Regolamento (UE) 2024/1689 sull'intelligenza artificiale (AI Act): come OpenKBS garantisce la conformità per le imprese

Il Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio (AI Act) è il primo atto legislativo al mondo che disciplina i sistemi di intelligenza artificiale. Il Regolamento è entrato in vigore il 1° agosto 2024 e si applica in modo graduale, con piena applicazione a partire dal 2 agosto 2026.

In quanto regolamento dell'UE, l'AI Act si applica direttamente in tutti gli Stati membri dell'Unione europea, compresa l'Italia, senza necessità di recepimento nazionale.

L'obbligo di alfabetizzazione in materia di IA ai sensi dell'art. 4 del Regolamento è in vigore dal 2 febbraio 2025. Le organizzazioni che utilizzano sistemi di IA sono già tenute a garantire un livello sufficiente di alfabetizzazione in materia di IA per il proprio personale.

Audit di conformità integrato in OpenKBS Studio

OpenKBS Studio include un AI Act Compliance Skill integrato che audita automaticamente il progetto e genera un rapporto di conformità strutturato. Lo skill analizza quali modelli di IA vengono utilizzati, li classifica per categoria di rischio secondo l'Allegato III, verifica la presenza di meccanismi di sorveglianza umana, misure di tracciabilità e trasparenza, e produce un rapporto documentato pronto per essere presentato alle autorità di regolamentazione o per audit interni. Il processo si avvia con una singola istruzione all'agente AI e non richiede alcuna configurazione aggiuntiva.

Applicazione graduale

DataCosa entra in vigore
1° agosto 2024Il Regolamento entra in vigore
2 febbraio 2025Pratiche di IA vietate (art. 5) e obbligo di alfabetizzazione IA (art. 4)
2 agosto 2025Norme per i modelli di IA per finalità generali (GPAI)
2 agosto 2026Piena applicazione: sistemi di IA ad alto rischio, valutazione di conformità, sanzioni
2 agosto 2027Sistemi ad alto rischio di cui all'Allegato I (IA ad alto rischio integrata nei prodotti: dispositivi medici, macchinari, giocattoli)

Obbligo di alfabetizzazione in materia di IA (art. 4)

L'art. 4 del Regolamento (UE) 2024/1689 obbliga i fornitori e i deployer di sistemi di IA ad adottare misure volte a garantire un livello sufficiente di alfabetizzazione in materia di IA del proprio personale e delle persone che operano con i sistemi di IA per loro conto.

Chi è interessato

L'obbligo riguarda:

  • dipendenti che utilizzano strumenti di IA nel lavoro quotidiano;
  • dirigenti che prendono decisioni sulla base dei risultati dell'IA;
  • team di selezione dei fornitori e delle tecnologie;
  • appaltatori e personale esternalizzato che opera sistemi di IA per conto dell'organizzazione;
  • organi direttivi con funzioni di supervisione sui sistemi di IA.

Cosa è richiesto

Il Regolamento non prescrive un formato, una durata o un programma di formazione specifico. Lo standard è l'adeguatezza rispetto al ruolo, tenendo conto delle conoscenze tecniche, dell'esperienza, della formazione e del contesto di utilizzo del sistema di IA.

Formazioni generiche che non affrontano i sistemi di IA specifici utilizzati nell'organizzazione sono considerate insufficienti. La formazione deve coprire:

  • le capacità e i limiti dei sistemi di IA specifici;
  • i rischi associati al loro utilizzo;
  • la valutazione critica dei risultati dell'IA;
  • considerazioni etiche, inclusi pregiudizi ed equità;
  • procedure per la segnalazione degli incidenti.

Come dimostrare la conformità

Le organizzazioni devono mantenere:

  • una politica per l'uso accettabile dell'IA (AI Acceptable Use Policy);
  • una politica di alfabetizzazione IA (struttura della formazione, responsabilità, ciclo di aggiornamento);
  • registrazioni delle formazioni effettuate con date, partecipanti e contenuti;
  • risultati delle valutazioni che dimostrino la comprensione (non solo la partecipazione);
  • un registro degli aggiornamenti del programma.

Sanzioni

L'AI Act non prevede una sanzione diretta a livello UE per il mancato rispetto degli obblighi di cui all'art. 4. I tre livelli sanzionatori dell'art. 99 si applicano ad altre violazioni: fino a 35 milioni di EUR o 7% del fatturato annuo mondiale per le pratiche vietate (art. 5), fino a 15 milioni di EUR o 3% per gli obblighi dei deployer (art. 26), fino a 7,5 milioni di EUR o 1% per informazioni false. Gli Stati membri possono stabilire proprie sanzioni per le violazioni dell'art. 4.

Pratiche di IA vietate (art. 5)

Dal 2 febbraio 2025 sono vietate otto categorie di pratiche di IA:

  1. Tecniche manipolative di IA che causano danni;
  2. Sfruttamento di vulnerabilità (età, disabilità, situazione socioeconomica);
  3. Valutazione sociale (social scoring);
  4. Previsione del rischio individuale di commissione di reati;
  5. Raccolta non mirata di immagini facciali da Internet o da videosorveglianza;
  6. Riconoscimento delle emozioni sul posto di lavoro e nell'istruzione;
  7. Categorizzazione biometrica basata su caratteristiche protette;
  8. Identificazione biometrica in tempo reale negli spazi pubblici (con eccezioni limitate per le forze dell'ordine).

Il punto 6 è direttamente applicabile a qualsiasi organizzazione che utilizzi IA nella gestione delle risorse umane.

Sistemi di IA ad alto rischio (Allegato III)

L'Allegato III del Regolamento definisce otto aree in cui i sistemi di IA sono classificati come ad alto rischio:

AreaEsempi
BiometriaIdentificazione biometrica remota, riconoscimento delle emozioni
Infrastrutture criticheGestione delle reti energetiche, trasporti, approvvigionamento idrico
IstruzioneAmmissione, valutazione, assegnazione a gruppi
Occupazione e gestione dei lavoratoriSelezione dei candidati, screening dei CV, valutazione delle prestazioni, decisioni su promozioni o licenziamenti
Accesso ai servizi essenzialiCredit scoring, assicurazioni, assistenza sociale
Attività di contrastoValutazione delle prove, polizia predittiva
Migrazione e controllo delle frontiereValutazione delle domande di visto, sorveglianza delle frontiere
GiustiziaAnalisi giuridica, strumenti predittivi per le decisioni giudiziarie

Obblighi per i deployer di sistemi ad alto rischio (art. 26)

Le organizzazioni che utilizzano sistemi di IA ad alto rischio sono tenute a:

  • utilizzare i sistemi in conformità con le istruzioni del fornitore;
  • garantire la sorveglianza umana da parte di persone competenti;
  • assicurare che i dati di input siano adeguati e rappresentativi;
  • monitorare il funzionamento del sistema e segnalare gli incidenti gravi;
  • conservare i log generati automaticamente per almeno 6 mesi;
  • informare i rappresentanti dei lavoratori e i lavoratori interessati prima dell'implementazione;
  • per i sistemi nel settore dell'occupazione — informare i candidati che l'IA partecipa al processo di selezione.

Come OpenKBS affronta i requisiti dell'AI Act

Tracciabilità delle operazioni IA (art. 12, art. 26)

OpenKBS gestisce l'intera infrastruttura IA dei propri clienti enterprise sulla piattaforma, incluso un proxy IA unificato per l'accesso a più modelli di IA (OpenAI, Anthropic, Google).

Ogni chiamata a un modello di IA passa attraverso il proxy, che registra:

  • quale modello di IA è stato utilizzato e quale versione;
  • il timestamp della richiesta;
  • il numero di token di input e di output;
  • l'identificativo del progetto.

Questi dati sono conservati nell'infrastruttura del cliente e sono disponibili per l'audit. Soddisfano i requisiti di tracciabilità dei risultati (art. 12) e di conservazione dei log (art. 26, comma 6).

Sorveglianza umana by design (art. 14, art. 26)

L'architettura di OpenKBS è progettata in modo che i risultati dell'IA non vengano eseguiti automaticamente senza intervento umano. Per i clienti enterprise:

  • i sistemi di IA operano all'interno di un ambiente gestito con accesso controllato;
  • per le decisioni critiche (HR, finanza, operazioni) si applica un workflow di approvazione — l'IA genera una raccomandazione, una persona autorizzata la conferma o la respinge;
  • ogni nuova versione della soluzione passa attraverso un processo strutturato di revisione della sicurezza prima dell'introduzione in ambiente di produzione.

Trasparenza e marcatura dei contenuti IA (art. 50)

OpenKBS fornisce ai clienti enterprise strumenti per la marcatura dei contenuti generati dall'IA:

  • metadati di origine — ogni risposta dell'IA può contenere informazioni sul modello, la versione e la data di generazione;
  • componente di divulgazione (AI Disclosure) — pronto per l'integrazione nelle applicazioni del cliente, che informa gli utenti finali che stanno interagendo con un'IA o che il contenuto è generato dall'IA.

Alfabetizzazione in materia di IA (art. 4)

OpenKBS fornisce ai clienti enterprise documentazione e consulenza su:

  • le capacità e i limiti dei modelli di IA disponibili tramite la piattaforma;
  • i rischi nelle diverse categorie di utilizzo;
  • le migliori pratiche per la valutazione critica dei risultati dell'IA;
  • le procedure per la segnalazione degli incidenti.

Questa documentazione può servire come base per il programma interno di alfabetizzazione IA dell'organizzazione.

Report di conformità (art. 11, art. 26)

OpenKBS fornisce ai clienti enterprise uno skill specializzato per la generazione automatizzata di report di conformità all'AI Act. Lo skill viene installato in OpenKBS Studio con un clic dalla sezione Skills e viene attivato tramite un'istruzione all'agente AI (es. "genera report di conformità AI Act"). L'agente raccoglie i dati dai log del proxy AI, analizza il codice del progetto e genera un report strutturato contenente:

Inventario dei sistemi di IA:

  • elenco completo dei modelli di IA utilizzati nel progetto (es. Claude Sonnet 4.6, GPT-4.1, Gemini 2.5 Flash);
  • versioni dei modelli e fornitori;
  • numero di chiamate per modello in un periodo selezionato;
  • consumo totale di token di input e output.

Classificazione del rischio:

  • valutazione automatica della categoria di rischio secondo l'Allegato III (alto rischio, limitato, minimo);
  • identificazione delle aree che rientrano nell'ambito dei sistemi ad alto rischio (occupazione, finanza, istruzione);
  • raccomandazioni per misure aggiuntive in caso di IA ad alto rischio.

Stato delle misure di conformità:

  • presenza dell'AI Act Compliance Skill nel progetto;
  • stato dei meccanismi di sorveglianza umana (workflow di approvazione);
  • presenza e completezza dei log di tracciabilità;
  • stato del componente AI Disclosure;
  • presenza di una AI Acceptable Use Policy e di una politica di alfabetizzazione IA.

Artefatto generato: Il report viene generato come documento strutturato (PDF/JSON), pronto per essere presentato alle autorità di regolamentazione, ai comitati di audit interni o per essere archiviato come artefatto di conformità. La generazione periodica (es. trimestrale) garantisce una storia documentata dell'utilizzo dell'IA nell'organizzazione.

Pratiche vietate e AI Act Compliance Skill

OpenKBS integra nei progetti enterprise uno skill di conformità specializzato — un insieme di regole che l'agente IA carica automaticamente. Queste regole includono:

Operazioni vietate:

  • riconoscimento delle emozioni nel contesto dell'occupazione o dell'istruzione;
  • valutazione sociale delle persone fisiche;
  • categorizzazione biometrica basata su caratteristiche protette;
  • tecniche manipolative che sfruttano le vulnerabilità.

Procedure obbligatorie:

  • registrazione di ogni decisione dell'IA con dati di input, dati di output, modello e timestamp;
  • per le decisioni nei settori dell'occupazione, della finanza e dell'istruzione — interruzione e richiesta di conferma da parte di una persona autorizzata;
  • aggiunta di metadati sull'origine IA ai contenuti generati;
  • generazione di una valutazione del rischio all'introduzione di nuove funzionalità IA.

Consolidamento della catena di fornitura IA

Un'organizzazione che utilizza modelli di IA di più fornitori (OpenAI, Anthropic, Google) deve gestire la conformità per ciascuno separatamente — diverse condizioni d'uso, diverse politiche sui dati, diversi livelli di trasparenza.

OpenKBS consolida l'accesso a più modelli di IA attraverso un proxy unificato, operato nell'infrastruttura UE della piattaforma. Il cliente interagisce con un unico fornitore (OpenKBS), che gestisce l'integrazione con i fornitori di IA.

Questo riduce:

  • il numero di fornitori soggetti a valutazione separata;
  • la complessità della gestione di diverse politiche sui dati;
  • l'onere amministrativo nella documentazione della catena di fornitura IA.

Sicurezza dell'infrastruttura

L'AI Act non opera in modo isolato — le organizzazioni che rientrano nell'ambito della Direttiva (UE) 2022/2555 (NIS2) devono garantire la conformità con entrambi gli atti contemporaneamente. OpenKBS affronta entrambi i quadri normativi attraverso:

  • Account AWS dedicato per ogni cliente enterprise — isolamento completo e possibilità di trasferimento;
  • EU Data Residency — i dati sono ospitati nella regione AWS eu-central-1 (Francoforte, Germania);
  • Architettura serverless — superficie di attacco ridotta, aggiornamenti di sicurezza automatici;
  • Crittografia — TLS 1.2+ in transito, AES-256 a riposo;
  • Registro di audit — tracciamento di tutte le azioni amministrative.

Una descrizione dettagliata della copertura NIS2 è disponibile nella pubblicazione sulla Direttiva (UE) 2022/2555.

Riepilogo: copertura dei requisiti principali

Requisito dell'AI ActCome OpenKBS lo affronta
Alfabetizzazione IA (art. 4)Documentazione, consulenza e materiali per il programma di alfabetizzazione IA
Pratiche vietate (art. 5)AI Act Compliance Skill con divieti integrati
Tracciabilità (art. 12)Log del proxy IA: modello, versione, timestamp, progetto
Sorveglianza umana (art. 14, 26)Workflow di approvazione per decisioni ad alto rischio
Trasparenza (art. 50)Componente AI Disclosure e metadati di origine
Registrazione dei log (art. 26, comma 6)Archiviazione automatica dei log nell'infrastruttura del cliente
Documentazione tecnica (art. 11)Report di conformità automatizzato per progetto
Informazione dei lavoratori (art. 26, comma 7)Consulenza sulle procedure di notifica
Gestione della catena di fornituraProxy IA consolidato — un fornitore al posto di molti
NIS2 + AI Act insiemeInfrastruttura unificata che copre entrambi gli atti

Prossimo passo

Se la vostra organizzazione utilizza sistemi di IA e deve garantire la conformità al Regolamento (UE) 2024/1689, contattateci per una consulenza su:

  • valutazione dell'attuale utilizzo dell'IA rispetto ai requisiti del Regolamento;
  • classificazione dei sistemi di IA per categorie di rischio;
  • implementazione dell'AI Act Compliance Skill nell'ambiente gestito;
  • generazione di un report di conformità per le autorità di regolamentazione o per audit interni;
  • programma di alfabetizzazione IA per il personale.

I servizi descritti per la conformità all'AI Act — compliance skill, audit dell'utilizzo dell'IA, workflow di sorveglianza umana e report di conformità — fanno parte del piano Enterprise di OpenKBS.

La presente pubblicazione ha carattere puramente informativo e non costituisce consulenza legale. Per domande specifiche sull'applicazione del Regolamento (UE) 2024/1689, rivolgersi a un consulente legale qualificato.

Book a Strategy Call
Regolamento AIAI Actalfabetizzazione AIIA ad alto rischioconformitàAWSenterpriseOpenKBS