La guida italiana all'AI Act, articolo per articolo.
Il cluster contiene i nove articoli del Regolamento (UE) 2024/1689 che ogni compliance officer italiano deve conoscere prima della scadenza alto rischio del 2 dicembre 2027 (post Digital Omnibus), le otto categorie ad alto rischio dell'Allegato III e le nove sezioni dell'Allegato IV — il fascicolo tecnico che il fornitore deve produrre. Ogni voce ha la sua pagina di approfondimento; tutte citano il testo ufficiale.
Le 11 dimensioni dell'AI Act, in un colpo d'occhio.
Konformia mappa il Regolamento (UE) 2024/1689 su undici dimensioni operative — dal registro dei sistemi alla segnalazione degli incidenti gravi. Ogni vertice è ancorato a un articolo specifico; il poligono è la copertura effettiva oggi, non la roadmap.
4 = artefatto emesso end-to-end con audit log e codice di verifica. 3 = workflow attivo, surface in iterazione.
I 9 articoli che contano davvero.
Selezione coerente con il piano editoriale: gli articoli più frequentemente cercati dai compliance officer italiani prima dell'enforcement dei sistemi ad alto rischio.
Regole di classificazione per i sistemi ad alto rischio
Definisce quando un sistema di IA è ad alto rischio: come componente di sicurezza di un prodotto soggetto a valutazione di conformità di terzi, o per uno dei casi d'uso elencati nell'Allegato III.
Sistema di gestione dei rischi (RMS)
Il fornitore di un sistema ad alto rischio deve istituire, attuare, documentare e mantenere un sistema di gestione dei rischi continuo lungo tutto il ciclo di vita.
Documentazione tecnica (Allegato IV)
Per ogni sistema ad alto rischio, prima dell'immissione sul mercato, il fornitore redige la documentazione tecnica secondo il contenuto dell'Allegato IV — il «fascicolo tecnico» AI Act.
Conservazione dei log (record-keeping automatico)
I sistemi di IA ad alto rischio devono registrare automaticamente eventi (log) nel corso del loro ciclo di vita, per consentire la tracciabilità del funzionamento.
Trasparenza e informazione ai deployer
I sistemi ad alto rischio devono essere accompagnati da istruzioni per l'uso che permettano al deployer di interpretare l'output del sistema e di usarlo correttamente.
Sorveglianza umana
I sistemi ad alto rischio sono progettati per essere sorvegliati efficacemente da persone fisiche durante il loro uso, in modo proporzionato ai rischi.
Obblighi dei deployer
I deployer di sistemi ad alto rischio devono usare il sistema in conformità con le istruzioni del fornitore, garantire la supervisione umana, monitorare il funzionamento e segnalare incidenti.
Trasparenza per certi sistemi di IA
Obblighi di trasparenza orizzontali: dichiarare l'interazione con un'IA, etichettare i contenuti sintetici, segnalare il riconoscimento emozioni e i deepfake.
Monitoraggio post-immissione (post-market monitoring)
I fornitori di sistemi ad alto rischio istituiscono un sistema di monitoraggio post-immissione proporzionato per raccogliere e analizzare dati sulle prestazioni del sistema in uso.
Le 8 categorie ad alto rischio.
Un sistema che ricade in uno di questi otto ambiti è automaticamente alto rischio ai sensi dell'Art. 6(2), salvo la deroga del par. 3 (da documentare).
Biometria (ove consentita)
Identificazione biometrica remota, categorizzazione biometrica e riconoscimento emozioni — nei contesti non vietati dall'Art. 5.
Infrastrutture critiche
Componenti di sicurezza di infrastrutture digitali critiche, traffico stradale, fornitura di acqua, gas, riscaldamento o energia.
Istruzione e formazione professionale
Accesso, ammissione, assegnazione, valutazione esiti di apprendimento, monitoraggio comportamenti durante esami.
Occupazione, gestione dei lavoratori
Reclutamento, selezione, promozione, cessazione, assegnazione compiti, monitoraggio prestazioni dei lavoratori.
Servizi essenziali (pubblici e privati)
Benefici pubblici, credit scoring (esclusa la frode), assicurazioni vita/salute, dispatch dei servizi di emergenza.
Applicazione della legge
Valutazione del rischio individuale, poligrafi, valutazione prove, polizia predittiva, profilazione.
Migrazione, asilo, controllo frontiere
Poligrafi, valutazione rischi, esame domande (visti, asilo, residenza), rilevamento persone ai confini.
Giustizia e processi democratici
Ricerca e interpretazione di fatti o norme da parte di autorità giudiziarie; influenza sugli esiti di elezioni o referendum.
Le 9 sezioni del fascicolo tecnico.
Per ogni sistema ad alto rischio, l'Art. 11 richiede al fornitore di redigere un fascicolo tecnico con il contenuto elencato nell'Allegato IV. Sono nove sezioni, una per pagina.
Descrizione generale del sistema di IA
Identifica il sistema, la sua finalità prevista, il fornitore e gli elementi essenziali per il riconoscimento del sistema sul mercato.
Descrizione dettagliata e processo di sviluppo
Documenta come il sistema è stato progettato, addestrato, testato — la storia tecnica che permette di ricostruire e verificare.
Monitoraggio, funzionamento e controllo
Descrive come il sistema è monitorato in produzione e come gli operatori controllano il suo funzionamento.
Sistema di gestione dei rischi (Art. 9)
Il documento del RMS ai sensi dell'Art. 9: identificazione, analisi, valutazione e mitigazione dei rischi noti e ragionevolmente prevedibili.
Modifiche apportate nel ciclo di vita
Storico delle modifiche significative al sistema dopo l'immissione sul mercato — la traccia che permette di ricostruire l'evoluzione.
Standard armonizzati applicati
Elenco degli standard tecnici (ISO/IEC, CEN/CENELEC, ETSI) applicati al sistema, con eventuali deviazioni motivate.
Dichiarazione UE di conformità (Art. 47 + Allegato V)
Una copia della Dichiarazione UE di Conformità (DoC) sottoscritta dal fornitore — il documento con cui il fornitore assume la responsabilità della conformità.
Monitoraggio post-immissione (Art. 72)
Il piano di monitoraggio del sistema in produzione: come si raccolgono i dati di performance, gli incidenti, le richieste degli utenti.
Valutazione d'impatto sui diritti fondamentali (FRIA, Art. 27)
Per i sistemi che lo richiedono, la FRIA documenta come il sistema può incidere sui diritti fondamentali e quali misure di mitigazione sono adottate.
Quello che chiedono i DPO italiani.
Qual è la differenza fra Allegato III e Allegato IV?
L'Allegato III elenca gli 8 ambiti d'uso in cui un sistema di IA è automaticamente ad alto rischio (biometria, infrastrutture critiche, istruzione, lavoro, servizi essenziali, forze dell'ordine, migrazione, giustizia e processi democratici). L'Allegato IV definisce il contenuto del fascicolo tecnico — la documentazione che il fornitore deve produrre per ciascun sistema ad alto rischio. Sono cose distinte: uno classifica, l'altro documenta.Chi è obbligato a redigere l'Allegato IV?
Il fornitore (provider) del sistema di IA ad alto rischio, ai sensi dell'Art. 11. La documentazione tecnica va redatta prima dell'immissione sul mercato e mantenuta accessibile alle autorità nazionali per almeno 10 anni. Il deployer non redige l'Allegato IV ma conserva le istruzioni d'uso (Art. 13) ricevute dal fornitore.Quando si applicano gli obblighi sui sistemi ad alto rischio?
Il pacchetto di obblighi per i sistemi ad alto rischio dell'Allegato III si applica dal 2 dicembre 2027 (termine originale 2 agosto 2026, rinviato dal pacchetto Digital Omnibus). Le pratiche vietate dell'Art. 5 si applicano già dal 2 febbraio 2025. L'obbligo di alfabetizzazione (Art. 4) è in vigore dal 2 febbraio 2025. Gli obblighi GPAI dal 2 agosto 2025.Devo classificare un sistema che usa solo ChatGPT API?
Sì. Anche se il modello sottostante è di un terzo, l'organizzazione che lo integra in un proprio prodotto o processo è deployer (e talvolta fornitore — se il sistema integrato è un nuovo prodotto immesso sul mercato). La classificazione si fa sul sistema integrato, non sul modello sottostante. ChatGPT in un workflow HR di screening CV è un sistema §4 Annex III, alto rischio.L'Art. 6(3) (deroga) si applica al mio caso?
L'Art. 6(3) permette di non classificare alto rischio un sistema dell'Allegato III quando non presenta un rischio significativo per salute, sicurezza o diritti fondamentali. È una valutazione che il fornitore può fare, ma la deve documentare e registrare. La deroga non vale per i sistemi del §1(a) dell'Annex III (biometria). In pratica, vale per sistemi puramente accessori che fanno cose come ordinare risultati o classificare oggetti non-personali — non per sistemi che decidono o supportano decisioni su persone.Come si fa l'audit log richiesto dall'Art. 12?
Il sistema deve generare automaticamente eventi (log) che descrivono il proprio funzionamento. Implementazione tipica: un layer di intercettazione (decoratore, middleware) che persiste su database append-only ogni inferenza con metadati (timestamp, input hash, output, esiti, eventuali errori). In Konformia ogni emissione documentale è loggata su trigger Postgres che impedisce UPDATE/DELETE — è il pattern raccomandato per l'audit log normativo.
Trasforma gli articoli in adempimenti, non in note.
Konformia copre i 9 articoli, classifica sui criteri dell'Allegato III e genera l'Allegato IV in PDF firmabile. Sette modelli pronti, audit log immutabile, cruscotto in italiano.

