Nel 2018, all'inizio dell'enforcement del GDPR, i sondaggi mostravano che il 71 % delle aziende era impreparato alla compliance (ISACA). Alcuni studi indicavano percentuali ancora più alte — Consultancy.eu ha trovato che il 90 % delle aziende europee non era pronto.
Le conseguenze di quell'impreparazione sono state gravi. Le multe GDPR superano ora i 7,1 miliardi di euro in oltre 2.800 azioni di enforcement, con oltre il 60 % di quelle multe emesse da gennaio 2023 — anni dopo l'entrata in vigore della regolamentazione. La singola multa più alta ha raggiunto 1,2 miliardi di euro (Meta, 2023).
L'AI Act è strutturato per seguire lo stesso modello di enforcement. Le aziende che ritengono di poter aspettare e risolverlo dopo stanno commettendo lo stesso errore che è costato a migliaia di organizzazioni miliardi sotto il GDPR.
Anche gli Stati membri UE sono in ritardo
Il gap di readiness si estende oltre il settore privato. A marzo 2026, solo 8 dei 27 Stati membri UE hanno formalmente designato punti di contatto nazionali per l'enforcement — un requisito che scadeva il 2 agosto 2025, sette mesi fa.
La Finlandia è sola come primo Stato membro con pieni poteri di enforcement dell'AI Act (raggiunti a dicembre 2025). Nel frattempo, gli organismi europei di normalizzazione CEN e CENELEC hanno mancato la loro scadenza del 2025 per produrre norme tecniche armonizzate, spingendo il nuovo obiettivo a fine 2026.
Quando gli stessi regolatori sono in ritardo, ciò segnala sia la complessità della compliance sia la probabilità che l'enforcement aumenti aggressivamente una volta che l'infrastruttura sarà in funzione — proprio come è successo con il GDPR.
Cosa richiede effettivamente l'AI Act
Il regolamento classifica i sistemi di IA in quattro livelli di rischio:
IA proibita (già applicata dal 2 febbraio 2025): social scoring, sorveglianza biometrica in tempo reale negli spazi pubblici (con eccezioni limitate), tecniche di manipolazione subliminale e sfruttamento di gruppi vulnerabili.
IA ad alto rischio (enforcement dal 2 agosto 2026): sistemi di IA usati in decisioni di impiego, credit scoring, istruzione, diagnostica sanitaria, ordine pubblico, migrazione e infrastruttura critica. Richiedono valutazioni di conformità complete, sistemi di gestione del rischio, sorveglianza umana e documentazione tecnica.
IA a rischio limitato: chatbot, sistemi di generazione di contenuti e strumenti di deepfake. Comportano obblighi di trasparenza — gli utenti devono essere informati di interagire con l'IA.
IA a rischio minimo: tutto il resto. Nessun obbligo specifico, anche se sono incoraggiati codici di condotta volontari.
La Commissione europea stima che dal 10 al 18 % di tutti i sistemi IA nell'UE saranno classificati come ad alto rischio, rappresentando una porzione significativa di applicazioni business-critical.
Il costo della compliance — e della non-compliance
La ricerca indipendente del CEPS (Centre for European Policy Studies) pone i costi di compliance per un singolo sistema di IA ad alto rischio a:
- Compliance iniziale: 200.000 € – 500.000 €
- Setup sistema di gestione qualità: 193.000 € – 330.000 €
- Valutazione di conformità: 30.000 € – 150.000 €
- Monitoraggio post-immissione annuale: 40.000 € – 80.000 €
Per le PMI, studi indipendenti stimano costi iniziali di compliance fino a 600.000 € inclusi certificazione e personale, con costi annui ricorrenti che raggiungono i 150.000 €. Rappresenta una potenziale erosione dei profitti del 30-40 % per le aziende più piccole.
Il costo totale di compliance a livello di mercato è stimato tra 1,6 miliardi e 3,3 miliardi di euro.
Confrontate questi numeri con le sanzioni per non-compliance:
- Pratiche proibite: fino a 35 M€ o il 7 % del fatturato globale annuo
- Violazioni dei sistemi ad alto rischio: fino a 15 M€ o il 3 % del fatturato globale
- Informazioni false: fino a 7,5 M€ o l'1 % del fatturato globale
Cinque gap che vediamo più spesso
In base al nostro lavoro con aziende UE che valutano la loro readiness all'AI Act, questi sono i gap più comuni:
1. Nessun inventario dei sistemi IA. La maggior parte delle aziende non può nemmeno elencare tutti i sistemi IA in uso, figuriamoci classificarne il livello di rischio. La shadow AI — strumenti adottati da singoli team senza supervisione centrale — peggiora la situazione.
2. Documentazione di gestione del rischio mancante. L'articolo 9 richiede un sistema documentato di gestione del rischio che operi per l'intero ciclo di vita del sistema IA. La maggior parte delle aziende non ha nulla di simile.
3. Nessun framework di governance dei dati. L'articolo 10 impone requisiti specifici per i dataset di training, validazione e test. Le aziende che usano modelli di terzi spesso non hanno visibilità sui dati di training.
4. I piani di sorveglianza umana non esistono. L'articolo 14 richiede che i sistemi di IA ad alto rischio siano progettati per consentire una sorveglianza umana efficace. Molti sistemi di decision-making automatizzato sono stati costruiti specificamente per minimizzare il coinvolgimento umano.
5. Nessuna procedura di segnalazione incidenti. Le aziende sono tenute a segnalare incidenti gravi alle autorità. La maggior parte non ha un processo per rilevare, documentare o segnalare incidenti correlati all'IA.
Il rinvio proposto non è una ragione per aspettare
A marzo 2026, il Parlamento europeo ha votato per estendere potenzialmente le scadenze dei sistemi IA ad alto rischio fino a 16 mesi come parte del pacchetto Digital Omnibus. Se finalizzato, i sistemi ad alto rischio standalone avrebbero tempo fino a dicembre 2027.
Questo non dovrebbe cambiare la vostra tempistica. La proposta di rinvio è ancora in negoziazione e potrebbe non passare. Anche se passa, i requisiti di compliance restano identici — cambia solo la data di enforcement. Le aziende che usano un potenziale rinvio come scusa per rimandare si troveranno nella stessa frenesia che ha caratterizzato la readiness GDPR del 2018.
Più importante: l'obbligo di literacy IA (articolo 4) e il divieto delle pratiche proibite sono già in vigore da febbraio 2025. Le aziende sono già soggette a enforcement su queste disposizioni.
Cosa fare nei prossimi 90 giorni
Passo 1: Inventariate i vostri sistemi IA. Documentate ogni strumento di IA che la vostra organizzazione utilizza, chi lo usa, quali decisioni influenza e quali dati elabora. Includete i servizi IA di terze parti.
Passo 2: Classificate i livelli di rischio. Mappate ogni sistema rispetto alle categorie di rischio dell'AI Act. Prestate particolare attenzione all'IA usata in HR, finanza, sanità e decisioni rivolte ai clienti. Utilizzate il nostro verificatore gratuito di readiness AI Act per una valutazione iniziale.
Passo 3: Valutazione dei gap. Per qualsiasi sistema ad alto rischio, valutate il vostro stato attuale rispetto agli articoli 9-15 (gestione del rischio, governance dei dati, documentazione tecnica, tenuta dei registri, trasparenza, sorveglianza umana, accuratezza/robustezza).
Passo 4: Assegnate responsabilità. Designate una persona o un team responsabile della compliance all'AI Act. Non è un problema IT — richiede coordinamento legale, di compliance e di business unit.
Passo 5: Iniziate la documentazione. Iniziate a costruire la documentazione tecnica richiesta dall'articolo 11. È il requisito più dispendioso in termini di tempo e non può essere fatto in poche settimane.
Domande frequenti
D: Qual è la scadenza di enforcement dell'AI Act UE per i sistemi di IA ad alto rischio?
R: La scadenza principale di enforcement per i sistemi di IA ad alto rischio ai sensi dell'art. 6 e dell'Allegato III è il 2 agosto 2026. Qualsiasi organizzazione che immette un sistema di IA ad alto rischio sul mercato UE deve aver completato valutazione di conformità, documentazione tecnica, sistemi di gestione del rischio e registrazione nel database UE prima di questa data. Il divieto delle pratiche di IA proibite (art. 5) è in vigore dal 2 febbraio 2025, e l'obbligo di literacy IA (art. 4) dalla stessa data. Un rinvio proposto nel pacchetto Digital Omnibus potrebbe estendere la scadenza alto rischio a dicembre 2027, ma non è ancora finalizzato e non dovrebbe cambiare le tempistiche di preparazione.
D: Che percentuale di aziende è attualmente preparata all'AI Act UE?
R: Solo il 36 % delle organizzazioni dichiara di essere ben preparato secondo il sondaggio Deloitte 2024 a oltre 700 dirigenti senior europei. Solo il 18 % si considera altamente preparato nelle aree di rischio e governance IA. Significa che circa due aziende UE su tre si dirigono verso la scadenza di agosto 2026 senza preparazione adeguata — riflettendo il gap di readiness GDPR del 2018, che ha portato a oltre 7,1 miliardi di euro di multe in oltre 2.800 azioni di enforcement negli anni successivi.
D: Quanto costa la compliance all'AI Act UE per un singolo sistema di IA ad alto rischio?
R: CEPS stima costi iniziali di compliance di 200.000-500.000 € per sistema di IA ad alto rischio, con setup del sistema di gestione qualità che costa 193.000-330.000 € e valutazione di conformità 30.000-150.000 €. Il monitoraggio post-immissione annuale aggiunge 40.000-80.000 € per sistema. Per le PMI, i costi totali del primo anno possono raggiungere i 600.000 €. Piattaforme di automazione della compliance come Matproof possono ridurre significativamente questi costi snellendo documentazione, flussi di gestione del rischio e raccolta evidenze.
D: Quali sono i gap di compliance più comuni dell'AI Act?
R: I cinque gap più comuni sono: (1) nessun inventario dei sistemi IA — le organizzazioni non riescono a identificare tutti gli strumenti IA in uso, in particolare la shadow AI; (2) documentazione di gestione del rischio dell'art. 9 mancante; (3) nessun framework di governance dei dati dell'art. 10 per i dataset di training; (4) piani di sorveglianza umana che non soddisfano i requisiti dell'art. 14; (5) nessuna procedura di segnalazione incidenti per la compliance all'art. 73. Il gap dell'inventario è fondamentale — senza sapere quali sistemi IA si gestiscono, è impossibile iniziare il processo di classificazione e compliance.
D: Il rinvio proposto del Digital Omnibus influisce sulla tempistica di compliance all'AI Act?
R: Il Parlamento europeo ha votato a marzo 2026 per estendere potenzialmente le scadenze dei sistemi IA ad alto rischio fino a 16 mesi, il che spingerebbe la compliance dei sistemi ad alto rischio standalone a dicembre 2027. Tuttavia, questa proposta è ancora in negoziazione e potrebbe non passare nella sua forma attuale. Più importante, i requisiti di compliance stessi non cambiano — cambia solo la data di enforcement. Le organizzazioni che usano il potenziale rinvio come giustificazione per rimandare la preparazione rischiano di affrontare la stessa frenesia che ha definito la readiness GDPR del 2018, quando il 90 % delle aziende non era pronto all'inizio dell'enforcement.
Metodologia
Questo report attinge a dati pubblicamente disponibili dalla European AI Survey di Deloitte 2024 (700+ rispondenti), fonti istituzionali UE (Parlamento europeo, Commissione europea, AI Act Service Desk), analisi dei costi CEPS, CMS GDPR Enforcement Tracker e sondaggi di readiness compliance ISACA. Le valutazioni proprie di readiness AI Act di Matproof hanno fornito ulteriori indicazioni qualitative sui gap di compliance comuni.
Matproof automatizza la gestione della compliance su AI Act UE, DORA, NIS2, GDPR, ISO 27001 e altri 6 framework. Verificate la vostra readiness AI Act gratuitamente o esplorate la piattaforma.