Skip to content
Business e governance

AI Act UE e agenti AI: cosa devono sapere le imprese

Orange ITS — Team di ingegneria AI 9 min di lettura

La maggior parte dei commenti sull’AI Act UE si concentra sui fornitori di modelli fondativi e sulle grandi aziende tecnologiche. Questa lettura ha portato molti titolari di PMI e responsabili operativi ad archiviarlo sotto “non è un problema nostro” — per poi continuare a costruire o acquistare agenti AI senza dargli un secondo pensiero.

È un errore che vale la pena correggere prima che diventi costoso.

Il Regolamento UE sull’IA si applica a qualsiasi organizzazione che distribuisce un sistema di AI nell’UE o in contesti che riguardano persone nell’UE. Questo include un’azienda svizzera che usa un agente AI per valutare candidature di lavoro, un’attività commerciale che lo usa per le interazioni con i clienti, o una società di logistica il cui sistema AI influenza decisioni di routing che impattano sui lavoratori. Se stai distribuendo agenti AI — o hai intenzione di farlo — il Regolamento è già affar tuo.

Questo articolo traduce il framework di rischio del Regolamento in un albero decisionale pratico: quali casi d’uso degli agenti sono interessati, cosa richiede concretamente la conformità e quando scattano gli obblighi.

Perché “agente AI” e “sistema AI” non sono la stessa cosa ai sensi del Regolamento

L’AI Act UE usa il termine sistema AI, definito in senso ampio come un sistema basato su macchine che, a partire da input, deduce come generare output quali contenuti, decisioni, raccomandazioni o previsioni. Un agente AI — un sistema che percepisce il proprio ambiente, prende decisioni e compie azioni per raggiungere obiettivi — rientra pienamente in questa definizione.

Ciò che conta per la conformità non è l’etichetta che metti sul sistema. È ciò che il sistema fa e chi riguarda. Un chatbot che risponde a domande frequenti occupa una posizione regolamentare diversa rispetto a un agente che valuta domande di prestito, esamina candidati o monitora le prestazioni dei dipendenti. La stessa architettura; profili di conformità completamente diversi. Capire la differenza parte dalle quattro categorie di rischio del Regolamento.

Le quattro categorie di rischio — e dove si collocano gli agenti AI

Rischio inaccettabile: divieto assoluto

Sono i sistemi che il Regolamento vieta completamente: il social scoring da parte dei governi, la sorveglianza biometrica in tempo reale negli spazi pubblici, i sistemi che sfruttano vulnerabilità per manipolare il comportamento. Pochissime distribuzioni commerciali di agenti si avvicinano a questo livello. Se la tua lo fa, hai problemi ben più grandi della conformità.

Alto rischio: obblighi significativi

È qui che il peso del Regolamento si fa sentire di più — ed è dove molte aziende si sorprendono a trovare i propri agenti.

I sistemi AI ad alto rischio includono quelli utilizzati in:

  • Occupazione e HR: assunzione, selezione, promozione, monitoraggio delle prestazioni, assegnazione dei compiti
  • Istruzione: decisioni di ammissione, valutazione dei risultati di apprendimento
  • Accesso a servizi essenziali: scoring del credito, valutazione del rischio assicurativo, ammissibilità ai benefici
  • Infrastrutture critiche: sistemi che riguardano utilities, acqua, trasporti
  • Forze dell’ordine e giustizia: polizia predittiva, valutazione delle prove, supporto alle sentenze
  • Migrazione: controllo delle frontiere, elaborazione delle domande di asilo

Se il tuo agente AI opera in una di queste aree — anche solo come strumento di supporto, non come decisore finale — quasi certamente sarà classificato ad alto rischio.

Cosa richiede concretamente la conformità ad alto rischio:

  1. Sistema di gestione del rischio: processo documentato e continuativo per identificare e mitigare i rischi lungo tutto il ciclo di vita
  2. Governance dei dati: dataset di addestramento, validazione e test che rispettano standard di qualità e rappresentatività
  3. Documentazione tecnica: una registrazione del design, delle capacità e dei limiti sufficiente per la revisione regolamentare
  4. Trasparenza e supervisione umana: gli utenti devono sapere di interagire con un AI; una supervisione umana significativa deve essere integrata prima delle decisioni ad alto rischio
  5. Accuratezza, robustezza e cybersicurezza: prestazioni coerenti e protezione contro le interferenze avversariali
  6. Registrazione: la registrazione nel database AI dell’UE (Articolo 71) è richiesta prima della distribuzione dei sistemi ad alto rischio dell’Allegato III. Secondo il testo originale del Regolamento si applicava dall’agosto 2026; l’accordo provvisorio Digital Omnibus del 7 maggio 2026 propone il rinvio al 2 dicembre 2027, in attesa della pubblicazione formale nella Gazzetta Ufficiale

Rischio limitato: obblighi di trasparenza

Questa categoria riguarda i sistemi con rischi di interazione più circoscritti — principalmente chatbot e AI che genera contenuti sintetici. L’obbligo principale è la divulgazione: gli utenti devono sapere di interagire con un sistema AI, non con un essere umano. Un agente che gestisce conversazioni di customer service, conferme di prenotazione o richieste di supporto rientra qui, se non prende decisioni ad alto rischio su singoli individui.

Molti agenti AI rivolti ai clienti costruiti dalle PMI rientrano in questa categoria. Il costo di conformità è basso, ma l’obbligo di divulgazione non è facoltativo.

Rischio minimo: nessun obbligo specifico

Filtri antispam, playlist consigliate dall’AI, strumenti base di ottimizzazione dei contenuti. Questi sono fuori dall’ambito dei requisiti di conformità significativi, anche se si applicano comunque la responsabilità generale del prodotto e le norme a tutela dei consumatori.

Un albero decisionale pratico per i tuoi casi d’uso

Analizza ciascuno dei tuoi agenti distribuiti o pianificati attraverso queste quattro domande:

1. L’agente prende o contribuisce in modo significativo a decisioni riguardanti singole persone? Se sì, continua. Se no (ad es. elaborazione interna di dati, automazione sistema-sistema senza impatto umano), il livello di rischio è probabilmente minimo.

2. Quelle decisioni riguardano occupazione, credito, servizi essenziali, istruzione o forze dell’ordine? Se sì, è quasi certamente ad alto rischio. Inizia subito con i requisiti di documentazione e supervisione.

3. L’agente interagisce direttamente con le persone in modo simile a quello umano (testo, voce)? Se sì e non è ad alto rischio, sei nel livello di rischio limitato. Hai bisogno di una divulgazione chiara e immediata che gli utenti stiano parlando con un AI.

4. L’agente è abbastanza autonomo da compiere azioni consequenziali senza revisione umana? Anche se il caso d’uso non rientra in una categoria nominata ad alto rischio, l’autonomia degli agenti — specialmente nei workflow agentici che concatenano più decisioni — può attirare l’attenzione. Più le azioni sono consequenziali e irreversibili, più dovresti trattare il sistema come se fosse ad alto rischio dal punto di vista della governance, indipendentemente dalla classificazione formale.

Tempistiche: quando scattano gli obblighi?

L’AI Act UE è entrato in vigore nell’agosto 2024 e si applica per fasi:

  • Pratiche vietate: vietate da febbraio 2025
  • Modelli GPAI e obblighi generali: da agosto 2025
  • Sistemi ad alto rischio (Allegato I — settori regolamentati): secondo il testo originale, i requisiti si applicano da agosto 2026; un accordo politico provvisorio raggiunto il 7 maggio 2026 (“Digital Omnibus”) propone il rinvio al 2 agosto 2028, in attesa della pubblicazione formale nella Gazzetta Ufficiale
  • Sistemi ad alto rischio (Allegato III — occupazione, istruzione, servizi): secondo il testo originale, i requisiti si applicano da agosto 2026; l’accordo provvisorio Digital Omnibus propone il rinvio al 2 dicembre 2027, in attesa della pubblicazione formale nella Gazzetta Ufficiale — vedi la cronologia di attuazione dell’AI Act UE per lo stato aggiornato
  • Obblighi di trasparenza (Articolo 50 — divulgazione rischio limitato): agosto 2026, invariato — l’Omnibus non rinvia questi obblighi
  • Applicazione piena: agosto 2026 rimane la data di riferimento operativa per gli obblighi di trasparenza e governance; gli obblighi ad alto rischio dell’Allegato III sono rinviati al 2 dicembre 2027 e quelli dell’Allegato I per prodotti incorporati al 2 agosto 2028 ai sensi dell’accordo provvisorio, in attesa dell’adozione formale

Finché il Digital Omnibus non è formalmente pubblicato nella Gazzetta Ufficiale, agosto 2026 rimane la scadenza legalmente operativa per i sistemi ad alto rischio. In pratica, ci si aspetta ampiamente che il rinvio venga adottato prima di quella data.

Per la maggior parte delle PMI che distribuiscono agenti AI, gli obblighi di trasparenza (agosto 2026) sono immediati, mentre le tempistiche di conformità ad alto rischio si estendono ora sostanzialmente — ma questo non riduce le ragioni per iniziare i lavori di conformità in anticipo. La documentazione, i processi di gestione del rischio e i meccanismi di supervisione richiedono comunque tempo per essere costruiti correttamente.

Tratta la conformità come un requisito da integrare in fase di sviluppo, non come un retrofit post-distribuzione. Le organizzazioni che lo fanno ora saranno in una posizione fondamentalmente migliore.

Cosa il Regolamento NON richiede (chiarire i malintesi comuni)

Non vieta l’AI nelle HR. Un agente AI che seleziona i candidati o pianifica i colloqui non è vietato; è regolamentato. Con la giusta supervisione, documentazione e divulgazione, l’automazione HR rimane del tutto praticabile.

Non richiede l’approvazione UE prima della distribuzione. Non esiste un’autorità di licenza pre-commercializzazione come nel caso dei farmaci. Il modello è più simile alla responsabilità del prodotto: sei responsabile del sistema che metti in servizio.

Non si applica solo alle aziende AI. Se sei un’azienda manifatturiera svizzera che distribuisce un agente che monitora la produzione dei lavoratori, sei il “deployer” ai sensi del Regolamento, e gli obblighi si applicano a te — non solo all’azienda che ha costruito il modello sottostante.

Non richiede un’AI perfetta. Il Regolamento richiede una due diligence dimostrabile: valutazione del rischio documentata, test, supervisione umana e divulgazione accurata. Un’imperfezione ragionevole in un sistema ben governato è una posizione molto diversa rispetto a una distribuzione non documentata.

Cosa devono monitorare in particolare le aziende svizzere

La Svizzera non è uno Stato membro dell’UE, ma l’AI Act si applica alle organizzazioni i cui sistemi AI hanno effetti sulle persone nell’UE. Un’azienda svizzera con clienti UE, dipendenti UE o servizi rivolti all’UE deve prendere sul serio il Regolamento.

La Svizzera ha anche i propri obblighi di protezione dei dati ai sensi della nLPD (nuova Legge sulla protezione dei dati / nDSG), che interagisce con il modo in cui gli agenti AI trattano i dati personali. I due framework sono complementari, non identici — vedi Agenti AI e protezione dei dati svizzera: la nLPD in pratica per i dettagli.

Per le aziende che operano in entrambi i contesti, costruire una singola architettura di conformità che soddisfi entrambi è quasi sempre più efficiente che gestire due flussi di lavoro paralleli.

La conformità ad alto rischio è un problema di ingegneria, non solo di policy

La maggior parte dei requisiti ad alto rischio dell’AI Act UE non sono esercizi burocratici. Richiedono decisioni prese durante la progettazione del sistema: come vengono integrati i meccanismi di supervisione, come viene monitorata la qualità dei dati, come il logging supporta l’auditabilità. Non puoi aggiungere a posteriori un requisito significativo di human-in-the-loop a un agente progettato per agire autonomamente su decisioni di impiego — devi riprogettare l’agente.

Ecco perché la governance degli agenti AI non può essere un ripensamento. Le organizzazioni che la gestiscono bene trattano i requisiti di conformità come vincoli di design fin dal primo giorno, insieme alla sicurezza e alle prestazioni.

Da dove partire se non sai dove ti trovi

Se hai agenti AI in produzione — o stai lavorando in quella direzione — inizia mappando ciascun sistema alla categoria di rischio che occupa con maggiore probabilità. Per la maggior parte delle PMI, si tratta di un esercizio di mezza giornata con la giusta guida, e risponde a tre domande:

  • Alcuni dei nostri agenti attuali o pianificati sono ad alto rischio?
  • Cosa dobbiamo documentare, e entro quando?
  • Quali sistemi necessitano di meccanismi di supervisione umana, e come dovrebbero funzionare?

Se hai bisogno di aiuto con questo esercizio di classificazione, il nostro team di Strategia AI conduce valutazioni strutturate proprio per questo. Puoi anche esplorare come la conformità si interseca con la tua posizione di sicurezza complessiva degli agenti nel nostro articolo sui rischi di sicurezza degli agenti AI.

Vuoi capire dove si collocano i tuoi agenti AI sotto l’AI Act UE? Prenota una call di scoping di 30 minuti con Orange ITS — mappiamo i tuoi casi d’uso alle categorie di rischio e ti diamo un quadro chiaro di cosa è richiesto e quando.

Insights correlati

Testare gli agenti AI: come le evals garantiscono un'automazione affidabile

Leggi l’articolo

Governance degli agenti AI: guida pratica per le PMI

Leggi l’articolo

Dal pilot alla flotta: gestire gli agenti AI in produzione

Leggi l’articolo
Insights

Metti queste idee al lavoro

Bastano 30 minuti per capire se un agente AI si adatta al tuo flusso di lavoro — e quanto può rendere.

Prenota una call di discovery