Guida alla Compilazione - AI Act Self-Assessment Tool

1. Introduzione e Scopo

Benvenuti nella guida completa all'uso dell'AI Act Self-Assessment Tool, uno strumento progettato per aiutare le organizzazioni a comprendere se e come il Regolamento UE 2024/1689 (AI Act) si applica ai loro sistemi di intelligenza artificiale.

Obiettivo dello strumento: Fornire una valutazione preliminare della classificazione del vostro sistema AI secondo l'AI Act, identificando gli obblighi normativi applicabili e fornendo una roadmap per la compliance.

Cosa NON è questo strumento

⚠️ Importante: Questo tool NON sostituisce la consulenza legale professionale. È uno strumento educativo e informativo che richiede comunque la verifica da parte di esperti qualificati per la compliance ufficiale.

A chi si rivolge

Provider: sviluppatori e fornitori di sistemi AI
Deployer: utilizzatori professionali di sistemi AI
Importatori e Distributori: operatori nella catena di fornitura
Consulenti e DPO: professionisti che assistono le organizzazioni

2. Come Funziona lo Strumento

Metodologia di Valutazione

Lo strumento utilizza un approccio strutturato in 8 domande chiave che coprono tutti gli aspetti fondamentali dell'AI Act:

1 Identificazione del Sistema

Determina se il sistema rientra nella definizione di "AI system" secondo l'Art. 3(1) dell'AI Act.

2 Ruolo dell'Operatore

Identifica il vostro ruolo nella catena del valore (provider, deployer, importer, ecc.).

3 Pratiche Proibite

Verifica se il sistema ricade in una delle 8 categorie vietate (Art. 5).

4 Modelli GPAI

Determina se si tratta di un General Purpose AI model (Art. 51-56).

5-6 Alto Rischio

Verifica se il sistema rientra negli Allegati I o III (sistemi ad alto rischio).

7 Trasparenza

Identifica obblighi di trasparenza specifici (Art. 50).

8 Ambito Geografico

Determina l'applicabilità territoriale dell'AI Act (Art. 2).

Sistema di Scoring

Lo strumento utilizza un sistema di pesi per calcolare il livello di rischio complessivo:

Categoria	Peso	Classificazione
Pratiche Proibite	100	VIETATO
Alto Rischio (Allegati I/III)	60	Alto Rischio
GPAI Sistemico	70	GPAI Sistemico
GPAI Standard	40	GPAI
Trasparenza	20	Rischio Limitato
Altro	<20	Rischio Minimo

3. Guida Passo-Passo alle 8 Domande

Domanda 1: Tipologia Sistema

Il tuo sistema è classificabile come Intelligenza Artificiale?

Base normativa: Art. 3(1) AI Act

Definizione AI System: Un sistema automatizzato progettato per operare con livelli variabili di autonomia e che può adattarsi dopo il deployment, e che, per obiettivi espliciti o impliciti, inferisce, dall'input che riceve, come generare output quali predizioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali.

Caratteristiche chiave di un AI system:

Automatizzato: opera senza intervento umano costante
Autonomo: capacità di prendere decisioni indipendenti
Adattabile: può modificare il comportamento dopo il deployment
Inferenza: genera output basandosi su pattern appresi

Esempio - Sistema AI:

Un chatbot che utilizza NLP (Natural Language Processing) per rispondere alle domande dei clienti, apprende dalle interazioni e migliora le risposte nel tempo → È un AI system

Esempio - NON AI:

Un software di contabilità con regole fisse programmate che calcola automaticamente le tasse in base a regole predefinite → NON è un AI system (è software tradizionale basato su regole deterministiche)

Domanda 2: Ruolo Operatore

Qual è il tuo ruolo rispetto al sistema AI?

Base normativa: Art. 3 (definizioni) e Art. 22-27 (obblighi specifici)

Provider (Art. 2(s))

Persona fisica o giuridica che sviluppa o fa sviluppare un sistema AI e lo immette sul mercato o lo mette in servizio sotto il proprio nome o marchio.

Ha la maggior parte degli obblighi AI Act
Responsabile per conformità, marcatura CE, documentazione tecnica
Deve registrare il sistema nel database UE (Art. 49)

Deployer (Art. 2(t))

Persona fisica o giuridica che utilizza un sistema AI sotto la propria autorità, tranne che per attività personali non professionali.

Obblighi specifici per sistemi ad alto rischio (Art. 26)
Deve eseguire FRIA (Fundamental Rights Impact Assessment) se: ente pubblico, servizi pubblici essenziali, banking/insurance (Art. 27)
Responsabile per uso conforme alle istruzioni del provider

⚠️ Attenzione FRIA: Se sei un deployer di sistemi ad alto rischio e operi come ente pubblico o in settori critici, devi eseguire un Fundamental Rights Impact Assessment prima del deployment (Art. 27).

Importer (Art. 2(u))

Persona fisica o giuridica stabilita nell'UE che immette sul mercato un sistema AI che reca il nome o marchio di una persona stabilita fuori dall'UE.

Distributor (Art. 2(v))

Persona fisica o giuridica nella catena di fornitura che rende disponibile sul mercato un sistema AI senza esserne il provider o l'importer.

Authorised Representative (Art. 22-23)

Persona giuridica stabilita nell'UE nominata per iscritto da un provider extra-UE per agire a suo nome.

Obbligatorio per provider extra-UE che immettono sistemi ad alto rischio sul mercato UE
Responsabile per interazioni con autorità UE
Deve avere mandato scritto dal provider

Domanda 3: Pratiche Proibite

Il sistema rientra in una pratica VIETATA?

Base normativa: Art. 5 AI Act

🚫 DIVIETO ASSOLUTO: Le pratiche proibite sono vietate dal 2 febbraio 2025. Sanzioni fino a 35.000.000 EUR o 7% del fatturato globale annuo (Art. 99(3)).

Le 8 categorie proibite:

1. Tecniche Subliminali (Art. 5(1)(a))

Tecniche che operano oltre la consapevolezza della persona per distorcere il comportamento in modo da causare danno fisico o psicologico.

Esempio:

Messaggi subliminali in video o audio che influenzano le decisioni di acquisto senza che l'utente ne sia consapevole.

2. Sfruttamento Vulnerabilità (Art. 5(1)(b))

Sfrutta vulnerabilità specifiche dovute a età, disabilità o situazione socio-economica.

Esempio:

Giocattolo AI che sfrutta la credulità dei bambini per convincerli a comportamenti pericolosi.

3. Social Scoring (Art. 5(1)(c))

Valutazione o classificazione di persone fisiche basata su comportamento sociale o caratteristiche personali.

Esempio:

Sistema che assegna "punteggi di cittadinanza" basati su comportamenti social, attività online, frequentazioni.

4. Predictive Policing - Profiling (Art. 5(1)(d))

Valutazione del rischio di una persona fisica di commettere reati basata esclusivamente su profiling o assessment di tratti di personalità.

Esempio:

Sistema che predice la probabilità di recidiva basandosi solo su etnia, quartiere di residenza, senza considerare comportamenti individuali.

5. Facial Scraping Non Mirato (Art. 5(1)(e))

Creazione o espansione di database di riconoscimento facciale tramite scraping non mirato di immagini da internet o CCTV.

6. Emotion Recognition - Lavoro/Scuola (Art. 5(1)(f))

Inferire emozioni di persone fisiche sul posto di lavoro o in istituzioni educative.

Eccezioni: Motivi medici o di sicurezza.

7. Categorizzazione Biometrica - Attributi Sensibili (Art. 5(1)(g))

Categorizzazione biometrica per inferire razza, opinioni politiche, appartenenza sindacale, orientamento sessuale, religione.

8. Real-time Remote Biometric Identification (Art. 5(1)(h))

Identificazione biometrica remota in tempo reale in spazi pubblicamente accessibili per law enforcement.

Eccezioni strette (Art. 5(2-7)): Ricerca bambini scomparsi, prevenzione minacce terroristiche, ecc.

⚠️ Selezione Multipla: Un sistema può ricadere in più categorie proibite contemporaneamente. Seleziona TUTTE quelle applicabili.

Domanda 4: Modelli GPAI

È un modello AI di scopo generale (GPAI)?

Base normativa: Art. 3(63), 51-56

Definizione GPAI: Modello AI addestrato con una grande quantità di dati utilizzando self-supervision su larga scala, mostra capacità generali significative per eseguire task amplamente applicabili, e può essere integrato in vari sistemi o applicazioni downstream.

GPAI Standard (Art. 53)

Modelli foundation con capacità generali ma senza rischi sistemici.

Obblighi:

Documentazione tecnica (Art. 53(1)(a))
Policy di conformità copyright (Art. 53(1)(c))
Summary del training data (Art. 53(1)(d))
Supporto a provider downstream (Art. 53(1)(b))

GPAI con Rischio Sistemico (Art. 55)

Modelli GPAI con capacità ad alto impatto. Presunzione se >10²⁵ FLOPS.

Obblighi aggiuntivi:

Model evaluation tramite adversarial testing (Art. 55(1)(a))
Assessment e mitigazione rischi sistemici (Art. 55(1)(b))
Cybersecurity protection (Art. 55(1)(c))
Serious incident reporting all'AI Office (Art. 55(1)(d))

⚠️ Classificazione Cumulativa: Un GPAI può ANCHE essere componente di un sistema ad alto rischio. In questo caso si applicano ENTRAMBI i set di obblighi (Art. 53/55 + Art. 9-15).

Esempio GPAI Standard:

Un modello di linguaggio come BERT o GPT-3.5, utilizzato per molteplici applicazioni ma senza capacità eccezionali → GPAI standard (Art. 53)

Esempio GPAI Sistemico:

GPT-4, Claude 3 Opus, altri modelli con >10²⁵ FLOPS e capacità avanzate → GPAI sistemico (Art. 55)

Domanda 5: Allegato I - Prodotti Regolamentati

È componente di sicurezza di prodotti regolamentati?

Base normativa: Allegato I + Art. 6(1)

L'Allegato I elenca prodotti già soggetti a legislazione UE di armonizzazione. Se l'AI è un componente di sicurezza di questi prodotti, diventa automaticamente ad alto rischio.

Categorie Allegato I:

Macchinari e robot industriali (Reg. 2023/1230)
Dispositivi medici e diagnostici in vitro (MDR/IVDR)
Automotive, aviazione, treni (Reg. 2018/858, 2018/1139)
Giocattoli (Dir. 2009/48/EC)
Ascensori (Dir. 2014/33/EU)
ATEX - atmosfere esplosive (Dir. 2014/34/EU)
Radio equipment (Dir. 2014/53/EU)
Pressure equipment (Dir. 2014/68/EU)
Imbarcazioni da diporto (Dir. 2013/53/EU)
Impianti a fune (Reg. 2016/424)
PPE - dispositivi protezione individuale (Reg. 2016/425)
Apparecchi a gas (Reg. 2016/426)
Marine equipment (Dir. 2014/90/EU)

Esempio:

Sistema AI che controlla il sistema di frenatura autonoma di un'automobile → Componente di sicurezza automotive (Allegato I) → Alto rischio

Domanda 6: Allegato III - 8 Aree Alto Rischio

Il sistema opera in una delle 8 aree ad alto rischio?

Base normativa: Allegato III + Art. 6(2)

L'Allegato III identifica 8 aree dove i sistemi AI sono considerati ad alto rischio per diritti fondamentali e sicurezza.

1. Identificazione/Categorizzazione Biometrica

Identificazione biometrica remota di persone fisiche (non real-time, che è vietato Art. 5), categorizzazione da dati biometrici.

2. Infrastrutture Critiche

Gestione e operazione di infrastrutture critiche: acqua, gas, elettricità, trasporti, reti digitali.

Esempio:

Sistema AI che gestisce la distribuzione elettrica nazionale, ottimizzando il carico sulla rete.

3. Istruzione e Formazione Professionale

Determinare accesso, ammissione a istituzioni educative; valutazione studenti; monitoraggio esami; rilevamento plagio.

Esempio:

Sistema AI che valuta automaticamente i compiti degli studenti universitari e assegna voti finali.

4. Occupazione e Gestione Lavoratori

Recruiting, screening CV, selezione; valutazione performance; decisioni su promozioni, contratti; monitoraggio lavoratori.

Esempio:

Piattaforma AI che analizza i CV e seleziona automaticamente i candidati per colloqui.

5. Servizi Pubblici/Privati Essenziali

Benefici assistenza sociale pubblici e privati; scoring creditizio; valutazione assicurativa; dispatch servizi emergenza (911).

Esempio:

Algoritmo che calcola credit score per approvazione prestiti bancari.

6. Law Enforcement

Risk assessment probabilità crimine/recidiva; poligrafi; valutazione affidabilità prove; profiling per investigazioni criminali.

7. Migrazione, Asilo, Controllo Frontiere

Risk assessment per migranti; esame domande asilo; rilevamento persone illegalmente presenti; verifica autenticità documenti viaggio.

8. Amministrazione della Giustizia

Assistenza ricerca e interpretazione fatti/leggi; decisioni giudiziarie; alternative dispute resolution (ADR).

Esempio:

Sistema AI che assiste i giudici nella ricerca di precedenti giurisprudenziali e suggerisce sentenze.

Domanda 7: Trasparenza

Richiede obblighi di trasparenza specifici?

Base normativa: Art. 50

Alcuni sistemi AI devono informare gli utenti della loro natura artificiale, anche se non sono ad alto rischio.

Chatbot e Assistenti Conversazionali (Art. 50(1))

Deployer di AI systems che interagiscono con persone devono informarle che stanno interagendo con AI.

Eccezione: Se è ovvio dal contesto e dalle circostanze.

Deepfake e Contenuti Sintetici (Art. 50(2))

Deployer di AI che generano o manipolano contenuti immagine/audio/video devono marcarli come artificially generated/manipulated.

Machine-readable format
Marking detectabile dagli esseri umani

Contenuti Testuali (Art. 50(4))

Deployer di AI che generano/manipolano text content destinato a informare il pubblico devono disclosure che il contenuto è artificially generated/manipulated.

Eccezioni: Se necessario per rilevare attività illecite, o se il contenuto ha subito revisione umana sostanziale.

Emotion Recognition e Biometric Categorization Lecite (Art. 50(4))

Quando emotion recognition o biometric categorization sono utilizzate in contesti leciti (non lavoro/scuola), richiedono trasparenza.

Domanda 8: Ambito Geografico

Dove sarà utilizzato o commercializzato il sistema?

Base normativa: Art. 2 (Scope)

L'AI Act si applica a:

Placing on market o putting into service nell'UE
Use di AI systems nell'UE
Output di AI systems utilizzati nell'UE (anche se il sistema è extra-UE)

Effetto Extraterritoriale: Anche se la vostra azienda è fuori dall'UE, se il sistema AI produce output utilizzati nell'UE, l'AI Act si applica. In questo caso, dovete nominare un Authorised Representative nell'UE (Art. 22-23).

Esempio Applicazione Extraterritoriale:

Un'azienda USA sviluppa un sistema AI di recruitment che viene utilizzato da una filiale europea per selezionare candidati in Francia → L'AI Act si applica, anche se il provider è USA.

4. Criteri AI Act e Normativa di Riferimento

Principi Fondamentali AI Act

L'AI Act si basa su un approccio risk-based, classificando i sistemi AI in categorie con obblighi proporzionati al rischio.

Categoria	Rischio	Obblighi	Applicabilità
VIETATO	Inaccettabile	Divieto assoluto	2 Feb 2025
Alto Rischio	Alto	Conformità CE, documentazione, registrazione	2 Ago 2026
GPAI Sistemico	Sistemico	Art. 53 + Art. 55	2 Ago 2025
GPAI Standard	Moderato	Art. 53	2 Ago 2025
Rischio Limitato	Basso	Trasparenza (Art. 50)	2 Ago 2026
Rischio Minimo	Minimo	Nessun obbligo specifico	-

Obblighi per Sistemi Alto Rischio (Dettaglio)

Art. 9 - Risk Management System

Processo continuo iterativo per tutto il ciclo di vita:

(a) Identificazione rischi noti e ragionevolmente prevedibili
(b) Stima e valutazione rischi emergenti
(c) Valutazione altri rischi basati su analisi dati post-market
(d) Adozione misure di gestione appropriate

Art. 10 - Data Governance

Dataset di training, validation e testing devono essere:

Rilevanti, rappresentativi, privi di errori, completi
Dotati di appropriate statistical properties
Considerare caratteristiche geografiche, contestuali, comportamentali
Mitigare bias (protected attributes come genere, etnia)

Art. 11 - Technical Documentation

Documentazione completa (conservata 10 anni) deve includere:

(1) Descrizione generale sistema e intended purpose
(2) Design e architettura
(3) Dataset utilizzati
(4) Descrizione monitoraggio, funzionamento, controllo
(5) Risk management system applicato
(6) Modifiche apportate durante il ciclo di vita
(7) Standard armonizzati applicati
(8) EU Declaration of Conformity

Art. 12-19 - Record-keeping (Logging)

Registrazione automatica eventi (log):

Periodo di conservazione appropriato (minimo 6 mesi per alto rischio)
Log protetti contro manomissioni
Permettere traceability throughout lifecycle
Accessibili a competent authorities

Art. 13 - Transparency & Instructions for Use

Istruzioni uso chiare, comprensibili, devono includere:

Identità e contatti del provider
Caratteristiche, capacità e limitazioni del sistema
Modifiche e aggiornamenti
Misure human oversight
Expected lifetime del sistema
Circostanze in cui possono sorgere rischi

Art. 14 - Human Oversight

Misure per garantire human oversight efficace:

(1) Comprendere capacità e limitazioni del sistema
(2) Essere consapevoli dell'automation bias
(3) Interpretare correttamente output del sistema
(4) Decidere quando non usare il sistema
(5) Capacità di intervenire o interrompere il sistema

Art. 15 - Accuracy, Robustness, Cybersecurity

Livello appropriato di:

Accuracy: precisione nelle predizioni/output
Robustness: resilienza contro errori, fault, inconsistenze
Cybersecurity: protezione contro data poisoning, model attacks, adversarial attacks

Art. 17 - Quality Management System

Sistema di gestione qualità che copre:

Compliance con normativa UE
Testing pre- e post-development
Technical specifications
Data management system
Record-keeping procedures
Resource management
Accountability framework
Procedura segnalazione serious incidents

Art. 43-48 - Conformity Assessment + CE Marking

Valutazione conformità prima di placing on market:

Procedura internal control (Annex VI): self-assessment dal provider
Notified body assessment (Annex VII): per sistemi critici o law enforcement
Marcatura CE visibile, leggibile, indelebile
EU Declaration of Conformity

Art. 49 - Registration in EU Database

Provider registra sistema prima del placing on market. Informazioni pubbliche:

Nome e contatto provider
Descrizione sistema e intended purpose
Status (on market, withdrawn)
CE marking information
Member States dove deployed

Art. 72 - Post-Market Monitoring (PMM)

Sistema PMM documentato per raccogliere e analizzare dati su performance in real-life use:

Proporzionato alla natura dei rischi
Plan attivamente raccolto da deployers/users
Aggiornamento continuo risk management

Art. 73 - Serious Incident Reporting

Notifica a market surveillance authorities entro 15 giorni se:

Death o serious damage to health
Serious disruption di infrastrutture critiche
Breach di fundamental rights

Obblighi Deployer (Art. 26-27)

Art. 26 - Obblighi Generali Deployer

(1) Usare sistema conforme a instructions for use
(2) Garantire human oversight da persone competenti
(3) Monitorare operazione, sospendere uso se malfunzionamenti
(5) Conservare logs per periodo appropriato

Art. 27 - Fundamental Rights Impact Assessment (FRIA)

Obbligatorio per deployer che sono:

Public authorities
EU institutions
Entità private che forniscono public services
Banking, insurance, credit institutions

Contenuto FRIA:

(a) Descrizione processi del deployer
(b) Periodo e frequenza di utilizzo
(c) Categorie di persone interessate
(d) Rischi specifici per diritti fondamentali
(e) Implementazione human oversight
(f) Misure in caso di materializzazione rischi

Timeline Applicazione

Data	Applicabilità
2 Febbraio 2025	Divieti Art. 5 (pratiche proibite)
2 Agosto 2025	Obblighi GPAI (Art. 53, 55)
2 Agosto 2026	Applicazione generale (alto rischio, trasparenza)
2 Agosto 2027	Sistemi esistenti alto rischio (36 mesi transizione)

Sanzioni (Art. 99)

Violazione	Sanzione Massima
Pratiche proibite (Art. 5)	35.000.000 EUR o 7% fatturato globale
Violazioni GPAI (Art. 53, 55)	15.000.000 EUR o 3% fatturato globale
Altre violazioni (Art. 9-15, 26, 50, 72)	7.500.000 EUR o 1.5% fatturato globale

Fattori attenuanti/aggravanti (Art. 99(2)):

Natura, gravità, durata della violazione
Carattere intenzionale o negligente
Azioni per mitigare il danno
Grado di responsabilità
Violazioni precedenti
Cooperazione con autorità
Dimensione impresa (considerazioni SME)

5. Interpretazione dei Risultati

Classificazioni Possibili

Sistema VIETATO

Azione richiesta: Interrompere immediatamente sviluppo/deployment. Consultare esperti legali. Valutare alternative conformi.

Il sistema ricade in una o più delle 8 pratiche proibite (Art. 5). Non può essere immesso sul mercato o utilizzato nell'UE dal 2 febbraio 2025. Sanzioni fino a 35M EUR.

Sistema Alto Rischio

Azione richiesta: Avviare compliance completa Art. 9-15. Registrazione EU database. Marcatura CE. Timeline: entro 2 agosto 2026.

Sistemi che ricadono in Allegato I o Allegato III. Richiedono:

Risk management system (Art. 9)
Data governance (Art. 10)
Technical documentation (Art. 11)
Logging (Art. 12)
Trasparenza (Art. 13)
Human oversight (Art. 14)
Accuracy, robustness, cybersecurity (Art. 15)
Quality management system (Art. 17)
Conformity assessment + CE marking (Art. 43-48)
Registration EU database (Art. 49)
Post-market monitoring (Art. 72)

GPAI Standard

Azione richiesta: Documentazione modello, copyright policy, training data summary. Timeline: entro 2 agosto 2025.

Modelli foundation generali (Art. 53). Obblighi:

Technical documentation (Art. 53(1)(a))
Copyright compliance policy (Art. 53(1)(c))
Training content summary pubblico (Art. 53(1)(d))
Supporto a downstream provider (Art. 53(1)(b))

GPAI con Rischio Sistemico

Azione richiesta: Obblighi GPAI standard + adversarial testing, risk mitigation, cybersecurity avanzata, notifica AI Office. Timeline: entro 2 agosto 2025.

Modelli GPAI ad alto impatto (>10²⁵ FLOPS). Obblighi Art. 53 + Art. 55:

Model evaluation tramite adversarial testing (Art. 55(1)(a))
Systemic risk assessment e mitigation (Art. 55(1)(b))
Cybersecurity protection avanzata (Art. 55(1)(c))
Serious incident reporting all'AI Office (Art. 55(1)(d))

GPAI + Alto Rischio (Classificazione Cumulativa)

Azione richiesta: Applicare ENTRAMBI i set di obblighi: GPAI (Art. 53/55) + Alto Rischio (Art. 9-15, 49, 72, 73).

Un modello GPAI può essere integrato come componente di un sistema ad alto rischio. In questo caso:

Obblighi GPAI (Art. 53 o 53+55)
Obblighi Alto Rischio completi (Art. 9-15, etc.)
Nessuna deroga - compliance totale

Rischio Limitato (Trasparenza)

Azione richiesta: Implementare obblighi trasparenza (Art. 50). Notifiche utenti, marking contenuti sintetici. Timeline: entro 2 agosto 2026.

Sistemi che richiedono solo trasparenza:

Chatbot: informare utenti dell'interazione con AI
Deepfake: marcare contenuti come artificially generated
Emotion recognition/biometric categorization lecite: disclosure trasparenza

Rischio Minimo

Azione richiesta: Nessun obbligo AI Act specifico. Considerare voluntary codes of conduct (Art. 69).

Sistemi AI che non ricadono in categorie precedenti. No obblighi specifici AI Act, ma:

Restano applicabili GDPR, product safety legislation, consumer protection law
Voluntary codes of conduct per best practice (Art. 69)
Monitorare evoluzione normativa

Out of Scope (Fuori Ambito)

Nota: Sistema utilizzato solo extra-UE. AI Act non si applica.

Se il sistema AI opera esclusivamente fuori dall'UE senza output utilizzati in UE, l'AI Act non si applica.

Affidabilità dell'Analisi

Lo strumento calcola un punteggio di affidabilità basato sul completamento delle domande:

100%: Tutte le 8 domande completate
75-99%: 6-7 domande completate (analisi parziale)
<75%: Analisi incompleta, non affidabile

Importante: Anche con affidabilità 100%, lo strumento fornisce solo una valutazione preliminare. La compliance ufficiale richiede verifica da parte di esperti qualificati.

6. Esempi Pratici

Esempio 1: Chatbot Customer Service

Scenario: Un'azienda retail sviluppa un chatbot AI per assistenza clienti sul proprio e-commerce.

Valutazione:

Q1: Sì, è AI (NLP, machine learning)
Q2: Provider (sviluppato internamente)
Q3: No pratiche proibite
Q4: No GPAI (sistema specifico)
Q5: No Allegato I
Q6: No Allegato III
Q7: Sì, trasparenza (chatbot interagisce con persone)
Q8: Mercato UE

Risultato: Rischio Limitato - Obblighi Trasparenza (Art. 50)

Azioni richieste:

Informare utenti che interagiscono con AI chatbot
Disclaimer visibile: "Stai parlando con un assistente AI"
Opzione per passare a operatore umano
Compliance entro 2 agosto 2026

Esempio 2: Sistema HR Recruitment

Scenario: Multinazionale USA utilizza piattaforma AI per screening CV e selezione candidati nelle filiali europee.

Valutazione:

Q1: Sì, è AI (machine learning per selezione)
Q2: Provider USA (sviluppatore) + Deployer EU (multinazionale)
Q3: No pratiche proibite
Q4: No GPAI
Q5: No Allegato I
Q6: Sì, Allegato III - Area 4 (Occupazione e gestione lavoratori)
Q7: No trasparenza specifica
Q8: Utilizzato in UE

Risultato: Alto Rischio

Azioni richieste:

Per il Provider (USA):

Nominare Authorised Representative in UE (Art. 22-23)
Conformità completa Art. 9-15
Marcatura CE
Registrazione EU database
Post-market monitoring

Per il Deployer (Multinazionale):

Eseguire FRIA (Fundamental Rights Impact Assessment) - Art. 27
Implementare human oversight sul processo selezione
Monitorare operazione del sistema
Conservare logs

Timeline: Compliance entro 2 agosto 2026 (o 2 agosto 2027 se sistema già in uso)

Esempio 3: Modello GPT-4 Integrato in App Medica

Scenario: Startup italiana sviluppa app diagnostica medica che utilizza GPT-4 per analizzare sintomi e suggerire diagnosi.

Valutazione:

Q1: Sì, è AI
Q2: Provider (startup sviluppa l'app)
Q3: No pratiche proibite
Q4: Sì, GPAI sistemico (GPT-4) ma utilizzato come componente
Q5: Sì, Allegato I - Dispositivi medici (MDR Reg. 2017/745)
Q6: Eventualmente anche Allegato III (servizi essenziali sanitari)
Q7: No trasparenza specifica (già coperto da alto rischio)
Q8: Mercato UE

Risultato: GPAI Sistemico + Alto Rischio (Classificazione Cumulativa)

Azioni richieste:

Per GPT-4 (OpenAI come provider GPAI):

Obblighi Art. 53 (documentazione, copyright, training summary)
Obblighi Art. 55 (adversarial testing, systemic risk mitigation, cybersecurity, AI Office reporting)

Per la Startup (provider del sistema medico):

Conformità completa Art. 9-15 (risk management, data governance, etc.)
Conformità MDR (Medical Device Regulation)
Marcatura CE medica
Registrazione EU database AI
Clinical evidence e post-market clinical follow-up
Notified body assessment (dispositivo medico classe IIa o superiore)

Note:

Doppia compliance: AI Act + MDR
Responsabilità provider per l'intero sistema, non solo per la parte GPAI
Timeline: GPAI entro 2 agosto 2025, alto rischio entro 2 agosto 2026

Esempio 4: Social Scoring Aziendale Interno

Scenario: Un'azienda sviluppa sistema AI che assegna "punteggi di collaborazione" ai dipendenti basati su email, chat, partecipazione meeting.

Valutazione:

Q1: Sì, è AI
Q2: Provider e Deployer (stesso soggetto)
Q3: Sì, pratica proibita - Social scoring (Art. 5(1)(c))

Risultato: VIETATO

Azioni richieste:

Interrompere immediatamente sviluppo e utilizzo
Sistema non può essere utilizzato nell'UE dal 2 febbraio 2025
Sanzioni fino a 35M EUR se violato
Consultare esperti legali per alternative conformi (es. performance evaluation tradizionale con human oversight completo)

Esempio 5: Sistema Predittivo Manutenzione Industriale

Scenario: Azienda manifatturiera utilizza AI per predictive maintenance di macchinari industriali.

Valutazione:

Q1: Sì, è AI (machine learning per predizioni)
Q2: Deployer (acquista sistema da fornitore esterno)
Q3: No pratiche proibite
Q4: No GPAI
Q5: Potenzialmente Allegato I se componente di sicurezza di macchinari (Reg. 2023/1230) - dipende se il sistema AI controlla aspetti di sicurezza o solo efficienza
Q6: No Allegato III
Q7: No trasparenza
Q8: Utilizzo in UE

Analisi critica:

Se AI predice solo quando fare manutenzione per efficienza (ridurre downtime) → Rischio Minimo
Se AI controlla safety-critical components dei macchinari e la sua failure potrebbe causare incidenti → Alto Rischio (Allegato I)

Raccomandazione: Analisi dettagliata del ruolo del sistema AI rispetto alla sicurezza dei macchinari. Se dubbio, approccio conservativo: trattare come alto rischio.

7. Domande Frequenti (FAQ)

Generale

D: L'AI Act si applica a tutti i sistemi AI?

R: No. L'AI Act si applica solo ai sistemi AI utilizzati nell'UE o i cui output sono utilizzati nell'UE. Sistemi per uso personale non professionale sono esclusi (Art. 2(6)).

D: Quando entra in vigore l'AI Act?

R: Progressivamente:

2 Feb 2025: Divieti (Art. 5)
2 Ago 2025: GPAI (Art. 53, 55)
2 Ago 2026: Applicazione generale
2 Ago 2027: Sistemi esistenti alto rischio (36 mesi)

D: Cosa succede se sviluppo il sistema fuori dall'UE ma lo vendo in EU?

R: L'AI Act si applica. Devi nominare un Authorised Representative nell'UE (Art. 22-23) e rispettare tutti gli obblighi applicabili.

Pratiche Proibite

D: Posso usare emotion recognition sul posto di lavoro?

R: No, è vietato (Art. 5(1)(f)), salvo eccezioni mediche o di sicurezza rigorosamente limitate.

D: Il riconoscimento facciale è sempre vietato?

R: No. Vietato è il real-time remote biometric identification in spazi pubblici per law enforcement (Art. 5(1)(h)), con eccezioni strette (terrorismo, bambini scomparsi). Altri usi di riconoscimento facciale possono essere ad alto rischio (Allegato III) se usati per categorizzazione.

Alto Rischio

D: Se il mio sistema è ad alto rischio, quanto tempo ho per conformarmi?

R:

Sistemi nuovi: Conforme prima di placing on market dal 2 agosto 2026
Sistemi già in uso: 36 mesi (fino a 2 agosto 2027)

D: Quanto costa la conformità per un sistema ad alto rischio?

R: Dipende dalla complessità del sistema. Costi tipici includono:

Consulenza legale: €20.000 - €100.000+
Implementazione tecnica (risk management, logging, etc.): €50.000 - €500.000+
Notified body assessment (se richiesto): €10.000 - €50.000
Documentazione e testing: €20.000 - €100.000
Totale stimato: €100.000 - €750.000+ per sistema ad alto rischio

PMI possono beneficiare di supporto e deroghe limitate.

D: Devo fare conformity assessment con Notified Body per ogni sistema alto rischio?

R: Non sempre. Dipende:

Internal control (Annex VI): Possibile per la maggior parte dei sistemi alto rischio
Notified body (Annex VII): Obbligatorio per law enforcement e alcuni sistemi critici

GPAI

D: Se uso GPT-4 nella mia app, devo rispettare gli obblighi GPAI?

R: Dipende dal tuo ruolo:

Se sei provider downstream (integri GPT-4 in un sistema): OpenAI ha obblighi GPAI (Art. 53, 55), tu hai obblighi per il TUO sistema (es. se alto rischio, Art. 9-15)
Se sei deployer: Obblighi deployer applicabili (Art. 26-27 se alto rischio)

D: Cosa significa "GPAI con rischio sistemico"?

R: Modelli GPAI con capacità eccezionali (presunzione se >10²⁵ FLOPS). Esempi: GPT-4, Claude 3 Opus, Gemini Ultra. Hanno obblighi aggiuntivi (Art. 55): adversarial testing, systemic risk mitigation.

Deployer

D: Sono un deployer, devo fare FRIA?

R: Sì, se:

Il sistema è ad alto rischio, E
Sei: public authority, EU institution, entità che fornisce public services, banking/insurance

D: Come deployer, sono responsabile se il sistema AI sbaglia?

R: Dipende:

Se hai usato il sistema conforme alle istruzioni del provider, responsabilità principalmente sul provider
Se hai usato il sistema in modo non conforme o non hai implementato human oversight, responsabilità tua
Art. 26 richiede: uso conforme, monitoring, human oversight

Trasparenza

D: Devo sempre informare gli utenti se un chatbot è AI?

R: Sì, salvo se è ovvio dal contesto (Art. 50(1)). Best practice: sempre informare esplicitamente.

D: Come marco i contenuti deepfake?

R: Due modi (Art. 50(2)):

Machine-readable: metadata, watermarking digitale
Human-detectable: disclaimer visibile, overlay, caption

Compliance e Roadmap

D: Da dove inizio per la compliance?

R: Roadmap suggerita:

Assessment (utilizzare questo tool + verifica esperto)
Gap Analysis: Identifica cosa manca
Roadmap: Piano temporale con milestone
Implementation: Risk management, documentazione, testing
Conformity Assessment: Internal control o notified body
Registration & Deployment: Database UE, marcatura CE
Monitoring: Post-market monitoring, incident reporting

D: Posso autocertificare la conformità?

R: Per la maggior parte dei sistemi alto rischio, sì (internal control, Annex VI). Ma la documentazione deve essere rigorosa e potresti essere soggetto a audit da market surveillance authorities.

8. Limitazioni e Disclaimer

⚠️ Avvertenze Importanti

Questo strumento è fornito esclusivamente a scopo informativo e didattico.

L'assessment generato NON costituisce consulenza legale professionale e non può sostituire la valutazione di esperti qualificati in materia di conformità normativa all'AI Act (Regolamento UE 2024/1689).

Limitazioni dello strumento:

Fornisce un'analisi preliminare basata su risposte dichiarative dell'utente
Ogni caso concreto richiede valutazione specifica da parte di professionisti legali
Il Regolamento UE 2024/1689 richiede interpretazione contestuale delle norme
Le linee guida ufficiali e la giurisprudenza possono evolvere nel tempo
Non copre tutti i casi edge o situazioni particolari
Non sostituisce la due diligence legale completa

Studio Legale Fabiano e l'Avv. Nicola Fabiano declinano ogni responsabilità per:

Decisioni prese sulla base dei risultati di questo strumento
Danni diretti o indiretti derivanti dall'uso dello strumento
Incompletezza o inesattezza delle informazioni fornite
Modifiche normative successive alla data di rilascio dello strumento
Interpretazioni errate dovute a complessità del caso specifico

Per una verifica ufficiale della conformità al Regolamento AI Act, si raccomanda vivamente di consultare professionisti qualificati specializzati in diritto delle tecnologie e AI compliance.

Contatti per Consulenza Professionale

Per assistenza professionale sulla compliance AI Act:

Studio Legale Fabiano
Avv. Nicola Fabiano
Email: support@fabiano.law
Website: www.fabiano.law

Versione e Data di Rilascio

Versione guida: 1.0.0
Data: Ottobre 2025
Basata su: Regolamento UE 2024/1689 (AI Act) - Testo ufficiale pubblicato nella Gazzetta Ufficiale dell'UE

📘 Guida alla Compilazione

📄 Testo Ufficiale AI Act

Indice dei Contenuti

1. Introduzione e Scopo

Cosa NON è questo strumento

A chi si rivolge

2. Come Funziona lo Strumento

Metodologia di Valutazione

Sistema di Scoring

3. Guida Passo-Passo alle 8 Domande

Domanda 1: Tipologia Sistema

Il tuo sistema è classificabile come Intelligenza Artificiale?

Domanda 2: Ruolo Operatore

Qual è il tuo ruolo rispetto al sistema AI?

Provider (Art. 2(s))

Deployer (Art. 2(t))

Importer (Art. 2(u))

Distributor (Art. 2(v))

Authorised Representative (Art. 22-23)

Domanda 3: Pratiche Proibite

Il sistema rientra in una pratica VIETATA?

1. Tecniche Subliminali (Art. 5(1)(a))

2. Sfruttamento Vulnerabilità (Art. 5(1)(b))

3. Social Scoring (Art. 5(1)(c))

4. Predictive Policing - Profiling (Art. 5(1)(d))

5. Facial Scraping Non Mirato (Art. 5(1)(e))

6. Emotion Recognition - Lavoro/Scuola (Art. 5(1)(f))

7. Categorizzazione Biometrica - Attributi Sensibili (Art. 5(1)(g))

8. Real-time Remote Biometric Identification (Art. 5(1)(h))

Domanda 4: Modelli GPAI

È un modello AI di scopo generale (GPAI)?

GPAI Standard (Art. 53)

GPAI con Rischio Sistemico (Art. 55)

Domanda 5: Allegato I - Prodotti Regolamentati

È componente di sicurezza di prodotti regolamentati?

Domanda 6: Allegato III - 8 Aree Alto Rischio

Il sistema opera in una delle 8 aree ad alto rischio?

1. Identificazione/Categorizzazione Biometrica

2. Infrastrutture Critiche

3. Istruzione e Formazione Professionale

4. Occupazione e Gestione Lavoratori

5. Servizi Pubblici/Privati Essenziali

6. Law Enforcement

7. Migrazione, Asilo, Controllo Frontiere

8. Amministrazione della Giustizia

Domanda 7: Trasparenza

Richiede obblighi di trasparenza specifici?

Chatbot e Assistenti Conversazionali (Art. 50(1))

Deepfake e Contenuti Sintetici (Art. 50(2))

Contenuti Testuali (Art. 50(4))

Emotion Recognition e Biometric Categorization Lecite (Art. 50(4))

Domanda 8: Ambito Geografico

Dove sarà utilizzato o commercializzato il sistema?

4. Criteri AI Act e Normativa di Riferimento

Principi Fondamentali AI Act

Obblighi per Sistemi Alto Rischio (Dettaglio)

Art. 9 - Risk Management System

Art. 10 - Data Governance

Art. 11 - Technical Documentation

Art. 12-19 - Record-keeping (Logging)

Art. 13 - Transparency & Instructions for Use

Art. 14 - Human Oversight

Art. 15 - Accuracy, Robustness, Cybersecurity

Art. 17 - Quality Management System

Art. 43-48 - Conformity Assessment + CE Marking

Art. 49 - Registration in EU Database

Art. 72 - Post-Market Monitoring (PMM)

Art. 73 - Serious Incident Reporting

Obblighi Deployer (Art. 26-27)

Art. 26 - Obblighi Generali Deployer

Art. 27 - Fundamental Rights Impact Assessment (FRIA)

Timeline Applicazione

Sanzioni (Art. 99)

5. Interpretazione dei Risultati

Classificazioni Possibili

Sistema VIETATO

Sistema Alto Rischio

GPAI Standard

GPAI con Rischio Sistemico

GPAI + Alto Rischio (Classificazione Cumulativa)