In sintesi: L’AI Act UE classifica i sistemi AI in quattro categorie di rischio. Per le PMI europee che utilizzano ERP con funzionalità AI, nella maggior parte dei casi si tratta di rischio minimo o limitato — senza obblighi pesanti. I sistemi ad alto rischio (scoring HR, valutazione del credito, selezione del personale) richiedono documentazione, supervisione umana e registrazione. Scadenza pratica: 2026–2027 per i sistemi ad alto rischio.

L’AI Act UE (Regolamento UE 2024/1689) è il primo quadro normativo completo al mondo che disciplina i sistemi di intelligenza artificiale. Per le PMI europee che utilizzano ERP, CRM o altri strumenti aziendali con funzionalità AI, sorgono domande pratiche: devo fare qualcosa? Quando? Cosa cambia nei contratti con i fornitori?

Questo articolo fa parte della serie AI nei sistemi ERP — implementazione pratica.

Le quattro categorie di rischio AI

L’AI Act classifica i sistemi AI in quattro categorie:

1. Rischio inaccettabile (vietati)

Sistemi completamente vietati nell’UE:

  • Sistemi di valutazione sociale dei cittadini da parte dei governi
  • Manipolazione subliminale delle persone
  • Sfruttamento delle vulnerabilità di gruppi specifici
  • Identificazione biometrica in tempo reale in spazi pubblici (con eccezioni)

Rilevanza per le PMI: praticamente nessuna. Questi sistemi non si trovano negli ERP commerciali.

2. Alto rischio

Sistemi che influenzano decisioni significative su persone fisiche. Rilevanti per le aziende:

  • Reclutamento e selezione del personale — sistemi AI che filtrano i CV, valutano i candidati
  • Valutazione delle prestazioni dei dipendenti — AI scoring per revisioni annuali
  • Scoring del credito — valutazione AI dell’affidabilità creditizia
  • Accesso a servizi essenziali — assicurazioni, prestiti

Per questi sistemi si applicano obblighi:

  • Documentazione tecnica
  • Supervisione umana obbligatoria
  • Trasparenza verso gli interessati
  • Registrazione nel database UE (per i fornitori)

3. Rischio limitato (obblighi di trasparenza)

Sistemi dove l’utente deve sapere di interagire con l’AI:

  • Chatbot — obbligo di indicare che si tratta di AI
  • Contenuti generati dall’AI — deepfake, testi AI-generated

Per le PMI: se si utilizza un chatbot AI per l’assistenza clienti, l’utente deve sapere che non sta parlando con un umano.

4. Rischio minimo (nessun obbligo specifico)

La grande maggioranza delle applicazioni AI:

  • Filtri antispam
  • Raccomandazioni nei sistemi ERP (suggerimenti di riordino, previsioni di vendita)
  • Automazione dei processi aziendali
  • Strumenti AI per uso personale

Per le PMI che usano ERP: la maggior parte delle funzionalità AI rientra in questa categoria.

Come valutare i sistemi AI nella tua azienda

Passo 1: Inventario

Crea un elenco di tutti i sistemi AI in uso:

  1. Funzionalità AI nell’ERP/CRM (previsioni, raccomandazioni, automazioni)
  2. Strumenti HR con componenti AI (screening CV, valutazione delle prestazioni)
  3. Chatbot e assistenti virtuali
  4. Strumenti di marketing AI (targeting, personalizzazione)
  5. Sistemi di scoring finanziario (scoring clienti, gestione del rischio di credito)
  6. Claude, ChatGPT e strumenti LLM utilizzati per i processi aziendali

Passo 2: Classificazione

Per ogni sistema rispondere alle domande:

  • Il sistema prende o influenza decisioni su persone fisiche (dipendenti, clienti, candidati)?
  • Queste decisioni hanno conseguenze significative (assunzione, licenziamento, accesso a servizi, pricing)?
  • Il sistema è autonomo o supporta la decisione umana?

Se la risposta alle prime due domande è “sì”, probabilmente si tratta di alto rischio.

Passo 3: Documentazione

Per i sistemi ad alto rischio:

  • Descrizione dello scopo e delle funzionalità del sistema
  • Dati di addestramento utilizzati
  • Misure di supervisione umana
  • Procedure di verifica e test
  • Modalità di informazione degli interessati

Obblighi dei fornitori AI vs. obblighi delle aziende che li utilizzano

L’AI Act distingue tra fornitori (sviluppano e immettono sul mercato sistemi AI) e deployer (utilizzano sistemi AI per i propri scopi).

Obblighi dei fornitori (Modulario e altri fornitori ERP)

  • Valutazione della conformità prima dell’immissione sul mercato
  • Documentazione tecnica
  • Supervisione umana integrata nel sistema
  • Marcatura CE per sistemi ad alto rischio
  • Registrazione nel database UE

Obblighi dei deployer (le aziende che usano l’ERP)

  • Utilizzare i sistemi AI in conformità con le istruzioni del fornitore
  • Garantire la supervisione umana
  • Segnalare incidenti gravi al fornitore
  • Per i sistemi ad alto rischio: valutazione dell’impatto sui diritti fondamentali prima del dispiegamento

Conclusione pratica: come PMI che utilizza Modulario, si scaricano sulla piattaforma la maggior parte degli obblighi tecnici. L’azienda è responsabile dell’uso corretto e della supervisione umana.

Cosa cambia in pratica per una PMI europea

Se non si usano sistemi AI ad alto rischio (80% delle PMI)

Azioni minime richieste:

  1. Inventario dei sistemi AI in uso (documentazione interna)
  2. Informativa chatbot — se si usa un chatbot, informare gli utenti che è AI
  3. Revisione dei contratti con i fornitori AI — verificare che forniscano documentazione e possibilità di supervisione

Se si usano sistemi AI ad alto rischio (es. AI scoring HR)

Azioni aggiuntive richieste:

  1. Valutazione dell’impatto sui diritti fondamentali prima del dispiegamento
  2. Supervisione umana documentata — ogni decisione AI deve essere revisionabile da un umano
  3. Informativa agli interessati — i dipendenti o clienti devono sapere che le decisioni vengono prese con l’ausilio dell’AI
  4. Registro del sistema AI con documentazione tecnica

Scadenze

DisposizioneApplicabile dal
Sistemi vietatiFebbraio 2025
Codici di pratica per AI general purposeMetà 2025
Sistemi ad alto rischio (allegato III)Agosto 2026
Sistemi ad alto rischio (allegato II — settori specifici)Agosto 2027

AI Act e GDPR: come si integrano

L’AI Act non sostituisce il GDPR — entrambi si applicano in parallelo. Le intersezioni principali:

  • Base giuridica per il trattamento AI — il GDPR richiede una base giuridica per ogni trattamento di dati personali, incluso l’addestramento e l’utilizzo di sistemi AI
  • Diritto di spiegazione — il GDPR art. 22 già oggi limita le decisioni automatizzate significative; l’AI Act aggiunge requisiti tecnici specifici
  • DPIA (Valutazione d’impatto) — molti sistemi AI ad alto rischio richiedono una DPIA ai sensi del GDPR

Per un’analisi dettagliata delle DPIA per i sistemi ERP, vedere l’articolo DPIA per ERP/CRM.

Come Modulario affronta la conformità all’AI Act

Modulario come fornitore di ERP con funzionalità AI ha implementato:

  • Classificazione delle funzionalità AI — ogni funzionalità AI è classificata per categoria di rischio
  • Supervisione umana — le azioni automatizzate richiedono conferma per le operazioni ad alto impatto
  • Audit log delle azioni AI — ogni azione automatizzata è tracciata con timestamp, parametri e risultato
  • Documentazione tecnica disponibile per i clienti che ne fanno richiesta
  • Nessun sistema ad alto rischio AI di default — le funzionalità AI in Modulario sono classificate come rischio minimo o limitato

Per la roadmap AI di Modulario e la conformità all’AI Act, vedere la documentazione sulla sicurezza.

Domande frequenti

L’AI Act UE si applica alle PMI che usano semplicemente un ERP con funzionalità AI? Dipende da come vengono utilizzate le funzionalità AI. Se l’ERP utilizza l’AI solo per raccomandazioni interne (es. suggerimenti di riordino scorte), probabilmente ricade nella categoria a rischio minimo — senza obblighi specifici. Se il sistema AI influisce su decisioni su persone fisiche (valutazione dei dipendenti, scoring dei clienti, selezione del personale), rientra nei sistemi ad alto rischio con obblighi di trasparenza, documentazione e supervisione umana.

Cosa devo fare concretamente come PMI in ambito AI Act? Tre azioni pratiche: (1) Inventario — elencare tutti i sistemi AI in uso. (2) Classificazione — per ogni sistema determinare la categoria di rischio. La maggior parte delle PMI non avrà sistemi ad alto rischio. (3) Governance — nominare un responsabile AI interno, creare un registro dei sistemi AI, documentare le modalità di supervisione umana delle decisioni AI.

Quando entra in vigore l’AI Act e quali sono le scadenze? L’AI Act UE è entrato in vigore il 1° agosto 2024. Le disposizioni sui sistemi vietati sono applicabili dal febbraio 2025, quelle sui sistemi ad alto rischio dal 2026–2027. Per la maggior parte delle PMI, il periodo di preparazione pratica è 2025–2026.