PrivantAI
AI Act6 min di lettura

Sei già un fornitore di sistemi AI ad alto rischio senza saperlo?

L'AI Act classifica come 'ad alto rischio' molti scenari banali: screening CV, scoring credito, valutazione lavoratori. Otto domande per capire se rientri.

GS

Giacomo Simonelli

Founder & Senior AI Engineer

·

La frase 'sistema AI ad alto rischio' evoca scenari cinematografici: droni autonomi, algoritmi di sorveglianza di massa, intelligenza artificiale che decide chi va in prigione. Non è così. L'AI Act classifica come ad alto rischio scenari che molte PMI italiane usano già oggi, spesso acquistati come moduli di un software gestionale o come funzionalità attivate in un click.

Il punto critico è questo: non è necessario aver sviluppato il sistema per essere soggetti agli obblighi. Se sei un deployer — se cioè usi un sistema AI per prendere o supportare decisioni sui tuoi dipendenti, clienti o controparti — potresti già rientrare nel perimetro ad alto rischio. Otto domande per verificarlo.

Otto domande per capire se sei in perimetro

Per ogni domanda, considera se la risposta è 'sì' o 'potenzialmente sì'. Una sola risposta affermativa è sufficiente per richiedere un'analisi più approfondita.

  1. Usi un software che filtra automaticamente i CV in entrata, assegna un punteggio ai candidati o li ordina per rilevanza prima che un umano li veda? (Selezione del personale — Allegato III, punto 4a)
  2. Il tuo gestionale HR calcola punteggi di performance, assenteismo previsto o rischio di dimissioni per singoli dipendenti? (Valutazione lavoratori — Allegato III, punto 4b)
  3. Usi strumenti AI per determinare o supportare decisioni su linee di credito, fidi, dilazioni di pagamento a clienti o fornitori? (Scoring credito — Allegato III, punto 5b)
  4. Decidi l'accesso a benefit aziendali, promozioni o premi tramite un sistema che pesa automaticamente metriche di produttività o comportamento? (Accesso a servizi essenziali interni)
  5. Il tuo software assicurativo o di gestione sinistri usa AI per valutare automaticamente la gravità di un danno o stabilire l'entità di un rimborso? (Assicurazioni — Allegato III, punto 5c)
  6. Gestisci processi educativi o di accesso alla formazione in cui un sistema AI valuta apprendenti, assegna percorsi o determina ammissioni? (Istruzione e formazione — Allegato III, punto 3)
  7. Il tuo software di sicurezza o controllo accessi usa biometria o analisi comportamentale per autorizzare o bloccare l'accesso a spazi fisici o digitali? (Infrastrutture critiche e sicurezza)
  8. Usi AI per supportare decisioni su contenuti contrattuali, clausole personalizzate o termini di servizio differenziati per singoli clienti? (Potenziale sovrapposizione con scoring e accesso a servizi)

Tre scenari reali in PMI italiane da 40-100 dipendenti

Questi non sono casi ipotetici. Sono configurazioni che riscontriamo regolarmente nel nostro lavoro di assessment con PMI manifatturiere e di servizi nel Nord Italia.

  • PMI manifatturiera, 65 dipendenti: usa un modulo ATS (Applicant Tracking System) acquistato come add-on del gestionale HR. Il modulo assegna automaticamente un punteggio ai CV in base a keyword e storico delle assunzioni. Il responsabile HR non sa che l'algoritmo è attivo: vede solo una lista ordinata. Risultato: deployer inconsapevole di un sistema ad alto rischio senza supervisione documentata.
  • Studio professionale, 42 dipendenti: usa un software di credit management che calcola automaticamente il limite di fido per ogni cliente in base a comportamenti di pagamento passati e settore merceologico. Il software è di un vendor italiano certificato GDPR. L'AI Act richiede che anche il deployer abbia un sistema di risk management interno e procedure di supervisione umana per le decisioni di credito su soglie significative.
  • Azienda di logistica, 88 dipendenti: usa un sistema di workforce planning che prevede turnazioni e assegna obiettivi settimanali ai magazzinieri in base a metriche di produttività individuale registrate dal WMS. L'algoritmo di assegnazione degli obiettivi rientra nella categoria 'sistemi AI per gestione e valutazione dei lavoratori'.

La maggior parte delle PMI che assistiamo non ha sviluppato alcun sistema AI. Ha comprato software che lo integra. Ma il deployer ha obblighi propri, indipendenti da quelli del vendor.

PrivantAI, note di assessment 2025

Se rientri: gli obblighi concreti del deployer

L'AI Act non chiede al deployer di certificare il sistema AI — quello spetta al provider. Chiede però che il deployer adotti misure proprie, documentabili e verificabili. I cinque obblighi principali per chi usa un sistema ad alto rischio.

  • Risk management system: un processo strutturato per identificare, valutare e mitigare i rischi specifici del sistema AI nel tuo contesto d'uso. Non deve essere un documento da 200 pagine, ma deve esistere e aggiornarsi.
  • Supervisione umana attiva: le decisioni significative del sistema devono essere sottoposte a revisione umana reale — non un click su 'approva' che nessuno legge. Il revisore deve avere la formazione per comprendere i limiti del sistema.
  • Monitoraggio post-deployment: devi registrare come il sistema si comporta nel tempo nel tuo contesto operativo, segnalare anomalie al provider, e documentare gli incidenti.
  • Trasparenza verso gli interessati: le persone sui cui si prende una decisione con supporto AI devono poterlo sapere. Per i dipendenti in particolare, l'obbligo di informazione è esplicito.
  • Conservazione dei log: devi mantenere i log di funzionamento del sistema per il periodo previsto dalla normativa — almeno per la durata del rapporto con l'interessato più il periodo di conservazione previsto dal diritto del lavoro.

Cosa fare se hai risposto sì ad almeno una domanda

La reazione sbagliata è aspettare che sia il vendor a risolvere il problema. Il vendor ha i propri obblighi da provider, ma la conformità del deployer è separata e tua. La reazione giusta è un percorso in tre fasi, realizzabile in 6-8 settimane con le risorse interne affiancate da un consulente AI.

Prima fase: audit tecnico. Identifica con precisione quali funzionalità AI sono attive nei tuoi sistemi, che decisioni supportano, su quali soggetti e con quale frequenza. Questa mappa è la base di tutto. Seconda fase: gap analysis rispetto agli obblighi del deployer. Cosa hai già (log, policy, formazione) e cosa manca. Terza fase: implementazione delle misure mancanti per ordine di priorità — prima supervisione umana documentata e AI literacy, poi risk management system, poi procedure di monitoraggio.

Essere un deployer di sistemi AI ad alto rischio non è un problema di per sé: è una condizione che l'AI Act ammette e regola. Il problema è essere deployer inconsapevole, senza i presidi che la legge richiede. La differenza tra un'azienda sanzionabile e un'azienda conforme non è la tecnologia che usa — è la governance che ha costruito attorno a quella tecnologia.

Parliamo del tuo caso, non di teoria

Se questo articolo ti ha fatto pensare "sta succedendo anche a noi", l'audit gratuito è il primo passo. 45 minuti, zero impegno, una mappa concreta dei rischi nella tua azienda.

Prenota l'audit gratuito

Articoli correlati

Radar Shadow AI, newsletter mensile

Una volta al mese: caso del mese (data leak AI accaduto in EU), checklist DPO, novità AI Act/NIS2. 800-1000 parole, 3 minuti di lettura.

Radar AI · 1 mail al mese

Insights AI Act, casi reali, niente promo. Letta in 5 minuti, scritta dal team di PrivantAI.

1 email al mese. Insights AI Act + 1 caso reale. Cancellabile in 1 click.

Discovery gratuita30 min con il team PrivantAI
Prenota