesso modello linguistico che genera testi di marketing (rischio minimo) diventa ad alto rischio quando valuta domande di lavoro. Il modello non è cambiato. Il caso d’uso è cambiato. Gli obblighi seguono.

L’eccezione dell’Articolo 6(3): I sistemi IA elencati nell’Allegato III possono essere esclusi dalla classificazione ad alto rischio se non pongono “un rischio significativo di danno” alla salute, alla sicurezza o ai diritti fondamentali. L’azienda deve documentare perché l’eccezione si applica. In caso di dubbio, classifica come alto rischio. Il costo della sovra-classificazione è la conformità. Il costo della sotto-classificazione è l’enforcement.

I cinque requisiti — articolo per articolo

Se il tuo sistema è ad alto rischio, si applicano cinque serie di requisiti. Eccoli, con azioni operative specifiche per ciascuno.

Requisito 1: Sistema di gestione del rischio (Articolo 9)

Serve un sistema di gestione del rischio documentato che identifichi, analizzi, valuti e mitighi i rischi del tuo sistema IA. Non è una valutazione del rischio una tantum. È un “processo iterativo continuo” che dura per tutto il ciclo di vita del sistema.

Cosa significa in pratica:

Prima del 2 agosto: Documenta i rischi noti del tuo sistema IA. Non rischi generici dell’IA. I rischi del tuo sistema specifico. Cosa succede quando sbaglia la risposta? Chi è colpito? Con quale gravità? Quali categorie di errore sono più probabili? (La model card — di cui ho scritto — è la tua fonte primaria per i rischi a livello di modello.)

Crea un registro dei rischi che mappi ogni rischio identificato a una misura di mitigazione. La mitigazione deve essere specifica: “Conduciamo una revisione manuale di tutte le decisioni automatizzate che riguardano l’occupazione individuale” è una mitigazione. “Monitoriamo il sistema per i rischi” non lo è.

Stabilisci un processo per aggiornare il registro dei rischi quando il sistema cambia, quando il caso d’uso si espande o quando un nuovo rischio viene identificato in produzione. Il processo deve specificare chi è responsabile, con quale frequenza il registro viene rivisto e cosa attiva una revisione ad hoc.

Impegno stimato: 2-3 settimane di lavoro dedicato per un deployment PMI tipico. Una persona, part-time, con esperienza nel dominio dell’area di applicazione del sistema IA.

Requisito 2: Governance dei dati (Articolo 10)

I dataset di addestramento, validazione e test devono soddisfare criteri di qualità specificati nel regolamento. I dati devono essere “pertinenti, sufficientemente rappresentativi e, nella misura del possibile, privi di errori e completi.” Devi documentare le caratteristiche dei dati, la loro fonte, il processo di raccolta dei dati e qualsiasi operazione di pre-elaborazione.

Cosa significa in pratica:

Se hai fatto il fine-tuning del modello: Documenta il dataset di fine-tuning. Quali dati sono stati utilizzati? Da dove provenivano? Quali controlli di qualità sono stati applicati? Le caratteristiche protette (età, genere, etnia, disabilità) erano presenti nei dati? In tal caso, come sono state gestite? C’erano bias noti nei dati? In tal caso, quali mitigazioni sono state applicate?

Se usi un modello pre-addestrato via API: La model card e la documentazione dei dati del fornitore del modello contribuiscono a questo requisito, ma sei comunque responsabile per i dati che il tuo sistema elabora. Documenta i dati che entrano nel tuo sistema: dati dei clienti, dati operativi, i documenti nella tua pipeline RAG. Gli stessi criteri di qualità si applicano.

Se non hai questa documentazione: Inizia a costruirla ora. L’impegno è la documentazione retrospettiva di decisioni già prese. È noioso. Non è complesso. Uno stagista con un template e accesso al team dati può produrre l’80% della documentazione richiesta in due settimane.

Impegno stimato: 1-2 settimane per un sistema che usa un modello pre-addestrato via API. 3-4 settimane per un sistema con fine-tuning personalizzato.

Requisito 3: Documentazione tecnica (Articolo 11 e Allegato IV)

Devi produrre la documentazione tecnica prima che il sistema sia immesso sul mercato o messo in servizio. L’Allegato IV specifica i contenuti in dettaglio:

• Descrizione generale del sistema IA e del suo scopo previsto
• Descrizione dettagliata degli elementi del sistema IA e del suo processo di sviluppo
• Informazioni dettagliate sul monitoraggio, funzionamento e controllo del sistema
• Descrizione del sistema di gestione del rischio
• Descrizione delle modifiche apportate al sistema nel corso del suo ciclo di vita
• Un elenco delle norme armonizzate applicate
• Una descrizione delle misure messe in atto per garantire che il sistema sia conforme ai requisiti pertinenti

Cosa significa in pratica:

È un esercizio di documentazione. Il sistema esiste già (o è in fase di costruzione). La documentazione tecnica descrive ciò che esiste. Il principio chiave: scrivila in modo che un revisore tecnico competente possa capire cosa fa il sistema, come lo fa, quali rischi pone e quali controlli sono in essere.

Il documento non deve essere bello. Deve essere accurato, completo e mantenuto. Un documento vivo che viene aggiornato quando il sistema cambia è conforme. Un documento rifinito che era accurato sei mesi fa e non è stato aggiornato non lo è.

Impegno stimato: 3-4 settimane per la documentazione iniziale. Manutenzione continua: 2-4 ore al mese.

Requisito 4: Conservazione dei registri e logging (Articolo 12)

Il sistema IA deve registrare automaticamente gli eventi rilevanti per l’identificazione dei rischi e la facilitazione del monitoraggio post-commercializzazione. I log devono includere: il periodo di ciascun utilizzo, il database di riferimento rispetto al quale i dati di input sono stati verificati, i dati di input per i quali la ricerca ha prodotto una corrispondenza e l’identificazione delle persone fisiche coinvolte nella verifica dei risultati.

Cosa significa in pratica:

Il tuo sistema IA deve produrre audit trail. Ogni decisione che il sistema prende (o raccomanda) deve essere registrata con dettaglio sufficiente per ricostruire la decisione a posteriori. Il log deve includere: l’input, l’output, il timestamp e l’identità di qualsiasi revisore umano.

Per una PMI che distribuisce un’IA per il servizio clienti o uno strumento di screening HR, questo significa implementare logging strutturato nel livello applicativo. L’impegno ingegneristico è modesto — la maggior parte dei framework di deployment IA moderni supporta il logging strutturato. Il costo di storage è proporzionale al volume: un sistema che elabora 500 decisioni al giorno genera circa 15 MB di log strutturati al mese a verbosità moderata.

Impegno stimato: 1-2 settimane di ingegneria per l’implementazione. Costo continuo minimo.

Requisito 5: Supervisione umana (Articolo 14)

Ho scritto un articolo completo su questo (“L’errore da 500.000 €”). In sintesi: il sistema deve essere progettato per essere efficacemente supervisionato da persone fisiche. La supervisione deve essere significativa — valutazione indipendente, autorità pratica di sovrascrittura, tempo sufficiente e variazione dimostrata nei risultati.

Cosa significa in pratica:

Costruisci l’interfaccia di revisione. Progetta il flusso di lavoro. Forma i revisori. Monitora i tassi di sovrascrittura. Tutto questo deve essere in essere prima del 2 agosto.

Impegno stimato: 3-5 settimane per lo sviluppo dell’interfaccia, il design del flusso di lavoro e la formazione dei revisori.

La valutazione della conformità

Gli Articoli 16-22 definiscono gli obblighi dei fornitori di sistemi IA ad alto rischio — i requisiti che un’azienda deve soddisfare per dimostrare che il suo sistema IA ad alto rischio è conforme.

Per la maggior parte dei deployment PMI (quelli non coperti da specifica legislazione di armonizzazione UE nell’Allegato I), la valutazione della conformità è una valutazione interna ai sensi dell’Articolo 43(2). Non serve un auditor esterno. Non serve un organismo notificato. Valuti la tua conformità in base ai requisiti degli Articoli 8-15, documenti la valutazione ed emetti una dichiarazione di conformità UE (Articolo 47).

Questo è importante: per la maggior parte dei casi d’uso delle PMI, la conformità è autovalutata. Il regolamento affida al deployer la valutazione della propria conformità — a condizione che la valutazione sia documentata, la documentazione sia mantenuta e il sistema sia soggetto a monitoraggio post-commercializzazione.

La dichiarazione di conformità è un documento di una pagina che dichiara: questo sistema IA, utilizzato per questo scopo, soddisfa i requisiti del Regolamento UE sull’IA. Fa riferimento alla documentazione tecnica, al sistema di gestione del rischio e al sistema di gestione della qualità.

La dichiarazione deve essere conservata per dieci anni dall’immissione del sistema IA sul mercato.

Il requisito di registrazione

L’Articolo 49 richiede che i sistemi IA ad alto rischio siano registrati nella banca dati UE per i sistemi IA autonomi ad alto rischio (istituita ai sensi dell’Articolo 71) prima che siano immessi sul mercato o messi in servizio.

La registrazione è elettronica, attraverso un portale gestito dall’Ufficio IA. Le informazioni richieste sono: il nome e i dettagli di contatto del fornitore, una descrizione dello scopo previsto, lo status del sistema IA (sul mercato, ritirato, richiamato), una descrizione di come il sistema è reso disponibile e la dichiarazione di conformità UE.

La registrazione non è un meccanismo di controllo all’accesso. È un meccanismo di trasparenza. La banca dati è pubblica. Registrare il tuo sistema dimostra l’intento di conformità. Non registrare un sistema ad alto rischio operativo è di per sé una violazione.

La timeline

Cinque mesi. Ecco una timeline realistica per una PMI che non ha iniziato a prepararsi:

Mesi 1-2 (marzo-aprile 2026): Classificazione del rischio. Determina se i tuoi sistemi IA sono ad alto rischio ai sensi dell’Articolo 6 e dell’Allegato III. Inventaria tutti i sistemi IA in uso nell’azienda — compresi gli strumenti adottati da singoli team senza supervisione IT centralizzata. Inizia la documentazione della gestione del rischio (Articolo 9) e della governance dei dati (Articolo 10) per qualsiasi sistema classificato come alto rischio.

Mese 3 (maggio 2026): Documentazione tecnica. Produci la documentazione tecnica dell’Allegato IV per ogni sistema ad alto rischio. Implementa il logging strutturato (Articolo 12) se non già presente. Inizia a sviluppare l’interfaccia e il flusso di lavoro di supervisione umana (Articolo 14).

Mese 4 (giugno 2026): Implementazione della supervisione umana. Completa l’interfaccia di revisione, forma i revisori, stabilisci il flusso di lavoro. Inizia la valutazione interna della conformità. Identifica le lacune e risolvile.

Mese 5 (luglio 2026): Completamento della valutazione della conformità. Emetti la dichiarazione di conformità UE. Registra i sistemi ad alto rischio nella banca dati UE. Stabilisci il processo di monitoraggio post-commercializzazione. Documenta tutto.

2 agosto 2026: Piena efficacia delle disposizioni. I tuoi sistemi sono conformi, registrati e monitorati — oppure non lo sono, e stai operando in violazione.

Il sistema di gestione della qualità

L’Articolo 17 richiede ai fornitori di sistemi IA ad alto rischio di implementare un sistema di gestione della qualità. Questo requisito viene spesso trascurato negli articoli sul conto alla rovescia perché sembra generico. Non lo è.

Il sistema di gestione della qualità deve includere: politiche e procedure per l’attuazione dei requisiti del Regolamento IA, tecniche e procedure per la progettazione, il controllo della progettazione e la verifica della progettazione del sistema IA ad alto rischio, tecniche e procedure per il suo sviluppo, il controllo qualità e l’assicurazione qualità, procedure di esame, test e validazione da svolgere prima, durante e dopo lo sviluppo del sistema, e procedure di gestione dei dati.

Per una PMI, il sistema di gestione della qualità non deve essere certificato ISO 9001. Deve essere documentato, implementato e mantenuto. Un sistema di gestione della qualità pratico per un deployment IA di una PMI è un documento di 10-15 pagine che specifica: chi è responsabile di cosa, come sono controllate le modifiche al sistema, come il sistema viene testato prima degli aggiornamenti, come gli incidenti post-commercializzazione vengono segnalati e investigati, e come la documentazione viene mantenuta aggiornata.

Il documento richiede circa una settimana per essere prodotto. Deve esistere prima del 2 agosto. Deve essere seguito dopo il 2 agosto. Il divario tra avere il documento e seguire il documento è il divario che le azioni di enforcement prendono di mira.

Il quadro sanzionatorio

L’Articolo 99 definisce le sanzioni per la non conformità:

• Violazioni delle pratiche IA vietate (Articolo 5): fino a 35 milioni di euro o il 7% del fatturato annuo globale.
• Violazioni dei requisiti ad alto rischio (Articoli 8-15): fino a 15 milioni di euro o il 3% del fatturato annuo globale.
• Fornitura di informazioni inesatte alle autorità: fino a 7,5 milioni di euro o l’1% del fatturato annuo globale.

Per le PMI, il regolamento prevede sanzioni proporzionali — le sanzioni sono calcolate in rapporto alle dimensioni dell’azienda e alla gravità della violazione. Ma “proporzionale” non è “trascurabile”. Una sanzione del 3% del fatturato per un’azienda con 10 milioni di euro di fatturato annuo è 300.000 €. Per molte PMI, è una cifra che mette a rischio la sopravvivenza.

Il regolamento prevede anche enforcement non finanziario: ordini di ritiro dei sistemi IA dal mercato, ordini di modifica dei sistemi IA e dichiarazioni pubbliche che identificano le aziende non conformi e i loro sistemi.

La posizione

Cinque mesi sono sufficienti per essere conformi. Cinque mesi non sono sufficienti per procrastinare, formare un gruppo di lavoro, commissionare un incarico di consulenza e poi essere conformi.

Il regolamento è specifico. I requisiti sono enumerabili. La valutazione della conformità è interna. La registrazione è elettronica. Niente di tutto questo richiede un esercito di avvocati o un budget di consulenza a sei cifre.

Quello che richiede è una decisione: saremo conformi entro il 2 agosto. Quella decisione, presa oggi, ti dà cinque mesi di lavoro strutturato. Quella decisione, presa a giugno, ti dà cinque settimane di panico.

Il Regolamento UE sull’IA non è ambiguo su cosa richiede. È ambiguo solo sul fatto che tu lo prenda sul serio prima che arrivi la scadenza.

Cinque mesi. Il conto alla rovescia è in corso.