Hai bisogno di un confronto con i nostri professionisti per inquadrare il tuo caso e valutare le opzioni migliori? Prenota una call conoscitiva: esaustiva, riservata e orientata al prossimo passo operativo.
L'AI Act è il primo quadro normativo completo sull'intelligenza artificiale. Chi lo ignora, costruisce sistemi AI che non potrà usare.
Affianchiamo imprese, sviluppatori e operatori nella navigazione del quadro normativo sull’intelligenza artificiale — dalla classificazione dei sistemi AI per livello di rischio agli obblighi per i sistemi ad alto rischio, dalla governance AI alla responsabilità civile, dall’AI nei servizi finanziari e professionali alle policy aziendali di compliance. Con una competenza che integra la dimensione normativa, organizzativa e tecnologica della governance dell’AI.
I tuoi sistemi AI sono conformi all'AI Act?
Prenota una call conoscitiva con uno dei nostri professionisti per una prima valutazione gratuita del tuo stato di compliance AI.
L'AI Act è in vigore. I primi obblighi si applicano già — e il perimetro si espande progressivamente fino al 2027.
Scenario
Il Regolamento UE sull’intelligenza artificiale — AI Act — è entrato in vigore il 1° agosto 2024 con un’applicazione progressiva: i sistemi AI vietati sono già fuori mercato dall’agosto 2024, gli obblighi per i sistemi ad alto rischio entreranno in vigore progressivamente fino al 2027, i sistemi AI per uso generale sono soggetti a obblighi dal agosto 2025. Chiunque sviluppi, distribuisca o utilizzi sistemi AI nell’UE deve conoscere il proprio posizionamento in questo quadro normativo — e costruire i sistemi di governance e compliance adeguati prima che le autorità inizino a verificarli.
Il problema
Quando i sistemi AI vengono sviluppati senza una governance normativa
Ogni impresa che sviluppa o utilizza sistemi AI ha già una posizione rispetto all’AI Act. La vera discriminante non è la sua esistenza, ma la sua consapevolezza: presidiata o ignota. Troppo spesso i sistemi AI vengono sviluppati con un’attenzione esclusiva alla dimensione tecnica — senza classificare il sistema per livello di rischio, senza costruire la documentazione richiesta, senza strutturare la governance necessaria. Il risultato è prevedibile: sistemi che non possono essere immessi sul mercato europeo senza modifiche significative, o che vengono bloccati dalle autorità dopo la commercializzazione.
Il vantaggio
Il valore di una governance AI strutturata
Una governance AI strutturata non è solo uno strumento di compliance — è un fattore competitivo. I sistemi AI che rispettano i requisiti dell’AI Act sono più affidabili, più trasparenti e più sicuri — caratteristiche che gli utenti istituzionali valutano sempre di più. Chi costruisce sistemi AI con una governance solida accede a mercati che altri non possono raggiungere, costruisce fiducia con gli stakeholder e gestisce le controversie da una posizione di solidità. In un mercato AI in rapida crescita, la qualità della governance sarà sempre più un fattore di differenziazione.
Il perimetro
Dallo sviluppatore all'utilizzatore: obblighi per ogni ruolo
L’AI Act distingue diversi ruoli nella catena del valore AI — provider (chi sviluppa il sistema), deployer (chi lo utilizza in contesto professionale), importatore e distributore. Ciascun ruolo ha obblighi diversi — e molte imprese ricoprono più ruoli contemporaneamente. La corretta identificazione del proprio ruolo e degli obblighi applicabili è il punto di partenza di qualsiasi percorso di compliance AI.
In un mondo in continua evoluzione, dove le normative cambiano e le sfide si moltiplicano, trasformiamo le diverse complessità in opportunità.
Con visione, competenza e strategia, ti affianchiamo per costruire certezze, tutelare il tuo business e aprire la strada ad una crescita sostenibile.
“L’AI Act ha fatto qualcosa di molto specifico: ha trasformato la governance dell’AI da questione etica a obbligo normativo verificabile. Le imprese che si sono mosse per prime a costruire sistemi di governance AI solidi non solo sono più conformi — sono anche più competitive, perché la fiducia degli utenti nell’AI dipende sempre di più dalla qualità della sua governance.”
Antonio Sibilia
Presidente Astralex
Dalla classificazione dei sistemi AI alla policy aziendale. Un presidio completo per ogni dimensione della governance AI.
Cosa facciamo
Ogni intervento parte dall’analisi dei sistemi AI sviluppati o utilizzati dal cliente e dalla loro classificazione nel quadro dell’AI Act. Non applichiamo framework generici — costruiamo sistemi di governance sulla geometria specifica di ogni organizzazione e dei suoi sistemi AI. Il nostro metodo inizia sempre dall’analisi, prima ancora che dalla documentazione.
1
AI Act: classificazione dei sistemi AI per livello di rischio
L'AI Act classifica i sistemi AI in quattro categorie in funzione del livello di rischio — vietati, ad alto rischio, a rischio limitato e a rischio minimo. Ogni categoria ha obblighi diversi e conseguenze diverse per chi non li rispetta. La corretta classificazione del proprio sistema AI è il punto di partenza di qualsiasi percorso di compliance.
Affianchiamo imprese e sviluppatori nella classificazione dei sistemi AI: analisi delle caratteristiche del sistema AI in funzione della tassonomia dell'AI Act, identificazione della categoria di rischio applicabile, valutazione degli obblighi specifici, analisi delle eventuali esenzioni applicabili, sviluppo del piano di compliance in funzione della classificazione. Con una particolare attenzione ai casi di classificazione incerta — che sono numerosi nella prima fase di applicazione del Regolamento.
2
Obblighi per i sistemi AI ad alto rischio
I sistemi AI ad alto rischio — quelli utilizzati in contesti critici come l'accesso al credito, la selezione del personale, la valutazione degli studenti, i sistemi biometrici, i sistemi per l'infrastruttura critica — hanno i requisiti più stringenti dell'AI Act. La loro commercializzazione nell'UE è condizionata al rispetto di un insieme articolato di obblighi. I principali requisiti che presidiamo:
- Sistema di gestione del rischio: identificazione, valutazione e mitigazione dei rischi durante tutto il ciclo di vita
- Governance dei dati: qualità dei dati di training, validazione e testing
- Documentazione tecnica: documentazione completa del sistema per le autorità di vigilanza
- Registrazione delle attività: log automatici per garantire la tracciabilità
- Trasparenza e informazioni agli utilizzatori: istruzioni per l'uso adeguate
- Supervisione umana: meccanismi che consentono l'intervento umano
- Accuratezza, robustezza e cybersicurezza: requisiti tecnici minimi
Per ciascun requisito valutiamo la conformità del sistema esistente, identifichiamo i gap e strutturiamo il piano di adeguamento.
3
Governance AI e responsabilità degli operatori
La governance AI è il sistema attraverso cui un'organizzazione gestisce lo sviluppo, il deployment e il monitoraggio dei propri sistemi AI in modo responsabile e conforme. Non è solo un requisito dell'AI Act — è una condizione per gestire i rischi operativi, reputazionali e legali che i sistemi AI generano.
Progettiamo sistemi di governance AI per organizzazioni di ogni dimensione: definizione delle politiche AI aziendali, strutturazione dei processi di valutazione e approvazione dei nuovi sistemi AI, definizione dei ruoli e delle responsabilità nella gestione dell'AI, strutturazione dei meccanismi di monitoraggio delle performance e dei rischi dei sistemi AI in produzione, gestione dei bias e degli impatti non intenzionali, integrazione della governance AI con il sistema di controllo interno esistente. Con una visione che considera sempre la proporzionalità tra i requisiti di governance e la dimensione e la maturità AI dell'organizzazione.
4
AI liability e responsabilità civile
La responsabilità civile per i danni causati dai sistemi AI è una delle questioni più aperte del diritto europeo — e la Direttiva sulla responsabilità per l'AI (AI Liability Directive) sta definendo un quadro più chiaro. Chi sviluppa o utilizza sistemi AI deve comprendere la propria esposizione alla responsabilità civile — e strutturare contratti, processi e sistemi di documentazione adeguati a gestirla.
Affianchiamo sviluppatori e deployer nella gestione dei profili di responsabilità civile AI: analisi del quadro normativo applicabile in funzione del tipo di sistema e del ruolo dell'organizzazione, strutturazione contrattuale della catena di responsabilità tra provider, deployer e utente, definizione dei meccanismi di documentazione per la gestione dei claims, strutturazione delle coperture assicurative per il rischio AI, gestione delle controversie da danni causati da sistemi AI. Con una competenza che considera sempre l'evoluzione rapidissima di questo quadro normativo.
5
Utilizzo dell'AI nei servizi finanziari e professionali
I servizi finanziari e professionali sono tra i settori in cui l'AI trova le applicazioni più diffuse e i rischi più significativi — scoring del credito, valutazione degli investimenti, analisi legale, consulenza fiscale, diagnosi medica. In questi contesti, i sistemi AI sono spesso classificati ad alto rischio dall'AI Act — con obblighi stringenti che si sovrappongono alla normativa di settore.
Affianchiamo intermediari finanziari, studi legali e professionisti nell'utilizzo conforme dell'AI: analisi della classificazione dei sistemi AI utilizzati in funzione dell'AI Act e della normativa di settore, strutturazione dei meccanismi di supervisione umana obbligatoria, gestione degli obblighi di trasparenza verso i clienti sull'uso dell'AI, integrazione della compliance AI con quella DORA per gli intermediari finanziari, gestione dei profili deontologici dell'uso dell'AI nelle professioni regolamentate.
6
AI policy aziendale e compliance interna
La policy AI aziendale è il documento che definisce le regole interne per lo sviluppo e l'utilizzo responsabile dell'AI nell'organizzazione — chi può utilizzare quali strumenti AI, per quali scopi, con quali garanzie di sicurezza e riservatezza. È diventata uno strumento essenziale per qualsiasi organizzazione che utilizzi AI in modo significativo — indipendentemente dagli obblighi formali dell'AI Act.
Progettiamo policy AI aziendali e sistemi di compliance interna: analisi degli strumenti AI utilizzati nell'organizzazione, sviluppo della policy AI aziendale, strutturazione dei processi di approvazione per nuovi strumenti e use case AI, formazione del personale sull'uso responsabile dell'AI, gestione dei profili di protezione dei dati nell'uso degli strumenti AI generativi, integrazione della policy AI con le politiche di sicurezza informatica e di protezione dei dati esistenti. Con un approccio che bilancia la governance del rischio con l'abilitazione dell'innovazione.
Tre fasi. Un'unica regia.
Nessun modello standard.
Il nostro metodo
Diagnosi
Partiamo sempre da una mappatura dei sistemi AI sviluppati o utilizzati dall’organizzazione e dalla loro classificazione nel quadro dell’AI Act. Non da framework generici. Ogni organizzazione ha una sua specificità nell’uso dell’AI che determina obblighi e rischi diversi.
Progettazione
Costruiamo il sistema di governance AI su misura — con una classificazione accurata dei sistemi, obblighi proporzionati alla realtà dell’organizzazione e una policy aziendale che funziona davvero nella pratica quotidiana. Il sistema ottimale è quello che abilita l’uso responsabile dell’AI — non quello che lo blocca con burocrazia eccessiva.
Ogni sistema viene documentato, condiviso con il management e implementato con un piano che considera le risorse disponibili e le priorità dell’organizzazione.
Presidio
Manteniamo il sistema aggiornato al rapidissimo mutare del quadro normativo AI — AI Act in applicazione progressiva, AI Liability Directive, orientamenti delle autorità, standard tecnici in sviluppo. Il diritto dell’AI è probabilmente l’area normativa che si evolve più velocemente in assoluto. Il nostro ruolo non finisce con la consegna del framework: continua finché il cliente ne ha bisogno.
Un solo interlocutore.
Tutta la complessità.
Per chi lavoriamo
La governance AI non si costruisce con un esperto di etica dell’AI che non conosce il diritto e un avvocato che non conosce la tecnologia. Si costruisce con un advisor che integra entrambe le dimensioni — e sa costruire sistemi di governance che funzionano nella realtà dell’organizzazione. Lavoriamo con sviluppatori, deployer e utilizzatori di AI che vogliono muoversi nel mercato europeo con la consapevolezza normativa che ogni sistema AI richiede.
Sviluppatori di sistemi AI
Chi sviluppa sistemi AI per il mercato europeo e deve classificarli correttamente, costruire la documentazione tecnica richiesta e strutturare i processi di valutazione della conformità prima della commercializzazione.
Imprese che utilizzano AI ad alto rischio
Chi utilizza sistemi AI in contesti ad alto rischio — selezione del personale, accesso al credito, sistemi biometrici — e deve strutturare i meccanismi di supervisione umana, trasparenza e documentazione richiesti dall'AI Act.
Intermediari finanziari e professionisti
Chi utilizza AI nei servizi finanziari o professionali regolamentati e deve gestire la sovrapposizione tra gli obblighi dell'AI Act e quelli della normativa di settore — MiFID, DORA, normativa professionale.
Imprese che adottano AI generativa
Chi sta integrando strumenti di AI generativa — LLM, assistenti AI, sistemi di generazione di contenuti — nei propri processi e ha bisogno di una policy aziendale e di un sistema di governance adeguati.
Imprese con contenziosi o rischi AI
Chi ha già ricevuto contestazioni relative all'uso di sistemi AI — da clienti, dipendenti o autorità — e ha bisogno di una difesa tecnica specializzata e di una struttura di governance che prevenga contestazioni future.
Domande Frequenti
Quali sistemi AI sono vietati dall'AI Act?
L'AI Act vieta categoricamente alcuni sistemi AI considerati incompatibili con i valori fondamentali dell'UE: sistemi di manipolazione subliminale o ingannevole, sistemi che sfruttano le vulnerabilità di individui o gruppi, sistemi di scoring sociale generalizzato da parte dei governi, sistemi di identificazione biometrica in tempo reale in spazi pubblici per scopi di law enforcement con eccezioni limitate, sistemi di inferenza delle emozioni in contesti lavorativi e educativi. Chi sviluppa o utilizza questi sistemi nell'UE è soggetto a sanzioni severe.
Cos'è un sistema AI ad alto rischio e come viene classificato?
I sistemi AI ad alto rischio sono quelli che presentano un rischio significativo per la salute, la sicurezza o i diritti fondamentali. L'AI Act identifica due categorie: sistemi AI utilizzati come componenti di sicurezza di prodotti soggetti alla normativa UE di settore, e sistemi AI in otto settori specifici — identificazione biometrica, gestione di infrastrutture critiche, istruzione, occupazione, accesso a servizi essenziali inclusi quelli finanziari, law enforcement, gestione della migrazione, amministrazione della giustizia. La classificazione richiede una valutazione caso per caso delle caratteristiche specifiche del sistema.
Quali sono le sanzioni per violazioni dell'AI Act?
Le sanzioni dell'AI Act sono tra le più severe del panorama normativo europeo: fino a 35 milioni di euro o al 7% del fatturato annuo mondiale per l'utilizzo di sistemi AI vietati, fino a 15 milioni di euro o al 3% per violazioni degli obblighi per i sistemi ad alto rischio, fino a 7,5 milioni di euro o all'1,5% per la fornitura di informazioni errate alle autorità. Le autorità nazionali di vigilanza — in Italia designate con decreto ministeriale — sono responsabili dell'applicazione.
L'AI Act si applica ai sistemi AI per uso interno?
Sì — l'AI Act si applica anche ai sistemi AI utilizzati internamente da un'organizzazione, non solo a quelli commercializzati. Un sistema AI ad alto rischio utilizzato internamente per la selezione del personale o per la valutazione dei dipendenti è soggetto agli stessi obblighi di un sistema commercializzato. La distinzione rilevante non è tra uso interno ed esterno, ma tra provider — chi sviluppa il sistema — e deployer — chi lo utilizza in contesto professionale.
Come interagisce l'AI Act con il GDPR?
AI Act e GDPR sono complementari — e spesso si applicano contemporaneamente agli stessi sistemi AI. Il GDPR regola il trattamento dei dati personali, incluso quello utilizzato per il training e il funzionamento dei sistemi AI. L'AI Act aggiunge obblighi specifici sulla governance e sulla sicurezza dei sistemi AI. In caso di conflitto tra i due regolamenti, si applica la norma più restrittiva. La compliance integrata AI Act-GDPR è uno degli aspetti più complessi della governance AI — e uno dei più importanti per le organizzazioni che trattano dati personali con sistemi AI.
Parliamo della governance AI
della tua organizzazione.
Contattaci