Software di conformità

Software di conformità AI Act 2026: come scegliere lo strumento giusto

Software di conformità AI Act nel 2026: classificazione del rischio, obblighi per sistemi ad alto rischio e GPAI, scadenze 2025-2026 e strumenti per la governance dell'IA.

Un software di conformità AI Act aiuta a inventariare i sistemi di intelligenza artificiale, classificarli per livello di rischio secondo il Regolamento (UE) 2024/1689 (AI Act) e gestire gli obblighi che ne derivano: documentazione tecnica, governance dei dati, supervisione umana, trasparenza e monitoraggio dei sistemi ad alto rischio, oltre agli obblighi per i modelli per finalità generali (GPAI). Le scadenze sono scaglionate: i divieti sulle pratiche vietate si applicano dal 2 febbraio 2025, gli obblighi per i GPAI dal 2 agosto 2025 e la maggior parte degli obblighi per i sistemi ad alto rischio dal 2 agosto 2026. In Italia la governance è coordinata da AgID e ACN, e il Garante ha già mostrato di saper sanzionare l’uso dell’IA: 15 milioni di euro a OpenAI e 5 milioni a Replika. Nel 2026 il prezzo di questi strumenti va da circa EUR 6.000/anno per le PMI a oltre EUR 100.000/anno per le suite di governance enterprise.

L’AI Act è il primo quadro normativo organico al mondo sull’intelligenza artificiale, e adotta un approccio basato sul rischio: più un sistema può incidere sui diritti e sulla sicurezza delle persone, più stringenti sono gli obblighi. Per le imprese italiane questo significa che non basta sapere di usare l’IA: occorre sapere quali sistemi si usano, in quale ruolo (fornitore o utilizzatore/deployer), a quale classe di rischio appartengono e quali adempimenti attivano. È un lavoro di mappatura e governance che, oltre una manciata di sistemi, non si gestisce a mano.

C’è poi un intreccio profondo con il GDPR. Molti sistemi di IA trattano dati personali, e gli obblighi dell’AI Act si sommano — non si sostituiscono — a quelli del Regolamento (UE) 2016/679. La stessa valutazione d’impatto sulla protezione dei dati (DPIA) e, per alcuni utilizzatori di sistemi ad alto rischio, la valutazione d’impatto sui diritti fondamentali (FRIA) diventano snodi centrali. Questa guida spiega la classificazione del rischio, cosa deve fare un software AI Act, quali criteri usare per sceglierlo e come si colloca il tutto nel contesto italiano.

Trasparenza: Legiscope è il nostro prodotto e appartiene a questa categoria. Ogni strumento è valutato con lo stesso spirito critico.

Come funziona la classificazione del rischio dell’AI Act?

L’AI Act distingue quattro livelli, ed è da qui che parte qualsiasi progetto di conformità.

Il rischio inaccettabile riguarda le pratiche vietate: sistemi di manipolazione subliminale, social scoring generalizzato, alcune forme di riconoscimento delle emozioni sul lavoro e a scuola, scraping non mirato di immagini facciali. Questi usi sono proibiti dal 2 febbraio 2025.

Il rischio alto è il cuore del regolamento: sistemi usati in ambiti sensibili come selezione del personale, accesso al credito, istruzione, infrastrutture critiche, giustizia, gestione della migrazione e alcuni dispositivi. Per questi sistemi il regolamento impone obblighi pesanti — sistema di gestione del rischio, governance dei dati, documentazione tecnica, registrazione degli eventi, trasparenza, supervisione umana, accuratezza e cibersicurezza — la cui gran parte si applica dal 2 agosto 2026.

Il rischio limitato attiva obblighi di trasparenza: l’utente deve sapere che sta interagendo con un sistema di IA (chatbot) e i contenuti generati o manipolati (deepfake) vanno etichettati.

Il rischio minimo copre la maggior parte delle applicazioni comuni, senza obblighi specifici oltre alle buone pratiche.

A parte, l’AI Act disciplina i modelli per finalità generali (GPAI), con obblighi di documentazione, trasparenza e — per i modelli con rischio sistemico — valutazione e mitigazione dei rischi, applicabili dal 2 agosto 2025.

Quali criteri di valutazione contano di più?

Criterio Cosa deve fare lo strumento Perché è decisivo
Inventario dei sistemi di IA Censimento dei sistemi, ruolo (fornitore/utilizzatore), finalità, dati trattati Senza inventario non c’è classificazione
Classificazione del rischio Assegnazione guidata della classe (inaccettabile/alto/limitato/minimo) e dei GPAI È il presupposto di ogni obbligo
Documentazione tecnica Fascicolo tecnico, registrazione eventi, tracciabilità delle versioni Obbligo cardine per l’alto rischio
Integrazione DPIA/FRIA Collegamento con la valutazione d’impatto sui dati e sui diritti fondamentali L’IA che tratta dati personali richiede entrambe
Supervisione umana e trasparenza Registro delle misure di human oversight, etichettatura dei contenuti Requisiti espliciti per alto e limitato rischio
Monitoraggio post-immissione Sorveglianza dei sistemi in esercizio, gestione degli incidenti gravi La conformità è uno stato, non un adempimento una tantum
Hosting nell’UE e sovranità Infrastruttura europea, garanzie sui trasferimenti Coerenza con il GDPR e con la logica del regolamento

I criteri, ancora una volta, sono coerenti con quelli che consigliamo per il software di conformità GDPR: profondità reale, riduzione delle ore-uomo, integrazione con gli adempimenti esistenti. La differenza è che qui l’inventario e la classificazione dei sistemi sono il collo di bottiglia: la maggior parte delle organizzazioni scopre di usare molti più sistemi di IA di quanti ne avesse censiti.

La sovrapposizione con il GDPR: DPIA e FRIA

L’AI Act non vive isolato. Quando un sistema di IA tratta dati personali, si applicano contemporaneamente il GDPR e l’AI Act. In pratica questo significa due valutazioni collegate.

La prima è la valutazione d’impatto sulla protezione dei dati (DPIA), prevista dall’art. 35 GDPR per i trattamenti che presentano un rischio elevato — tra cui rientrano tipicamente le decisioni automatizzate e il trattamento su larga scala. La nostra guida alla valutazione d’impatto DPIA descrive quando è obbligatoria e come condurla; per i sistemi di IA è quasi sempre il punto di partenza.

La seconda è la valutazione d’impatto sui diritti fondamentali (FRIA), che l’AI Act impone a determinati utilizzatori di sistemi ad alto rischio, in particolare organismi pubblici e alcuni soggetti privati che erogano servizi essenziali. FRIA e DPIA condividono molte informazioni e conviene gestirle in modo coordinato, non come esercizi separati.

Che il rischio sia concreto lo dimostra l’azione del Garante italiano, che sull’intelligenza artificiale è tra le autorità più attive in Europa: ha sanzionato OpenAI per 15 milioni di euro (provvedimento di dicembre 2024, per assenza di base giuridica nell’addestramento, difetto di trasparenza e mancata verifica dell’età dei minori — sanzione poi sospesa dal Tribunale di Roma nel marzo 2025, con giudizio pendente) e Replika/Luka Inc. per 5 milioni di euro (provvedimento del 19 maggio 2025). La rassegna completa è nella nostra analisi delle sanzioni del Garante privacy nel 2025.

La governance dell’IA in Italia

Il regolamento è direttamente applicabile, ma lascia agli Stati la designazione delle autorità nazionali. In Italia la governance è imperniata sul coordinamento tra AgID – Agenzia per l’Italia Digitale e ACN – Agenzia per la Cybersicurezza Nazionale, con ruoli distinti in materia di notifica e di vigilanza del mercato. Le imprese devono quindi predisporsi a interlocutori che, sul fronte della cibersicurezza, sono gli stessi della NIS2: un elemento in più a favore di strumenti che tengano insieme i diversi regimi.

Per chi opera nel settore finanziario, l’AI Act si somma inoltre al DORA quando i sistemi di IA sono incorporati in servizi ICT critici: ne abbiamo parlato nella guida al software di conformità DORA. Il principio guida resta identico — un inventario condiviso, valutazioni che si alimentano tra loro, uscite differenziate verso le autorità competenti.

Legiscope affronta questo scenario partendo dall’impianto GDPR — registro dei trattamenti, DPIA, gestione delle violazioni — ed estendendo la stessa metodologia, disegnata da ricercatori con dottorato in diritto, all’inventario e alla classificazione dei sistemi di IA, con hosting interamente nell’Unione europea. Se dovete ancora scegliere la base della vostra compliance, la nostra rassegna del miglior software GDPR è il punto di partenza naturale.

Domande frequenti

Quanto costa un software di conformità AI Act?

Nel 2026 le fasce sono due. Gli strumenti rivolti a PMI e mid-market, spesso estensioni di piattaforme GDPR, costano indicativamente EUR 6.000–30.000 all’anno; le suite di governance dell’IA di livello enterprise superano EUR 100.000 all’anno. Il costo dipende dal numero di sistemi di IA in uso, dal fatto che siate fornitori o utilizzatori e dalla presenza di sistemi ad alto rischio, che richiedono documentazione tecnica e monitoraggio molto più approfonditi. Come per gli altri regimi, il fattore che pesa di più è il tempo interno di mappatura e classificazione: uno strumento che lo automatizza ha di norma il ritorno migliore.

Da quando si applicano gli obblighi dell’AI Act?

Le scadenze sono scaglionate. I divieti sulle pratiche a rischio inaccettabile si applicano dal 2 febbraio 2025; gli obblighi per i modelli per finalità generali (GPAI) dal 2 agosto 2025; la maggior parte degli obblighi per i sistemi ad alto rischio dal 2 agosto 2026, con una fascia ulteriore (per alcuni sistemi ad alto rischio legati a prodotti già regolati) posticipata al 2027. Conviene mappare per tempo il proprio parco di sistemi, perché la classificazione richiede settimane, non giorni.

La mia impresa è “fornitore” o “utilizzatore” ai fini dell’AI Act?

È una distinzione decisiva perché cambia gli obblighi. È fornitore chi sviluppa un sistema di IA (o lo fa sviluppare) e lo immette sul mercato o lo mette in servizio con il proprio nome; è utilizzatore (deployer) chi impiega un sistema di IA sotto la propria autorità nell’ambito di un’attività professionale. Gli obblighi più pesanti gravano sui fornitori di sistemi ad alto rischio, ma anche gli utilizzatori hanno doveri rilevanti — supervisione umana, uso conforme alle istruzioni e, in alcuni casi, la FRIA. Attenzione: modificando in modo sostanziale un sistema ad alto rischio, un utilizzatore può assumere gli obblighi del fornitore.

Conclusione

L’AI Act ha introdotto un quadro basato sul rischio che obbliga le imprese italiane a inventariare i propri sistemi di intelligenza artificiale, classificarli e presidiare gli obblighi corrispondenti, con scadenze scaglionate tra il 2025 e il 2026 e una governance nazionale affidata al coordinamento di AgID e ACN; per il quadro italiano si veda la guida all’AI Act in Italia e l’approfondimento sui sistemi ad alto rischio. La sovrapposizione con il GDPR — DPIA e FRIA in primis — e l’attivismo del Garante, che sull’IA ha già comminato sanzioni per 15 e 5 milioni di euro, rendono la conformità un tema concreto e non rinviabile. Un software utile è quello che risolve il collo di bottiglia — l’inventario e la classificazione dei sistemi — e collega la governance dell’IA agli adempimenti privacy già in essere, con hosting nell’Unione europea e la capacità di mantenere tutto aggiornato mentre il quadro attuativo continua a definirsi.

See Legiscope in action

AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.

Request a demo
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →