EU AI Act 2026: cosa devono sapere DAVVERO i founder italiani prima di lanciare

L'EU AI Act è pienamente in vigore dall'agosto 2026. È la prima legge AI al mondo con multe (fino al 7% del fatturato globale). Vediamo cosa significa concretamente per chi sviluppa AI in Italia.

Cosa è l'AI Act e a chi si applica

L'EU AI Act (Reg. 2024/1689) classifica i sistemi AI in 4 categorie di rischio:

1. Vietati: social scoring, riconoscimento emozioni nei luoghi di lavoro, manipolazione biometrica.
2. High-risk: AI usata in sanità, educazione, giustizia, recruiting, infrastrutture critiche.
3. Limited risk: chatbot, deepfake (richiede trasparenza).
4. Minimal risk: tutto il resto (la maggior parte delle app AI).

Si applica a: chiunque metta sul mercato EU un sistema AI o lo usi su utenti EU. Anche se la tua startup è registrata fuori EU.

Le 4 domande chiave per il tuo prodotto

1. Il mio prodotto è "high-risk"?

Sì se rientra in uno di questi casi:

• AI per screening CV (HR/recruiting)
• AI per scoring crediti o assicurativo
• AI per diagnosi medica o prioritizzazione cure
• AI per valutazione studenti (es. exam grading)
• AI per infrastrutture critiche (energia, trasporti, acqua)
• AI per forze dell'ordine o giustizia
• AI per biometric identification

Se sì, ti aspettano obblighi pesanti.

2. Devo registrare il sistema?

Sì se è high-risk → EU AI Database (gestito dalla Commissione Europea).

Costi: gratuito, ma serve documentazione tecnica completa.

3. Devo fare conformity assessment?

Sì se high-risk. Tre opzioni:

• Self-assessment (se rientri in certi standard armonizzati)
• Notified body assessment (third-party, costoso: €10-30K)
• Internal control + audit annuale

4. Posso usare modelli foundation USA?

Sì, ma:

• I provider GPAI (General Purpose AI) sopra una certa soglia compute (10^25 FLOPS — solo GPT, Claude, Gemini, Llama top tier) hanno obblighi specifici di trasparenza dati training, copyright, sicurezza.
• Tu downstream sei responsabile per come li usi.

Gli obblighi per sistemi high-risk

1. Risk management system: documento che mostra come gestisci rischi durante tutto il lifecycle.
2. Data governance: dataset training/test rappresentativi, no bias.
3. Technical documentation: 30-50 pagine di documenti.
4. Record keeping: log di tutte le inferenze per audit.
5. Transparency: utente deve sapere che sta interagendo con AI.
6. Human oversight: meccanismo per override umano.
7. Accuracy + robustness: testato e validato.
8. Cybersecurity: protezione da attacchi adversarial.

Costo medio per startup di mettersi in compliance high-risk: €80K-€200K + 6-9 mesi di lavoro.

Per i sistemi "limited risk" (la maggior parte)

Se hai un chatbot, un agente conversazionale, un sistema che genera contenuti:

1. Disclosure obbligatoria: "Stai interagendo con AI" deve essere chiaro.
2. AI-generated content labeling: deepfake, immagini sintetiche devono essere etichettate.
3. Trasparenza training data (se sei GPAI provider — solo big tech).

Costo: marginale. Una banner + qualche disclaimer + audit trail.

Le sanzioni (la parte che spaventa)

• Sistemi vietati: fino al 7% del fatturato globale o €35M (qualunque più alto)
• Non-compliance high-risk: fino al 3% del fatturato o €15M
• Trasparenza/disclosure violata: fino all'1% del fatturato o €7,5M

Cosa sta succedendo davvero nel 2026

1. Enforcement lento.

Le autorità nazionali (in Italia AGCOM + Garante) hanno staff insufficiente. Nei primi 12 mesi, enforcement sarà selettivo: solo casi eclatanti.

2. "Right of action" privato.

Cittadini possono denunciare. Il rischio reale per startup non sono le multe ma le denunce individuali.

3. Standardizzazione in corso.

Standard armonizzati (CEN-CENELEC) per implementare AI Act in arrivo entro fine 2026. Aspetta prima di iperinvestire in compliance custom.

Per le startup italiane: 5 azioni concrete

1. Capisci il tuo risk tier.

Usa il free assessment tool della Commissione EU: https://artificialintelligenceact.eu/. 30 minuti.

2. Se sei high-risk, calcola il costo compliance prima del seed.

Aggiungi €100-150K al budget Series A. È real money che molti dimenticano.

3. Costruisci documentazione fin dall'inizio.

Anche se "limited risk", documentare logiche/dataset/decisioni rende la pivot facile se diventi high-risk dopo.

4. Privacy by design ≠ Compliance by design.

GDPR si applica AI Act si applica MDR si applica. Sono livelli separati.

5. Trasforma compliance in differenziatore.

La maggior parte dei competitor USA non sarà compliant. Vendi a clienti EU che richiedono trust = vinci.

Cosa NON fare

• Non fare disclaimers AI generici "Powered by AI": insufficiente per disclosure obbligatoria. Devi essere specifico.
• Non aspettare: penalty escalano nel 2027. Inizia compliance entro Q4 2026.
• Non assumere compliance officer prima del Series A: troppo costoso. Consulenze + DPO frazionato vanno bene.

L'AI Act non è un ostacolo. È un filtro che taglia fuori il 60% dei competitor USA poco strutturati. Se ti muovi prima, è arma competitiva.