Domanda legittima. La risposta breve: non domani, ma prima di quanto pensi — e quando succede, trovi la documentazione o paghi.
Ogni stato membro deve designare una National Competent Authority (NCA). In Italia non è ancora stato annunciato l’organo definitivo — i candidati più probabili sono AgID o un’estensione del Garante Privacy. A livello europeo c’è l’EU AI Office, che gestisce i casi cross-border e i modelli AI più grandi.
AgID o Garante Privacy. Controllo su tutti i sistemi AI operativi nel territorio italiano.
Casi cross-border, modelli GPAI con rischio sistemico, coordinamento tra NCA nazionali.
Non aspettarti un’ispezione a freddo. I controlli partono da quattro trigger concreti:
Un candidato discriminato da un algoritmo di selezione, un credito negato ingiustamente, una decisione medica errata. Chi subisce il danno fa un reclamo, l’autorità apre un’istruttoria e ti chiede la documentazione.
Un dipendente, un concorrente, un’associazione di consumatori. Non lo controlli tu, e basta una segnalazione formale per far partire un’ispezione.
Le autorità faranno campagne tematiche su settori ad alto rischio, esattamente come ha fatto il Garante Privacy dopo il GDPR. HR, fintech, healthcare saranno i primi.
Per i sistemi ad alto rischio la registrazione è obbligatoria. L’autorità può verificarla in autonomia, senza bisogno di incidenti.
Guarda cosa è successo con il GDPR: entrato in vigore nel 2018, prime sanzioni pesanti nel 2019–2020, enforcement sistematico dal 2022. L’AI Act seguirà lo stesso schema.
| Periodo | Cosa aspettarsi |
|---|---|
| 2025–2026 | Le autorità si organizzano. Prime linee guida, nessuna sanzione pesante. |
| 2026–2027 | Primi incidenti → prime istruttorie → prime sanzioni sui casi più evidenti. |
| 2027–2028 | Enforcement sistematico. Sweep settoriali. Sanzioni routinarie. |
In ordine di priorità:
Se hai tutto questo ricevi un warning e tempo per correggere. Se non hai niente, la sanzione è diretta.
Non è avere un sistema perfettamente conforme — è avere la documentazione che dimostra che ci hai provato. Davanti all’autorità, la buona fede documentata è la difesa legale più forte che esiste. Riduce drasticamente la sanzione, spesso la trasforma in un warning. Chi non ha nulla da mostrare non ha questa opzione.
Chi aspetta il 2027 per iniziare partirà senza storico documentale e senza poter dimostrare buona fede. Chi inizia adesso avrà mesi di check, aggiornamenti e documentazione prodotta — e se arriva un’ispezione, ha qualcosa da mettere sul tavolo.
Probabilmente hai ragione. Il Garante non busserà alla tua porta domani mattina. Il problema è che il Garante è l’ultimo anello della catena. Prima di lui arrivano quattro cose che non controlli tu.
Chi viene scartato da un algoritmo di selezione, o monitorato da un sistema AI sul lavoro, può fare un esposto al Garante con un click. Non serve un’ispezione proattiva — basta una segnalazione. E le segnalazioni le fanno le persone, non le autorità.
Le grandi aziende stanno già inserendo clausole di AI compliance nei contratti con i fornitori. Se vendi a una banca, a una compagnia assicurativa, a un gruppo industriale — tra 12–18 mesi ti arriverà un questionario sulla tua AI governance. È già successo con il GDPR. Chi non risponde perde il contratto.
Le assicurazioni cyber e le banche stanno iniziando a valutare il rischio AI dei clienti nei processi di underwriting e credito. Nessuna documentazione significa rischio più alto — premio assicurativo più alto, o credito più difficile da ottenere.
Un sistema AI che prende una decisione sbagliata su un cliente o un dipendente. Non serve il Garante: basta che la notizia esca, che ci sia una causa civile, che il cliente si arrabbi pubblicamente. In quel momento non avere documentazione è la cosa peggiore che ti possa capitare.
Actify non ti vende protezione dal Garante. Ti vende protezione da tutto il resto.
Nel 2018 le PMI dicevano esattamente la stessa cosa. “Tanto da me non ci vengono.” Poi sono arrivate le prime sanzioni — non per violazioni gravi, ma perché qualcuno aveva fatto un esposto o perché un cliente enterprise aveva chiesto la documentazione e non c’era.
L’AI Act seguirà lo stesso schema. La differenza è che con il GDPR le PMI hanno avuto anni per adeguarsi prima dell’enforcement serio. Con l’AI Act quella finestra si sta chiudendo adesso.
Prova adesso: apri ChatGPT e scrivi “sono conforme all’AI Act?”
Non sa nulla di te. Non sa quali sistemi AI usi, come li usi, chi li usa in azienda, se sei fornitore o deployer, se i tuoi sistemi rientrano nel perimetro, quali categorie di rischio li riguardano. Ti risponderà con informazioni generiche sull’AI Act — le stesse che trovi su Google.
Per ottenere una valutazione seria devi sapere esattamente cosa chiedere: distinguere tra provider e deployer, identificare correttamente la categoria di rischio del tuo sistema, capire se sei escluso dall’ambito applicativo, quali obblighi scattano e quando. Questa è competenza specialistica, non prompting.
Discrimina ogni sistema AI che usi — non “usi AI sì/no”, ma quale, come, per cosa, su chi. Il risultato è un profilo d’uso reale, non una risposta generica.
Mappa il tuo profilo d’uso sugli obblighi specifici del Regolamento, incluse le sanzioni applicabili — fino al 3–7% del fatturato globale — per ogni gap trovato.
Produce automaticamente i documenti mancanti: registri, valutazioni di conformità, politiche d’uso, informative di trasparenza. Quello che un consulente ti fattura a giorni/uomo, il tool lo genera in secondi.
Un asset che ti serve non solo per il Garante — ma per audit interni, questionari da clienti enterprise, banche, assicurazioni, e ogni futuro aggiornamento normativo.
ChatGPT ti spiega l’AI Act.
Il nostro tool ti dice se e come ti riguarda, la tua esposizione in termini di sanzioni e cosa può automatizzare — e tutto ciò che può automatizzare, lo automatizza, facendoti risparmiare tempo e denaro.