Governance ed etica

AI Act dal 2 agosto 2026: cosa cambia per imprese e manager

Dal 2 agosto 2026 l’AI Act entra nella sua fase più operativa per imprese, manager e provider tecnologici. Da quel momento la maggior parte delle regole diventa applicabile e l’enforcement entra nel vivo, con un impatto diretto sui sistemi ad alto rischio, sugli obblighi di trasparenza e sulla capacità delle organizzazioni di dimostrare come governano l’intelligenza artificiale.

Per le aziende non basterà più dichiarare che un sistema funziona. Sarà necessario provare come funziona, quali dati utilizza, quali rischi genera, quali controlli lo presidiano e quale documentazione tecnica ne accompagna l’intero ciclo di vita.

La fine dell’intelligenza artificiale senza responsabilità

Negli ultimi due anni la classe manageriale ha interrogato l’intelligenza artificiale con una domanda quasi esclusivamente produttiva: che cosa può fare per il business? Automatizzare il customer care, generare contenuti, analizzare documenti, selezionare candidature, accelerare processi, ridurre costi, aumentare efficienza. L’AI è stata spesso adottata come leva di performance prima ancora di diventare materia di governance. Molte soluzioni sono entrate nei reparti attraverso abbonamenti SaaS, sperimentazioni locali, moduli integrati nei software già in uso, iniziative di singoli team più veloci dei processi interni di controllo.

Dal 2 agosto 2026 la domanda non sarà più solo «che cosa produce il sistema», ma «come arriva a produrlo». L’AI Act sposta così l’attenzione dall’output alla catena di responsabilità che rende quell’output utilizzabile in un contesto aziendale.

Dal «che cosa può fare» al «come lo sta facendo»

L’AI Act non inaugura una stagione puramente legale. Sarebbe un errore leggerlo come materia da confinare all’ufficio compliance o al consulente esterno chiamato a valle, quando la soluzione è già integrata. Il cuore del regolamento è molto più profondo e riguarda il modo in cui l’intelligenza artificiale viene progettata, aggiornata e spiegata.

La norma europea pretende una catena verificabile di responsabilità. Per le aziende questo significa che l’intelligenza artificiale smette di essere un esperimento affidato all’entusiasmo dei singoli reparti e diventa un’infrastruttura sensibile che orienta decisioni, priorità, opportunità o accessi dell’impresa, e deve poter essere dimostrata in ogni sua applicazione.

L’AI Act e i quattro livelli di rischio

I quattro livelli di rischio dell'AI Act

L’AI Act si fonda su una logica risk based: non regola tutti i sistemi di intelligenza artificiale nello stesso modo, perché non tutti producono lo stesso impatto su sicurezza, diritti fondamentali e opportunità delle persone. Il punto è l’uso concreto che l’azienda fa del sistema. Un chatbot informativo, un filtro antispam, un sistema di scoring per candidati e uno strumento di identificazione biometrica non hanno lo stesso peso regolatorio.

Per questo il regolamento distingue quattro categorie principali: rischio inaccettabile, alto rischio, rischio limitato e rischio minimo o nullo.

Rischio inaccettabile

Rientrano in questa categoria i sistemi considerati incompatibili con i valori e i diritti fondamentali tutelati dall’Unione Europea. Non sono sistemi sottoposti a requisiti più severi: sono vietati. Il regolamento include, tra gli esempi, pratiche come il social scoring da parte di autorità pubbliche o private, alcune forme di manipolazione subliminale o sfruttamento delle vulnerabilità delle persone, determinate pratiche di polizia predittiva e specifici usi della biometria in tempo reale negli spazi pubblici, salvo eccezioni molto circoscritte previste dalla legge.

Qui il principio è chiaro: quando un sistema AI rappresenta una minaccia chiara per sicurezza, libertà individuale o diritti fondamentali, non deve essere reso «più conforme». Deve essere escluso.

Alto rischio

L’alto rischio è la categoria più importante per le imprese. I sistemi ad alto rischio non sono vietati, ma possono essere utilizzati solo rispettando requisiti stringenti. Riguardano ambiti in cui l’AI può incidere in modo significativo sulla vita delle persone: istruzione, occupazione, gestione dei lavoratori, accesso a servizi essenziali, credito, assicurazioni, dispositivi medici, infrastrutture critiche, giustizia e alcune funzioni pubbliche.

L’alto rischio può riguardare anche processi aziendali comuni. Un sistema AI che filtra CV, attribuisce punteggi ai candidati o suggerisce chi convocare a colloquio può essere ad alto rischio perché condiziona l’accesso al lavoro. In questa categoria diventano centrali gestione del rischio, qualità dei dati, documentazione tecnica, logging, supervisione umana, accuratezza, robustezza e cybersicurezza.

Rischio limitato

Questa categoria riguarda sistemi che non incidono necessariamente su diritti o sicurezza con la stessa intensità dei sistemi ad alto rischio, ma possono generare opacità o fraintendimenti nell’interazione con l’utente. Qui l’obbligo principale è la trasparenza. Le persone devono sapere quando stanno interagendo con un sistema AI, quando un contenuto è generato o manipolato artificialmente, o quando una tecnologia può simulare una relazione, una voce, un’immagine o un comportamento umano.

La fiducia, in questo livello, passa dalla chiarezza informativa.

Rischio minimo o nullo

La maggior parte dei sistemi AI rientra in questa fascia: filtri antispam, videogiochi, sistemi di raccomandazione a bassa criticità o funzioni di ottimizzazione ordinaria. Per questi strumenti l’AI Act non prevede obblighi particolarmente gravosi. Possono comunque essere adottati codici di condotta volontari, buone pratiche interne e criteri di governance, ma non si applica il regime stringente previsto per l’alto rischio.

La logica europea è proporzionale: concentrare il massimo controllo sui sistemi che possono produrre il massimo impatto.

La compliance non si aggiunge alla fine: si costruisce nella soluzione

L’equivoco più pericoloso è pensare che l’AI Act sia soprattutto una questione legale. Naturalmente il regolamento richiede competenza giuridica, ma la parte più delicata per le aziende è tecnica. Per i sistemi ad alto rischio non basta avere un’informativa, una clausola contrattuale o una policy interna: occorre dimostrare come il sistema è stato sviluppato, integrato, testato, documentato e monitorato.

L’azienda deve sapere quali modelli utilizza, quali dati vengono trattati, quali criteri producono uno scoring, quali soglie attivano una raccomandazione, chi può intervenire sull’output, come vengono gestiti aggiornamenti e modifiche, quali gruppi di utenti potrebbero subire effetti sproporzionati.

Tre azioni immediate prima del 2 agosto 2026

Azioni immediate per la conformità all'AI Act

1. Mappatura e verifica dei sistemi AI in uso

Il primo passo è una mappatura dei sistemi esistenti: dove l’AI è già utilizzata, da quali reparti, con quali finalità, su quali dati, con quali fornitori, dentro quali processi e con quale impatto decisionale. Senza inventario non esiste governance. Molte organizzazioni scopriranno che l’AI è già presente in più punti di quanto immaginino: marketing automation, HR tech, CRM, customer service, analytics, scoring commerciale, strumenti di produttività individuale.

2. Matrice di rischio dei sistemi AI

Il secondo passo è costruire un registro dei rischi. Ogni sistema deve essere classificato secondo il framework europeo: minimo, limitato, alto o inaccettabile. Il registro deve documentare uso previsto, dati trattati, impatto potenziale, misure di mitigazione, supervisione umana, responsabilità interne, vendor coinvolti e aggiornamenti successivi. Non è un archivio statico, ma una matrice viva di controllo.

Registro e matrice di rischio AI

3. AI literacy per i team aziendali

Il terzo passo è la formazione del personale. L’AI Act introduce anche il tema dell’AI literacy: chi utilizza o governa sistemi AI deve avere competenze adeguate al ruolo e al contesto d’uso. HR, marketing, sales, operations, IT e management devono imparare a distinguere un uso banale da un uso sensibile, uno strumento di produttività da un sistema che incide sulle persone, una promessa del fornitore da un requisito documentabile.

Compliance-by-design: il ruolo di BOOONSAI

Governance AI e compliance-by-design con BOOONSAI

In questo passaggio si colloca il lavoro di BOOONSAI: aiutare le aziende a non subire l’AI Act come un vincolo tardivo, ma a trasformarlo in un criterio di progettazione. La compliance-by-design significa costruire soluzioni AI che incorporano fin dall’inizio classificazione del rischio, documentazione tecnica, supervisione umana, tracciabilità, criteri di controllo, formazione e governance.

Per le imprese che stanno integrando AI nei propri processi, questo approccio diventa un vantaggio competitivo. Riduce il rischio, aumenta la qualità delle decisioni, rafforza la fiducia interna, rende più solido il rapporto con clienti, partner e stakeholder. Dal 2026 la domanda non sarà più soltanto se un’azienda usa l’intelligenza artificiale, ma se sa dimostrare di governarla.

BOOONSAI può supportare questo percorso con audit preliminari, classificazione dei sistemi, registri di rischio, formazione dei team e sviluppo di soluzioni progettate per nascere già coerenti con il nuovo quadro europeo.

Lo strumento della verità: l’AI Act Service Desk

In un mercato che si riempirà rapidamente di interpretazioni, consulenze improvvisate e promesse di «AI compliant» difficili da verificare, il primo riferimento deve restare la fonte istituzionale: l’AI Act Service Desk è la piattaforma ufficiale messa a disposizione dalla Commissione Europea per orientarsi tra timeline, obblighi, FAQ, strumenti interattivi, AI Act Explorer e Compliance Checker.

Per aziende, provider e manager dovrebbe diventare lo strumento della verità: il punto da cui partire prima di acquistare, integrare, classificare o dichiarare conforme una soluzione AI. L’AI Act Service Desk aiuta a verificare in quale fase del calendario normativo ci si trova, quali obblighi possono applicarsi, come leggere le categorie di rischio e quali passaggi considerare nel percorso di conformità.


Fonti