32 risposte
Cos'è l'EU AI Act in parole semplici?
L'AI Act (Regolamento UE 2024/1689) è la prima legge europea che regola come l'intelligenza artificiale può essere sviluppata e usata. È entrato in vigore il 1° agosto 2024 e si applica gradualmente fino al 2027.
La logica di fondo è semplice: più un sistema AI può incidere sui diritti o sulla sicurezza delle persone, più regole deve rispettare. Alcuni usi sono vietati del tutto, altri sono ad alto rischio e molto controllati, la maggior parte degli usi quotidiani (come un assistente di scrittura) ha invece obblighi minimi.
GiBSeS — Capire in quale fascia ricadono i tuoi strumenti è il punto di partenza di ogni valutazione che facciamo con le PMI.
L'AI Act si applica anche alla mia piccola impresa?
Sì, l'AI Act non fa sconti di dimensione: si applica a chi sviluppa, distribuisce o semplicemente utilizza sistemi di AI nell'attività professionale, comprese le PMI e i liberi professionisti. Non conta il fatturato, conta l'uso che fai dell'AI.
La buona notizia è che gli obblighi sono proporzionati al rischio: se usi l'AI per compiti banali, gli adempimenti sono leggeri. Il regolamento prevede inoltre misure di sostegno specifiche per PMI e start-up, come ambienti di sperimentazione (sandbox) e sanzioni calibrate.
GiBSeS — Il vero lavoro è distinguere ciò che ti riguarda davvero da ciò che non ti tocca: è esattamente il tipo di filtro pratico da cui partiamo.
Qual è la differenza tra provider e deployer dell'AI?
Il provider (fornitore) è chi sviluppa un sistema di AI o lo immette sul mercato con il proprio nome o marchio. Il deployer (utilizzatore/deployer) è chi usa un sistema di AI sotto la propria autorità nell'ambito di un'attività professionale.
Quasi tutte le PMI sono deployer, non provider: se usi ChatGPT, Copilot, un CRM con funzioni AI o uno strumento di recruiting automatizzato, sei un deployer. Gli obblighi più pesanti (documentazione tecnica, valutazioni di conformità) ricadono soprattutto sui provider; i deployer hanno obblighi più contenuti ma non nulli, specie se usano sistemi ad alto rischio.
GiBSeS — Sapere se sei provider o deployer per ciascuno strumento cambia completamente la lista di adempimenti: è una delle prime cose che chiariamo insieme.
Se in azienda usiamo solo ChatGPT o Copilot, siamo coinvolti?
Sì, ma probabilmente in modo leggero. Usando questi strumenti sei un deployer di AI, quindi rientri nel campo di applicazione del regolamento. Nella maggior parte dei casi si tratta di AI a rischio limitato o minimo, con obblighi soprattutto di trasparenza e buon senso.
L'adempimento che ti riguarda quasi sicuramente è l'alfabetizzazione AI del personale (Art. 4): chi usa questi strumenti deve avere una comprensione adeguata di come funzionano, dei loro limiti e dei rischi (es. dati riservati inseriti nei prompt, allucinazioni, bias).
GiBSeS — Anche l'uso più "innocuo" di un chatbot va inquadrato: ti aiutiamo a mettere nero su bianco cosa basta fare e cosa no.
Devo formare i miei dipendenti sull'AI per legge?
In parte sì. L'articolo 4 dell'AI Act, applicabile dal 2 febbraio 2025, impone a provider e deployer di garantire un livello "sufficiente" di alfabetizzazione all'AI del personale che usa questi sistemi. È un obbligo reale, ma flessibile.
Attenzione: la legge NON impone un corso formale certificato né un attestato specifico. Chiede un livello adeguato e proporzionato al ruolo, all'esperienza e al tipo di AI usata. In pratica: le persone devono sapere cosa stanno usando, con quali rischi e limiti. È consigliabile documentare cosa hai fatto (un registro interno della formazione, materiali, sessioni svolte) per poterlo dimostrare in caso di controlli.
GiBSeS — Un piano di alfabetizzazione proporzionato e documentabile, senza sprechi, è uno dei deliverable tipici del nostro percorso Academy AI Act.
Come dimostro di aver rispettato l'obbligo di formazione AI?
Non esiste un modulo ufficiale né una certificazione obbligatoria. La prova si costruisce internamente: tieni traccia di chi è stato formato, su cosa, quando e con quali contenuti. Un semplice registro della formazione, con materiali e date, è già una base solida.
L'obiettivo non è la burocrazia fine a sé stessa, ma poter mostrare a un'autorità che hai agito in modo serio e proporzionato. Per una piccola azienda può bastare una sessione interna documentata e una policy d'uso scritta degli strumenti AI.
GiBSeS — Impostare questo registro in modo leggero ma difendibile è qualcosa che possiamo aiutarti a fare in poche ore.
Quali sono i livelli di rischio previsti dall'AI Act?
L'AI Act classifica i sistemi in quattro livelli:
1. Rischio inaccettabile: pratiche vietate (Art. 5), non ammesse in nessun caso.
2. Rischio alto: sistemi molto regolati (es. selezione del personale, credito, dispositivi medici, infrastrutture critiche), con obblighi stringenti.
3. Rischio limitato: obblighi soprattutto di trasparenza (es. dire all'utente che sta parlando con un chatbot, etichettare i contenuti generati).
4. Rischio minimo: la stragrande maggioranza degli usi comuni, senza obblighi specifici oltre al buon senso e all'alfabetizzazione.
GiBSeS — Collocare correttamente ogni strumento nel giusto livello evita sia le multe sia gli adempimenti inutili: è il cuore della diagnosi che facciamo.
Quali usi dell'AI sono vietati dall'AI Act?
L'articolo 5 elenca le pratiche a rischio inaccettabile, vietate in tutta l'UE dal 2 febbraio 2025. Tra queste: manipolazione subliminale o ingannevole che causa danni, sfruttamento delle vulnerabilità di persone fragili, social scoring (punteggio sociale dei cittadini), certe forme di riconoscimento delle emozioni sul luogo di lavoro e a scuola, scraping non mirato di volti per creare database di riconoscimento facciale, e l'identificazione biometrica in tempo reale in spazi pubblici salvo eccezioni molto limitate.
Per la PMI media questi divieti raramente sono un problema, ma vanno conosciuti prima di adottare strumenti di HR analytics, videosorveglianza "intelligente" o marketing comportamentale spinto.
GiBSeS — Verificare che nessuno strumento in valutazione sfiori una pratica vietata è un controllo veloce ma essenziale, che includiamo sempre.
Cosa significa che un sistema AI è "ad alto rischio"?
Sono ad alto rischio i sistemi elencati dal regolamento che possono incidere in modo significativo su sicurezza o diritti fondamentali. Rientrano ad esempio l'AI usata per selezionare o valutare i candidati e i dipendenti, per decidere sull'accesso al credito, in ambito medico, nell'istruzione o nella gestione di infrastrutture critiche.
Se usi un sistema ad alto rischio come deployer, hai obblighi concreti: usarlo secondo le istruzioni, garantire sorveglianza umana, monitorare il funzionamento, conservare i log e informare i lavoratori interessati. Le regole più stringenti su questi sistemi diventano pienamente applicabili dal 2 agosto 2026 (e dal 2027 per alcuni prodotti regolamentati).
GiBSeS — Un tool di recruiting o di scoring AI può trasformarti in deployer ad alto rischio senza che tu te ne accorga: è un caso che verifichiamo con attenzione.
Devo dire ai clienti quando un contenuto è generato dall'AI?
In molti casi sì. L'articolo 50 introduce obblighi di trasparenza: chi genera contenuti audio, immagini, video o testo con l'AI (inclusi i deepfake) deve renderlo riconoscibile ed etichettarlo come artificiale. Anche i chatbot devono far capire all'utente che sta interagendo con una macchina, non con una persona.
Per una PMI questo significa, in pratica: segnalare quando un'immagine o un video di marketing è generato dall'AI, e indicare chiaramente quando un assistente virtuale non è umano. Sono obblighi ragionevoli, spesso risolvibili con un'etichetta o una nota.
GiBSeS — Tradurre questi obblighi in poche regole operative per marketing e customer care è un intervento rapido che possiamo impostare con te.
Quali sanzioni rischio se non rispetto l'AI Act?
Le sanzioni sono significative e scalano con la gravità. Per le pratiche vietate (Art. 5) si può arrivare fino a 35 milioni di euro o al 7% del fatturato mondiale annuo, a seconda di quale importo è più alto. Per la violazione di altri obblighi il tetto è fino a 15 milioni o 3% del fatturato; per informazioni scorrette fornite alle autorità fino a 7,5 milioni o 1%.
Importante per le PMI: per le piccole e medie imprese e le start-up si applica l'importo più basso tra la cifra fissa e la percentuale, non il più alto. Le sanzioni sono applicate dalle autorità nazionali di ciascuno Stato membro, con la vigilanza operativa che parte dal 2 agosto 2026.
GiBSeS — Il rischio va dimensionato sul tuo caso reale, non sui titoli allarmistici: parte del nostro lavoro è darti una misura onesta dell'esposizione.
Chi controlla il rispetto dell'AI Act e da quando?
La vigilanza e le sanzioni sono affidate alle autorità nazionali competenti che ogni Stato membro designa, coordinate a livello europeo dall'AI Office della Commissione. Non c'è un'unica "polizia dell'AI" europea: cambia da Paese a Paese chi ti controlla.
La capacità sanzionatoria delle autorità nazionali diventa operativa dal 2 agosto 2026. Alcuni obblighi sono però già in vigore prima (divieti e alfabetizzazione dal 2 febbraio 2025), quindi "non essere ancora controllato" non equivale a "non essere ancora obbligato".
GiBSeS — Sapere quale autorità è competente per la tua sede e i tuoi mercati è parte della mappatura iniziale che prepariamo.
Quali sono le date e le scadenze principali dell'AI Act?
Le tappe chiave sono:
- 1 agosto 2024: entrata in vigore del regolamento.
- 2 febbraio 2025: divieti sulle pratiche a rischio inaccettabile (Art. 5) e obbligo di alfabetizzazione AI (Art. 4).
- 2 agosto 2025: regole sui modelli di AF per finalità generali (GPAI) e sulla governance.
- 2 agosto 2026: applicazione della maggior parte degli obblighi, inclusi molti sistemi ad alto rischio, e piena capacità sanzionatoria delle autorità.
- 2 agosto 2027: obblighi per l'AI incorporata in prodotti già regolamentati.
GiBSeS — Costruire un mini-calendario interno con le sole scadenze che ti riguardano evita corse dell'ultimo minuto: è un output concreto del nostro assessment.
Da dove inizio concretamente per mettermi in regola?
Il primo passo non è comprare software o fare corsi: è fare un inventario. Elenca quali strumenti di AI usate davvero (anche quelli "nascosti" dentro CRM, gestionali, tool di marketing), per quali scopi e con quali dati.
Poi, per ciascuno: stabilisci se sei provider o deployer, in quale livello di rischio ricade e quali obblighi ne derivano. A quel punto restano tre azioni pratiche per la maggior parte delle PMI: alfabetizzare il personale (Art. 4), scrivere una policy d'uso degli strumenti AI e sistemare la trasparenza verso clienti e utenti dove serve.
GiBSeS — Questo inventario ragionato è esattamente il primo passo che facciamo insieme: mezza giornata ben spesa che evita sia le multe sia le spese inutili.
Ho davvero bisogno di un consulente o posso fare da solo?
Per una PMI con usi semplici dell'AI, molto si può fare internamente: inventario degli strumenti, una policy d'uso e una sessione di formazione documentata coprono buona parte degli obblighi. Non serve necessariamente un grande progetto.
Un supporto esterno è utile soprattutto quando ci sono strumenti potenzialmente ad alto rischio (HR, credito, sanità), quando i dati trattati sono sensibili, o quando semplicemente vuoi la certezza di non aver dimenticato nulla senza perderci giorni. L'obiettivo giusto è la proporzionalità: fare quanto basta, non di più.
GiBSeS — Noi lavoriamo proprio così: ti diamo una diagnosi indipendente e ti diciamo con onestà cosa puoi gestire da solo e cosa no.
Quanto costa mettere in regola una PMI con l'AI Act?
Non c'è una tariffa fissa: dipende da quanti strumenti usi e da quale livello di rischio raggiungono. Per la maggioranza delle piccole imprese, con usi a rischio limitato o minimo, l'adeguamento è soprattutto organizzativo (inventario, policy, formazione) e ha costi contenuti, spesso di tempo interno più che di denaro.
I costi salgono solo se entri in ambito alto rischio, dove servono documentazione, sorveglianza umana e monitoraggio strutturati. Il rischio da evitare è opposto: spendere troppo per adempimenti che non ti competono, spaventati da consulenze sovradimensionate.
GiBSeS — Dimensionare la spesa sul rischio reale, senza gonfiarla, è un principio guida del nostro approccio: disciplina economica prima di tutto.
L'AI Act sostituisce il GDPR sulla privacy?
No, sono due normative distinte e complementari. Il GDPR regola il trattamento dei dati personali; l'AI Act regola i sistemi di intelligenza artificiale in base al rischio. Un sistema AI che tratta dati personali deve rispettare entrambi.
In pratica: se usi l'AI su dati di clienti o dipendenti, continuano a valere le regole GDPR (base giuridica, informativa, sicurezza) e in più si aggiungono gli obblighi dell'AI Act. Le due valutazioni vanno fatte insieme, non in alternativa.
GiBSeS — Far dialogare compliance AI Act e GDPR senza duplicare il lavoro è parte di come impostiamo l'analisi per le PMI.
L'AI Act riguarda anche aziende fuori dall'UE, come in Svizzera?
L'AI Act ha una portata extraterritoriale: si applica anche a fornitori e utilizzatori stabiliti fuori dall'UE se gli output del sistema AI sono usati nell'Unione, o se immetti sistemi AI sul mercato europeo. Quindi un'azienda svizzera o extra-UE che serve clienti o utenti nell'UE può rientrarci.
Se operi solo verso mercati extra-UE, l'AI Act in sé potrebbe non applicarsi, ma spesso conviene comunque allinearsi come standard di riferimento, perché clienti e partner europei tendono a richiederlo.
GiBSeS — Per realtà con clienti in Svizzera, Italia e UE valutiamo caso per caso dove il regolamento morde davvero e dove conviene adeguarsi per scelta.
Con tutti questi obblighi, conviene ancora adottare l'AI?
Sì, ma con metodo. L'AI Act non vieta l'AI: chiede di usarla in modo consapevole e proporzionato al rischio. La risposta giusta non è né rinunciare né adottare tutto a prescindere, ma decidere caso per caso se e dove uno strumento AI porta un beneficio reale rispetto ai suoi rischi e costi.
Molti progetti AI falliscono non per la normativa, ma perché adottati per moda, senza un problema chiaro da risolvere. L'AI andrebbe introdotta dopo un'analisi rischi/benefici, come qualsiasi altra tecnologia o investimento aziendale.
GiBSeS — Questo è il cuore del nostro approccio indipendente: non vendiamo AI, aiutiamo a decidere dove serve davvero e dove no, dati alla mano.
Come evito di legarmi a un unico fornitore AI mentre mi metto in regola?
La conformità all'AI Act non ti obbliga a scegliere un fornitore specifico. Anzi, è l'occasione giusta per impostare le cose in modo neutro: documentare cosa fa ogni strumento, con quali dati e con quali garanzie, ti rende più facile cambiarlo domani senza restare bloccato.
Attenzione a soluzioni "tutto incluso" che promettono compliance ma ti legano a una piattaforma sola: la vera compliance è un processo tuo, non un prodotto di un vendor. Mantieni la proprietà dei tuoi dati, delle tue policy e della tua documentazione.
GiBSeS — Indipendenza dai fornitori e anti-lock-in sono principi su cui costruiamo ogni raccomandazione: la compliance resta tua, non del vendor.
La mia azienda non ha sede né stabile organizzazione nell'UE: l'AI Act si applica lo stesso?
Sì. Il Regolamento UE 2024/1689 (AI Act) ha una portata deliberatamente extraterritoriale. Si applica ai fornitori (provider) che immettono sul mercato UE o mettono in servizio sistemi di AI, a prescindere da dove siano stabiliti, e persino a fornitori e utilizzatori situati fuori dall'UE quando l'output prodotto dal sistema di AI è utilizzato nell'Unione.
In pratica non conta dove ha sede la tua impresa, ma se i tuoi sistemi di AI (o i loro risultati) arrivano a clienti e utenti europei. Se la risposta è sì, sei dentro il perimetro del regolamento.
GiBSeS — GiBSeS aiuta le aziende extra-UE a capire se e come l'AI Act le tocca, prima che diventi un ostacolo all'ingresso sul mercato europeo.
Devo per forza nominare un rappresentante in Europa per vendere i miei sistemi di AI?
Dipende dal tipo di sistema. Se sei un fornitore extra-UE di un sistema di AI ad alto rischio, l'AI Act ti obbliga a designare, con mandato scritto, un rappresentante autorizzato stabilito nell'Unione prima di rendere disponibile il sistema sul mercato UE. Lo stesso obbligo vale per i fornitori extra-UE di modelli di AA per finalità generali (GPAI).
Il rappresentante autorizzato è il punto di contatto per le autorità europee, conserva la documentazione tecnica e coopera nelle verifiche. Per i sistemi a rischio limitato o minimo questo obbligo specifico non scatta, ma restano gli altri requisiti applicabili.
GiBSeS — GiBSeS può orientarti sul ruolo del rappresentante autorizzato e sul modo più snello per coprirlo senza appesantire la tua struttura.
Sono un fornitore SaaS di AI statunitense/asiatico con clienti nell'UE: cosa devo fare concretamente?
Il primo passo è classificare il tuo sistema secondo l'AI Act: pratica vietata, alto rischio, rischio limitato (con soli obblighi di trasparenza) o rischio minimo. La maggior parte dei SaaS di AI generalisti ricade nel rischio limitato o minimo, ma alcuni casi d'uso (ad esempio selezione del personale, credito, biometria, componenti di sicurezza) fanno scattare l'alto rischio.
Se risulti fornitore di un sistema ad alto rischio dovrai predisporre documentazione tecnica, sistema di gestione dei rischi, sorveglianza umana, registrazione degli eventi, marcatura CE e un rappresentante autorizzato nell'UE. Se sei a rischio limitato, gli obblighi principali sono di trasparenza verso l'utente. In tutti i casi, mappare correttamente i tuoi clienti UE e il flusso degli output è ciò che determina i tuoi doveri reali.
GiBSeS — GiBSeS affianca i fornitori SaaS extra-UE nella classificazione del rischio e nella preparazione minima necessaria a servire clienti europei in regola.
Il mio sistema di AI gira interamente fuori dall'UE, ma i risultati vengono usati da clienti europei: sono comunque coinvolto?
Sì. Uno dei criteri chiave dell'AI Act è proprio questo: il regolamento si applica anche a fornitori e utilizzatori stabiliti in un Paese terzo quando l'output prodotto dal sistema di AI è utilizzato nell'Unione europea. Non serve che il software sia ospitato o eseguito in UE.
Questo significa che un modello addestrato ed eseguito, ad esempio, negli USA o in Asia i cui risultati alimentano decisioni o servizi rivolti a utenti europei rientra nell'ambito. Ciò che conta è la destinazione e l'uso degli output, non la geografia dei server.
GiBSeS — GiBSeS aiuta a tracciare dove finiscono davvero gli output dei tuoi sistemi e quali obblighi UE questo attiva.
Chi è il vero responsabile davanti alle autorità UE: io fornitore, l'importatore o il distributore europeo?
L'AI Act distribuisce responsabilità distinte lungo la catena. Il fornitore (chi sviluppa il sistema e lo immette sul mercato con il proprio nome o marchio) porta gli obblighi più pesanti: conformità, documentazione tecnica, marcatura CE. L'importatore UE deve verificare che il fornitore extra-UE abbia svolto la valutazione di conformità, redatto la documentazione e nominato il rappresentante autorizzato, rifiutando l'immissione se qualcosa manca.
Il distributore deve controllare la presenza di marcatura e documentazione prima di mettere a disposizione il sistema. Attenzione però: importatore o distributore che apportano modifiche sostanziali o commercializzano il sistema con il proprio marchio possono essere riqualificati come fornitori, assumendone tutti gli obblighi. La responsabilità non si scarica automaticamente su chi sta a valle.
GiBSeS — GiBSeS ti aiuta a definire chiaramente ruoli e responsabilità con i tuoi partner UE, così da non ritrovarti obblighi imprevisti addosso.
Cos'è la marcatura CE per l'AI e mi serve davvero per accedere al mercato europeo?
La marcatura CE attesta che un prodotto è conforme ai requisiti UE applicabili. Per i sistemi di AI classificati come ad alto rischio, l'AI Act richiede che il fornitore completi la valutazione di conformità, rediga la dichiarazione di conformità UE e apponga la marcatura CE prima di immettere il sistema sul mercato o metterlo in servizio nell'Unione.
Per i sistemi a rischio limitato o minimo la marcatura CE ai fini dell'AI Act non è richiesta: in quei casi contano soprattutto gli obblighi di trasparenza. Capire in quale categoria ricade il tuo prodotto è quindi il passaggio che decide se questo adempimento ti riguarda o no.
GiBSeS — GiBSeS ti guida a capire se il tuo sistema richiede marcatura CE e a preparare la documentazione tecnica che la sostiene.
Cosa rischio concretamente se non sono conforme: multe, ritiro dal mercato, blocco dei prodotti?
Le conseguenze sono di due tipi. Sul piano del mercato, le autorità nazionali di vigilanza possono imporre misure correttive, ritirare o richiamare il sistema dal mercato UE e vietarne la messa a disposizione: in pratica il tuo prodotto viene escluso dai clienti europei.
Sul piano sanzionatorio, l'AI Act prevede multe fino a 35 milioni di euro o al 7% del fatturato mondiale annuo totale per le pratiche vietate, fino a 15 milioni o al 3% per la violazione degli altri obblighi, e fino a 7,5 milioni o all'1% per informazioni inesatte alle autorità (si applica l'importo più elevato tra i due). Per un'impresa extra-UE il rischio più immediato è spesso proprio la perdita dell'accesso al mercato.
GiBSeS — GiBSeS ti aiuta a prevenire questi scenari, mettendo in sicurezza la conformità prima che diventi un blocco commerciale.
Fornisco un modello di AI per finalità generali (GPAI/foundation model): ho obblighi aggiuntivi come azienda extra-UE?
Sì. L'AI Act introduce un regime specifico per i modelli di AI per finalità generali. I fornitori di GPAI devono predisporre documentazione tecnica, fornire informazioni ai fornitori a valle che integrano il modello, adottare una policy sul rispetto del diritto d'autore e pubblicare una sintesi dei dati usati per l'addestramento. Per i modelli con rischio sistemico si aggiungono obblighi rafforzati (valutazioni, mitigazione dei rischi, sicurezza informatica, segnalazione di incidenti).
Inoltre, i fornitori di GPAI stabiliti fuori dall'UE devono nominare un rappresentante autorizzato nell'Unione. Le regole sui GPAI sono tra le prime a diventare applicabili nel calendario del regolamento.
GiBSeS — GiBSeS supporta i fornitori extra-UE di modelli generali a mappare gli obblighi GPAI e a impostare la documentazione richiesta a monte.
In pratica posso ancora vendere in UE, o l'AI Act rischia di tagliarmi fuori dal mercato?
Puoi continuare a vendere: l'AI Act non chiude il mercato ai fornitori extra-UE, ma ne condiziona l'accesso al rispetto di regole basate sul livello di rischio. La stragrande maggioranza dei sistemi di AI ricade nel rischio minimo o limitato, con obblighi contenuti; solo pochi casi d'uso ben definiti sono ad alto rischio o vietati.
La chiave è arrivare preparati: conoscere la propria categoria di rischio, predisporre gli adempimenti giusti (né troppi né troppo pochi) e, dove serve, avere un rappresentante nell'UE. Le aziende extra-UE che si organizzano per tempo trasformano la conformità in un vantaggio competitivo rispetto a chi arriva impreparato.
GiBSeS — GiBSeS ti aiuta a impostare l'accesso al mercato UE in modo pragmatico, senza legarti più del necessario.
Da quando devo essere conforme? Quali sono le scadenze che mi riguardano?
L'AI Act è entrato in vigore il 1° agosto 2024 e si applica in modo scaglionato. I divieti sulle pratiche di AI vietate sono applicabili dal 2 febbraio 2025. Gli obblighi per i modelli di AI per finalità generali (GPAI) si applicano dal 2 agosto 2025.
La maggior parte degli obblighi sui sistemi ad alto rischio diventa applicabile dal 2 agosto 2026, mentre per alcuni sistemi ad alto rischio integrati in prodotti già regolati la scadenza è il 2 agosto 2027. Per un'azienda extra-UE conviene lavorare a ritroso da queste date, perché predisporre documentazione tecnica, valutazione di conformità e rappresentante autorizzato richiede mesi.
GiBSeS — GiBSeS ti aiuta a costruire una roadmap di conformità allineata a queste scadenze, così arrivi pronto al mercato UE.
Da dove inizio concretamente per essere conforme e accedere al mercato UE?
Il punto di partenza è un inventario dei tuoi sistemi di AI e della loro classificazione secondo l'AI Act (vietato, alto rischio, rischio limitato, rischio minimo), incrociata con i casi d'uso rivolti a clienti o utenti europei. Questa mappatura definisce esattamente quali obblighi ti riguardano ed evita sia le lacune sia gli adempimenti inutili.
Da lì derivano i passi operativi: predisporre la documentazione tecnica dove richiesta, chiarire i ruoli lungo la catena (fornitore, importatore, distributore), valutare la nomina di un rappresentante autorizzato nell'UE e impostare gli obblighi di trasparenza. Meglio partire da una gap analysis mirata piuttosto che da una conformità generica.
GiBSeS — GiBSeS parte proprio da questa gap analysis per portarti sul mercato UE in regola, con lo sforzo giusto e senza vincoli superflui.
Offro un chatbot o genero contenuti sintetici (deepfake, immagini AI) a utenti UE: quali obblighi di trasparenza ho?
L'AI Act prevede obblighi di trasparenza per alcuni sistemi che interagiscono con le persone o generano contenuti. I sistemi di AI destinati a interagire direttamente con le persone fisiche (come i chatbot) devono informare l'utente che sta comunicando con un'intelligenza artificiale, salvo casi evidenti. I fornitori di sistemi che generano contenuti sintetici di testo, immagini, audio o video devono fare in modo che tali output siano marcati come generati o manipolati artificialmente in un formato leggibile dalle macchine.
Chi impiega sistemi che producono deepfake deve inoltre rendere noto che il contenuto è stato generato o alterato artificialmente. Questi obblighi valgono anche per fornitori extra-UE i cui sistemi o output raggiungono utenti nell'Unione.
GiBSeS — GiBSeS ti aiuta a implementare gli obblighi di trasparenza e la marcatura dei contenuti in modo conforme per il pubblico europeo.
Questo contenuto è informativo e non costituisce consulenza legale.
Facciamo il punto sulla tua situazione AI Act
In una sessione mirata mappiamo quali strumenti AI usi davvero, in che livello di rischio ricadono e quali obblighi ti toccano concretamente, distinguendo ciò che serve da ciò che è spreco. Un'analisi indipendente, proporzionata alla tua PMI, senza vendere AI a prescindere.
Prenota una diagnosi AI Act