Conformità al Regolamento UE sull'IA: 8 passi prima di agosto 2026
La conformità al Regolamento UE sull'IA richiede alle organizzazioni di fare un inventario di tutti i sistemi di IA, classificarli per livello di rischio ai sensi dell'Art. 6 e dell'Allegato III, implementare sistemi di gestione dei rischi (Art. 9), stabilire la governance dei dati (Art. 10), creare documentazione tecnica (Art. 11), progettare la supervisione umana (Art. 14), completare le valutazioni di conformità (Art. 43) e registrare i sistemi ad alto rischio nella banca dati UE (Art. 49) — il tutto prima del 2 agosto 2026. Con sanzioni fino a 35 milioni di euro o il 7% del fatturato annuo mondiale per le pratiche vietate e 15 milioni di euro o il 3% per le violazioni ad alto rischio, la Commissione europea stima i costi di conformità in 6.000–7.500 € per sistema di IA ad alto rischio. Eppure, secondo un'indagine Deloitte del 2025, solo il 29% delle organizzazioni europee ha avviato una preparazione strutturata al Regolamento IA.
Questa guida fornisce una roadmap di implementazione pratica, passo dopo passo, con tempistiche, stime dei costi e deliverable concreti per ogni passo.
Esegui la valutazione gratuita della prontezza all'AI Act per capire il tuo punto di partenza.
Prima di iniziare: Verifica della realtà del calendario
Con circa 3,5 mesi alla scadenza del 2 agosto 2026, ecco una timeline di implementazione realistica:
| Passo | Durata | Inizio raccomandato |
|---|---|---|
| 1. Inventario dei sistemi di IA | 2–3 settimane | Immediatamente |
| 2. Classificazione dei rischi | 2–3 settimane | Settimana 3 |
| 3. Verifica pratiche vietate | 1 settimana | Settimana 5 |
| 4. Sistema di gestione dei rischi | 4–6 settimane | Settimana 6 |
| 5. Governance dei dati | 3–4 settimane | Settimana 6 (parallelo) |
| 6. Documentazione tecnica | 4–6 settimane | Settimana 10 |
| 7. Valutazione di conformità | 2–4 settimane | Settimana 14 |
| 8. Registrazione e monitoraggio | 1–2 settimane | Settimana 16 |
Tempo totale stimato: 16–18 settimane (4–4,5 mesi). Se non hai ancora iniziato, la finestra si sta chiudendo rapidamente.
Passo 1: Inventariare tutti i sistemi di IA
Obiettivo: Creare un inventario completo e accurato di ogni sistema di IA che la tua organizzazione sviluppa, distribuisce o utilizza.
Perché è importante: Non puoi classificare ciò che non puoi vedere. Secondo Gartner, il 40% delle organizzazioni non è in grado di elencare con precisione tutti i sistemi di IA che gestisce. L'IA ombra — sistemi adottati da singoli team senza supervisione centrale — è il più grande punto cieco di conformità.
Cosa documentare per ogni sistema:
- Nome del sistema e versione
- Fornitore (interno o terze parti)
- Scopo e utilizzo previsto
- Input e output dei dati
- Contesto di deployment (quale unità aziendale, quale area geografica)
- Portata decisionale (consultivo vs. autonomo)
- Numero di persone interessate
Deliverable: Registro dei sistemi di IA — un documento vivo che diventa il fondamento di tutte le successive attività di conformità.
Stima dei costi: 2.000–5.000 € (impegno interno) o 5.000–15.000 € (con supporto esterno).
Errore comune: Concentrarsi solo sui modelli ML. La definizione di "sistema di IA" del Regolamento (Art. 3(1)) copre approcci di machine learning, sistemi basati sulla logica e approcci statistici. Assicurati che il tuo inventario catturi l'IA basata su regole, i sistemi esperti e gli strumenti di decision-making automatizzato accanto alle reti neurali.
Passo 2: Classificare ogni sistema per livello di rischio
Obiettivo: Determinare a quale livello di rischio appartiene ogni sistema di IA ai sensi degli Art. 5–7 e dell'Allegato III.
Il framework di classificazione:
| Livello di rischio | Trigger | Obbligo |
|---|---|---|
| Vietato (Art. 5) | Social scoring, manipolazione subliminale, riconoscimento delle emozioni al lavoro/scuola | Deve essere cessato |
| Alto rischio (Art. 6, Allegato III) | IA in biometria, infrastrutture critiche, istruzione, occupazione, servizi essenziali, forze dell'ordine, migrazione, giustizia | Conformità completa Art. 9–15 |
| Rischio limitato (Art. 50) | Chatbot, deepfake, riconoscimento delle emozioni, categorizzazione biometrica | Divulgazione di trasparenza |
| Rischio minimo | Tutto il resto | Solo cultura dell'IA |
Punti decisionali chiave:
- Il sistema rientra in un divieto dell'Art. 5? → In tal caso, cessare immediatamente.
- Il sistema è elencato nell'Allegato III o è un componente di sicurezza di un prodotto dell'Allegato I? → In tal caso, alto rischio.
- Si applica l'esenzione dell'Art. 6(3)? → Il sistema non è ad alto rischio se non presenta un rischio significativo di danno, non influisce materialmente sul processo decisionale e non viene utilizzato per profilare persone.
- Il sistema interagisce con persone o genera contenuti? → In tal caso, verificare gli obblighi di trasparenza dell'Art. 50.
Deliverable: Registro di classificazione dei rischi con motivazione documentata per ogni decisione di classificazione.
Stima dei costi: 3.000–8.000 € a seconda delle dimensioni del portafoglio di IA.
Passo 3: Verificare le pratiche vietate
Obiettivo: Verificare che nessun sistema di IA nel tuo portafoglio violi i divieti dell'Art. 5.
Questo passo è urgente: Le pratiche vietate sono vietate dal 2 febbraio 2025. Se stai ancora operando IA vietata, sei già in violazione con un'esposizione di 35 milioni di euro o il 7% del fatturato.
Lista di controllo dei divieti dell'Art. 5:
- Nessun sistema di IA utilizza tecniche subliminali per manipolare il comportamento causando danni
- Nessun sistema di social scoring è in uso
- Nessuna identificazione biometrica in tempo reale in spazi pubblici (salvo l'eccezione ristretta delle forze dell'ordine)
- Nessun sistema sfrutta le vulnerabilità di gruppi specifici (età, disabilità, situazione economica)
- Nessun riconoscimento delle emozioni nei luoghi di lavoro o negli istituti scolastici (salvo per scopi medici o di sicurezza)
- Nessuna raccolta non mirata di immagini del viso per database di riconoscimento
- Nessuna categorizzazione biometrica per attributi sensibili
- Nessuna polizia predittiva basata esclusivamente sulla profilazione
Deliverable: Certificato di conformità all'Art. 5 — una conferma formale che non vengono utilizzate pratiche vietate.
Passo 4: Implementare sistemi di gestione dei rischi (Art. 9)
Obiettivo: Costruire un sistema di gestione dei rischi continuo e iterativo per ogni sistema di IA ad alto rischio.
L'Art. 9 richiede quattro fasi:
- Identificazione dei rischi: Identificare i rischi noti e ragionevolmente prevedibili derivanti dall'uso previsto e dall'uso improprio prevedibile
- Analisi dei rischi: Stimare la probabilità e la gravità di ogni rischio identificato
- Valutazione dei rischi: Determinare se i rischi residui sono accettabili rispetto ai benefici
- Mitigazione dei rischi: Implementare misure tecniche e organizzative per ridurre i rischi
Requisiti chiave:
- Il sistema di gestione dei rischi deve coprire l'intero ciclo di vita dell'IA — progettazione, sviluppo, deployment e post-commercializzazione
- Deve essere regolarmente aggiornato sulla base dei dati di monitoraggio post-commercializzazione
- I test devono validare che i rischi residui siano accettabili (Art. 9(7))
- I test devono essere eseguiti rispetto a metriche definite preliminarmente appropriate allo scopo del sistema
Deliverable: Piano di gestione dei rischi per sistema di IA ad alto rischio, incluso registro dei rischi, misure di mitigazione e protocolli di test.
Stima dei costi: 6.000–7.000 € per sistema (stima della Commissione europea).
Passo 5: Stabilire la governance dei dati (Art. 10)
Obiettivo: Garantire che i dataset di addestramento, validazione e test soddisfino i requisiti di qualità del Regolamento.
L'Art. 10 impone:
- Qualità, pertinenza e rappresentatività dei dati
- Esame dei potenziali bias, in particolare quelli che interessano le caratteristiche protette
- Proprietà statistiche appropriate per il contesto geografico, comportamentale o funzionale previsto
- Identificazione e rimedio delle lacune nei dati
- Salvaguardie per i dati personali dove il monitoraggio dei bias lo richiede
Implementazione pratica:
- Documentare la provenienza di tutti i dataset di addestramento
- Implementare controlli di qualità dei dati (completezza, accuratezza, coerenza)
- Eseguire analisi dei bias sulle caratteristiche protette (sesso, età, etnia, disabilità)
- Validare che i dataset siano rappresentativi della popolazione target
- Stabilire il versioning dei dati e il tracciamento del lineage
Deliverable: Framework di governance dei dati con metriche di qualità, report sui bias e documentazione dei dataset.
Passo 6: Creare documentazione tecnica (Art. 11, Allegato IV)
Obiettivo: Preparare documentazione tecnica completa per ogni sistema di IA ad alto rischio prima della sua immissione sul mercato.
L'Allegato IV richiede documentazione che copra:
- Descrizione generale (scopo, sviluppatore, versione, architettura del sistema)
- Descrizione dettagliata degli elementi e del processo di sviluppo
- Meccanismi di monitoraggio, funzionamento e controllo
- Informazioni sul sistema di gestione dei rischi
- Pratiche di governance dei dati e descrizioni dei dataset
- Metriche usate per misurare accuratezza, robustezza e sicurezza informatica
- Metriche di prestazione determinate a priori
- Descrizione delle misure di supervisione umana
- Vita utile prevista e procedure di manutenzione
La documentazione deve:
- Essere preparata prima che il sistema venga immesso sul mercato
- Essere mantenuta aggiornata per tutta la durata del ciclo di vita del sistema
- Essere disponibile per le autorità nazionali competenti su richiesta
Deliverable: Pacchetto di documentazione tecnica Allegato IV per sistema ad alto rischio.
Stima dei costi: 2.000–5.000 € per sistema (significativamente meno con strumenti di documentazione automatizzata).
Matproof automatizza la generazione della documentazione dell'Allegato IV — scopri come funziona.
Passo 7: Completare la valutazione di conformità (Art. 43)
Obiettivo: Dimostrare che il tuo sistema di IA ad alto rischio soddisfa tutti i requisiti applicabili.
Esistono due percorsi:
| Percorso | Applicabile a | Processo |
|---|---|---|
| Autovalutazione (Allegato VI) | La maggior parte dei sistemi ad alto rischio | Audit interno del sistema di gestione della qualità |
| Valutazione di terze parti (Allegato VII) | Identificazione biometrica per le forze dell'ordine | Valutazione da parte di un organismo notificato |
La Commissione europea stima che l'85% dei sistemi di IA ad alto rischio seguirà il percorso di autovalutazione.
Passaggi di autovalutazione:
- Verificare la conformità del sistema di gestione della qualità (Art. 17)
- Valutare la completezza della documentazione tecnica (Allegato IV)
- Verificare che tutti i requisiti Art. 9–15 siano soddisfatti
- Preparare la Dichiarazione UE di conformità (Allegato V)
- Apporre la marcatura CE
- Registrarsi nella banca dati UE (Art. 49)
Deliverable: Dichiarazione UE di conformità + documentazione della marcatura CE.
Stima dei costi: 3.000–7.500 € per sistema (stima della Commissione europea).
Passo 8: Registrare e implementare il monitoraggio continuo
Obiettivo: Registrare i sistemi ad alto rischio e stabilire processi di conformità continui.
Registrazione (Art. 49):
- Registrare ogni sistema di IA ad alto rischio nella banca dati UE prima della sua immissione sul mercato
- Includere descrizione del sistema, utilizzo previsto, risultati della valutazione di conformità e informazioni di contatto
- Mantenere aggiornate le informazioni di registrazione
Monitoraggio post-commercializzazione (Art. 72):
- Stabilire un sistema di monitoraggio post-commercializzazione proporzionato
- Raccogliere e analizzare dati sulle prestazioni del sistema di IA in condizioni reali
- Documentare e analizzare gli incidenti gravi
Segnalazione degli incidenti gravi (Art. 73):
- Segnalare gli incidenti che causano morte, danni gravi alla salute, interruzione di infrastrutture critiche o danni gravi ai diritti fondamentali
- Tempistica di segnalazione: entro 15 giorni dalla presa di conoscenza dell'incidente
Deliverable: Piano di monitoraggio post-commercializzazione + Procedura di risposta agli incidenti.
Riepilogo dei costi
| Passo | Costo stimato per sistema |
|---|---|
| Inventario dei sistemi di IA | 2.000–5.000 € (una tantum) |
| Classificazione dei rischi | 3.000–8.000 € (una tantum) |
| Verifica pratiche vietate | 1.000–2.000 € (una tantum) |
| Sistema di gestione dei rischi | 6.000–7.000 € |
| Governance dei dati | 3.000–6.000 € |
| Documentazione tecnica | 2.000–5.000 € |
| Valutazione di conformità | 3.000–7.500 € |
| Registrazione e monitoraggio | 1.000–3.000 €/anno |
| Totale (primo anno) | 21.000–43.500 € per sistema ad alto rischio |
Le organizzazioni con 5–10 sistemi di IA ad alto rischio dovrebbero prevedere un budget di 100.000–400.000 € per la conformità. Gli strumenti di automazione come Matproof possono ridurlo del 40–70%.
Domande frequenti
Quanto tempo richiede la conformità al Regolamento UE sull'IA?
Per un'organizzazione che parte da zero, prevedi 4–6 mesi per un programma di conformità completo che copra inventario, classificazione, gestione dei rischi, documentazione e valutazione di conformità. Le organizzazioni con framework GRC esistenti spesso possono completarlo in 2–3 mesi.
Ho bisogno di una valutazione di conformità per ogni sistema di IA?
No — solo per i sistemi di IA ad alto rischio classificati ai sensi dell'Art. 6 e dell'Allegato III. I sistemi a rischio minimo e limitato non richiedono valutazioni di conformità. La Commissione europea stima che solo il 15% dei sistemi di IA nell'UE sarà classificato come ad alto rischio.
Posso iniziare la conformità dopo il 2 agosto 2026?
Il regolamento non prevede un periodo di grazia. Dal 2 agosto 2026, tutti i requisiti per l'IA ad alto rischio sono applicabili. I sistemi già sul mercato devono conformarsi. I nuovi sistemi non possono essere immessi sul mercato senza una valutazione di conformità completata.
Cosa succede se il mio sistema di IA è fornito da una terza parte?
Come deployer, hai obblighi separati ai sensi dell'Art. 26 — incluso utilizzare il sistema in conformità con le istruzioni del fornitore, implementare la supervisione umana, monitorare il funzionamento del sistema e segnalare gli incidenti. Non devi ripetere la valutazione di conformità del fornitore, ma devi verificare che ne abbia completata una.
C'è differenza tra conformità al Regolamento UE sull'IA e certificazione ISO 42001?
Sì. ISO 42001 è uno standard volontario per i sistemi di gestione dell'IA. La conformità al Regolamento UE sull'IA è un requisito legale con sanzioni applicabili. La certificazione ISO 42001 può supportare il tuo caso di conformità ma non lo garantisce — il Regolamento IA ha requisiti specifici (valutazioni di conformità, marcatura CE, registrazione nella banca dati UE) che vanno oltre ISO 42001.