In un articolo precedente abbiamo fornito un quadro operativo degli obblighi del deployer ai sensi dell’AI Act, della posizione della Commissione europea sugli AI agent e della tempistica ufficiale per la compliance in materia di trasparenza. Quel post includeva una sintesi degli obblighi previsti dall’Articolo 26 e un framework operativo in sei passaggi.
Questo articolo compie il passo successivo: traduce ogni paragrafo dell’Articolo 26 del Regolamento (UE) 2024/1689 in una checklist strutturata — obbligo per obbligo, azione per azione — identificando la funzione responsabile all’interno dell’organizzazione, la documentazione da produrre e i punti di coordinamento con i relativi obblighi ai sensi del GDPR. La checklist copre anche gli obblighi strettamente connessi di cui all’Articolo 27 (valutazione d’impatto sui diritti fondamentali) e all’Articolo 49, paragrafo 3 (registrazione nella banca dati UE), operativamente inseparabili dal quadro di compliance del deployer.
L’obiettivo è fornire ai deployer di sistemi AI ad alto rischio uno strumento pratico, in vista della data di applicazione del 2 agosto 2026 per i sistemi di cui all’Allegato III.
Ambito di applicazione: a chi si rivolge questa checklist
Questa checklist si applica esclusivamente ai deployer — come definiti dall’Articolo 3, paragrafo 4 dell’AI Act — che utilizzano sistemi AI classificati come ad alto rischio ai sensi dell’Allegato III del Regolamento. Non si applica agli utenti di sistemi a rischio minimo, né agli obblighi di trasparenza di cui all’Articolo 50 (che trattiamo separatamente). Per un quadro generale della classificazione dei rischi e delle sue implicazioni pratiche, si rinvia al nostro quadro operativo.
La checklist del deployer: Art. 26 AI Act e obblighi collegati
1. Uso conforme alle istruzioni (Art. 26(1))
Obbligo. Il deployer deve adottare misure tecniche e organizzative adeguate per assicurare di utilizzare il sistema AI ad alto rischio conformemente alle istruzioni per l’uso che accompagnano il sistema, fornite dal fornitore ai sensi dell’Articolo 13.
Azioni concrete:
- Ottenere, archiviare e distribuire internamente le istruzioni per l’uso fornite dal fornitore.
- Verificare che l’uso effettivo sia allineato alla finalità prevista dichiarata dal fornitore. Qualsiasi uso al di fuori della finalità prevista può comportare una trasformazione del ruolo ai sensi dell’Articolo 25.
- Definire misure tecniche e organizzative che rendano verificabile la conformità dell’uso effettivo alle istruzioni — ad esempio, controlli di accesso, protocolli d’uso, audit periodici delle modalità di utilizzo del sistema.
- Definire un processo documentato per la revisione delle istruzioni ogniqualvolta il fornitore emetta aggiornamenti.
Funzione responsabile: Responsabile compliance o l’unità operativa che gestisce il sistema AI.
Documentazione: Copia archiviata delle istruzioni per l’uso; policy interna di utilizzo allineata alla finalità prevista; descrizione delle misure tecniche e organizzative adottate; registro degli aggiornamenti ricevuti.
2. Sorveglianza umana (Art. 26(2))
Obbligo. Il deployer deve assegnare la sorveglianza umana a persone fisiche che dispongano della competenza, della formazione e dell’autorità necessarie, nonché del necessario supporto.
Azioni concrete:
- Designare formalmente la o le persone responsabili della sorveglianza umana con indicazione del nome, del ruolo e della posizione organizzativa.
- Verificare che le persone designate abbiano ricevuto una formazione adeguata sul sistema specifico (non una formazione generica sull’AI).
- Assicurare che il personale di sorveglianza disponga dell’autorità di sovrastare, sospendere o interrompere il funzionamento del sistema.
- Documentare le linee di reporting: la persona preposta alla sorveglianza deve avere accesso diretto ai decisori che possono intervenire sulla base delle sue valutazioni.
Funzione responsabile: Direzione (per la designazione); risorse umane o unità formazione (per la verifica delle competenze).
Documentazione: Lettera di designazione formale o atto interno; registri della formazione; descrizione dell’autorità e delle procedure di escalation.
Coordinamento. Questo obbligo si interseca con il requisito di AI literacy previsto dall’Articolo 4, applicabile dal 2 febbraio 2025. L’AI literacy costituisce il requisito di base; la competenza per la sorveglianza umana ai sensi dell’Articolo 26(2) è uno standard più elevato, specifico per il singolo sistema.
3. Controllo sui dati di input (Art. 26(4))
Obbligo. Nella misura in cui il deployer esercita un controllo sui dati di input, deve garantire che tali dati siano pertinenti e sufficientemente rappresentativi in vista della finalità prevista del sistema.
Azioni concrete:
- Identificare se il deployer esercita un qualche controllo sui dati di input (diversamente dal caso in cui i dati siano determinati interamente dall’architettura del sistema).
- Ove il controllo sussista, definire criteri di qualità dei dati allineati alla finalità prevista.
- Implementare verifiche o procedure di campionamento per accertare la pertinenza e la rappresentatività dei dati su base continuativa.
Funzione responsabile: Data management o unità IT, in coordinamento con l’unità operativa che utilizza il sistema.
Documentazione: Policy di qualità dei dati per il sistema specifico; registri delle verifiche periodiche; documentazione di eventuali correzioni dei dati.
Coordinamento. Ove i dati di input includano dati personali, l’obbligo di qualità opera parallelamente al principio di esattezza di cui all’Articolo 5, paragrafo 1, lettera d) del GDPR.
4. Monitoraggio, segnalazione dei rischi e sospensione dell’uso (Art. 26(5))
Obbligo. Il deployer deve monitorare il funzionamento del sistema AI ad alto rischio sulla base delle istruzioni per l’uso. Ove il deployer abbia motivo di ritenere che l’uso conforme alle istruzioni possa comportare un rischio ai sensi dell’Articolo 79, paragrafo 1, deve, senza indebito ritardo, informare il fornitore o il distributore e la pertinente autorità di sorveglianza del mercato e sospendere l’uso del sistema. In caso di incidente grave, il deployer deve informare immediatamente prima il fornitore e poi l’importatore o il distributore e la pertinente autorità di sorveglianza del mercato.
Azioni concrete:
- Definire un protocollo di monitoraggio coerente con le istruzioni per l’uso.
- Stabilire soglie e criteri per l’escalation: cosa costituisce un rischio ai sensi dell’Articolo 79(1), cosa costituisce un incidente grave.
- Identificare preventivamente i punti di contatto: fornitore, importatore o distributore (ove applicabile), autorità nazionale di sorveglianza del mercato (in Italia, nel quadro nazionale, ACN è individuata come autorità di sorveglianza del mercato, ferma restando la possibile rilevanza di autorità settoriali nei contesti specifici).
- Implementare una procedura di segnalazione con tempistiche definite per l’escalation interna e la notifica esterna.
- Includere nella procedura un meccanismo di sospensione immediata: se viene identificato un rischio ai sensi dell’Art. 79(1), il sistema deve essere messo fuori servizio in attesa di risoluzione.
Funzione responsabile: Unità operativa che gestisce il sistema (monitoraggio di primo livello); responsabile compliance (escalation, segnalazione e decisione di sospensione).
Documentazione: Protocollo di monitoraggio; procedura di segnalazione degli incidenti e di sospensione; registro degli incidenti, delle notifiche e delle sospensioni; registro dei contatti.
5. Conservazione dei log (Art. 26(6))
Obbligo. Il deployer deve conservare i log generati automaticamente dal sistema AI ad alto rischio, nella misura in cui tali log sono sotto il suo controllo, per un periodo adeguato alla finalità prevista del sistema, pari ad almeno sei mesi, salvo diversa disposizione del diritto dell’Unione o nazionale applicabile.
Azioni concrete:
- Verificare se il sistema genera log automatici e se tali log sono accessibili al deployer.
- Definire una policy di conservazione dei log: minimo sei mesi, o più a lungo se richiesto dalla legislazione settoriale.
- Assicurare che i log siano conservati in modo sicuro e siano recuperabili per l’ispezione da parte delle autorità competenti.
- Coordinare la conservazione dei log con i limiti di conservazione previsti dal GDPR ove i log contengano dati personali.
Funzione responsabile: IT o unità di data management.
Documentazione: Policy di conservazione dei log; descrizione tecnica dell’archiviazione e dell’accesso; registri che dimostrino la conformità al periodo di conservazione.
Coordinamento. Questa è un’intersezione critica con il GDPR. I log possono contenere dati personali (incluse inferenze o decisioni relative a persone fisiche). Il periodo di conservazione ai sensi dell’Articolo 26(6) deve essere riconciliato con il principio di limitazione della conservazione di cui all’Articolo 5, paragrafo 1, lettera e) del GDPR. A mio avviso, l’obbligo dell’AI Act fornisce una base giuridica per il periodo minimo di conservazione, ma il deployer deve comunque assicurare che la conservazione oltre il necessario sia giustificata.
6. Informazione ai lavoratori (Art. 26(7))
Obbligo. Prima di mettere in servizio o utilizzare un sistema AI ad alto rischio nel luogo di lavoro, i deployer che sono datori di lavoro devono informare i rappresentanti dei lavoratori e i lavoratori interessati che saranno soggetti all’uso del sistema.
Azioni concrete:
- Identificare tutti i contesti lavorativi in cui il sistema ad alto rischio riguarderà i lavoratori (direttamente o attraverso decisioni informate dal sistema).
- Predisporre un’informativa chiara e accessibile per i lavoratori e i loro rappresentanti.
- Fornire l’informazione prima della messa in servizio del sistema — non dopo.
- Documentare la consegna e, ove applicabile, qualsiasi consultazione con i rappresentanti dei lavoratori.
Funzione responsabile: Risorse umane, in coordinamento con l’ufficio legale e l’unità operativa.
Documentazione: Informativa; prova della consegna (data, destinatari); verbale di eventuale consultazione con i rappresentanti dei lavoratori.
Coordinamento. Ove applicabile, questo obbligo opera parallelamente ai requisiti del diritto del lavoro nazionale sull’introduzione di tecnologie di monitoraggio nel luogo di lavoro. In Italia, restano applicabili le disposizioni dell’Articolo 4 della Legge n. 300/1970 (Statuto dei Lavoratori) in materia di controllo a distanza.
7. Registrazione e divieto d’uso per deployer pubblici (Art. 26(8))
Obbligo. I deployer che sono autorità pubbliche, o istituzioni, organi e organismi dell’Unione, devono utilizzare il sistema AI ad alto rischio registrato nella banca dati UE di cui all’Articolo 71, salvo che il sistema sia esente dalla registrazione. Se il sistema non è registrato, tali deployer non devono utilizzarlo e devono informare di conseguenza il fornitore o il distributore.
Azioni concrete:
- Determinare se il deployer rientra nell’ambito dell’Articolo 26(8) (autorità pubblica, o istituzione, organo o organismo dell’Unione).
- Verificare che il sistema AI ad alto rischio sia debitamente registrato nella banca dati UE prima del deployment.
- Se il sistema non è registrato: astenersi dall’uso del sistema e notificare formalmente il fornitore o il distributore.
- Prevedere una verifica interna — un gate control prima che qualsiasi nuovo sistema ad alto rischio sia messo in servizio da un deployer pubblico.
Funzione responsabile: Responsabile compliance; unità approvvigionamento o IT (per la verifica pre-deployment).
Documentazione: Registro della verifica di registrazione; ove applicabile, comunicazione formale al fornitore/distributore relativa a sistemi non registrati.
8. Utilizzo delle informazioni del fornitore per la DPIA (Art. 26(9))
Obbligo. Ove il deployer sia tenuto a effettuare una valutazione d’impatto sulla protezione dei dati (DPIA) ai sensi dell’Articolo 35 del GDPR o dell’Articolo 27 della Direttiva (UE) 2016/680 (protezione dei dati in ambito penale), deve utilizzare le informazioni fornite dal fornitore ai sensi dell’Articolo 13 dell’AI Act per adempiere a tale obbligo.
Azioni concrete:
- Determinare se è necessaria una DPIA (i sistemi AI ad alto rischio che trattano dati personali supereranno quasi sempre questa soglia).
- Ottenere e utilizzare la documentazione tecnica e le istruzioni per l’uso fornite dal fornitore come input per la DPIA.
- Integrare nella metodologia della DPIA i rischi specifici dell’AI (bias, opacità, processo decisionale automatizzato).
- Se le informazioni del fornitore sono insufficienti per completare una DPIA significativa, documentare questa lacuna e richiedere informazioni aggiuntive al fornitore.
Funzione responsabile: DPO (per la metodologia e il coordinamento della DPIA); unità operativa (per il dialogo con il fornitore).
Documentazione: Relazione DPIA; registro delle informazioni del fornitore utilizzate; ove applicabile, documentazione delle lacune informative e delle richieste al fornitore.
Coordinamento. La DPIA ai sensi dell’Articolo 35 del GDPR e la valutazione d’impatto sui diritti fondamentali (FRIA) ai sensi dell’Articolo 27 dell’AI Act sono obblighi distinti con ambiti diversi e diverse condizioni di attivazione. La DPIA si concentra sui rischi per la protezione dei dati; la FRIA copre una gamma più ampia di diritti fondamentali. Ove entrambe siano richieste, la FRIA complementa la DPIA — non la sostituisce. Analizzeremo in dettaglio il rapporto tra questi due strumenti in un prossimo articolo.
9. Valutazione d’impatto sui diritti fondamentali (Art. 27)
Obbligo. Prima di mettere in uso un sistema AI ad alto rischio di cui all’Articolo 6, paragrafo 2, i deployer devono effettuare una FRIA se sono: (a) organismi di diritto pubblico; (b) soggetti privati che erogano servizi pubblici; oppure (c) deployer di sistemi di cui all’Allegato III, punto 5, lettera b) (valutazione del merito creditizio) e punto 5, lettera c) (valutazione del rischio e determinazione dei prezzi per assicurazioni sulla vita e sulla salute). Fanno eccezione i sistemi di cui all’Allegato III, punto 2 (infrastrutture critiche).
Azioni concrete:
- Determinare se il deployer rientra nell’ambito dell’Articolo 27 — tenendo presente che l’ambito soggettivo è diverso da quello dell’Art. 26(8) e dell’Art. 49(3).
- Identificare le categorie di persone e gruppi che possono essere interessati.
- Valutare i rischi specifici per i diritti fondamentali nel contesto specifico di utilizzo.
- Identificare le misure di mitigazione del rischio, incluse le modalità di sorveglianza umana.
- Notificare i risultati della valutazione all’autorità di sorveglianza del mercato (Art. 27(3)).
- Ove alcuni profili di rischio siano già coperti da una DPIA ai sensi dell’Articolo 35 del GDPR, la FRIA complementa l’analisi — non la sostituisce né la assorbe.
Funzione responsabile: Ufficio legale o responsabile compliance, in coordinamento con l’unità operativa e, ove applicabile, il DPO.
Documentazione: Relazione FRIA; notifica all’autorità di sorveglianza del mercato (Art. 27(3)); registro delle misure di mitigazione adottate.
10. Regola speciale per i deployer delle forze dell’ordine: identificazione biometrica a distanza a posteriori (Art. 26(10))
Obbligo. I deployer di sistemi AI ad alto rischio per l’identificazione biometrica a distanza a posteriori nell’ambito dell’attività di contrasto sono soggetti a requisiti aggiuntivi specifici. Devono ottenere un’autorizzazione — preventiva o entro 48 ore dall’uso — da parte di un’autorità giudiziaria o di un’autorità amministrativa indipendente. Se l’autorizzazione viene negata, il deployer deve interrompere immediatamente l’uso e cancellare i dati e i risultati collegati a tale uso. Ogni uso deve essere documentato, e il deployer deve presentare relazioni annuali alla pertinente autorità nazionale di sorveglianza del mercato e all’autorità nazionale di protezione dei dati, contenenti il numero e le circostanze degli usi, il tipo di sistema utilizzato e le autorizzazioni ottenute o negate.
Azioni concrete:
- Determinare se il sistema ad alto rischio rientra nella categoria dell’identificazione biometrica a distanza a posteriori utilizzata a fini di contrasto.
- Ove applicabile, definire una procedura per la richiesta di autorizzazione all’autorità giudiziaria o amministrativa indipendente competente — preventivamente o entro 48 ore.
- Implementare un meccanismo di arresto e cancellazione immediata in caso di rifiuto dell’autorizzazione.
- Documentare ciascun singolo uso del sistema con tutte le circostanze rilevanti.
- Predisporre e presentare relazioni annuali all’autorità di sorveglianza del mercato e all’autorità di protezione dei dati.
Funzione responsabile: Unità di polizia/forze dell’ordine che utilizza il sistema; ufficio legale (per le richieste di autorizzazione); DPO (per le relazioni annuali all’autorità di protezione dei dati).
Documentazione: Registro di ciascun uso; richieste di autorizzazione e relative decisioni; registri di cancellazione in caso di rifiuto; relazioni annuali.
Coordinamento. Questo obbligo opera parallelamente ai requisiti della Direttiva (UE) 2016/680 (Direttiva Law Enforcement) sul trattamento dei dati personali a fini di contrasto.
11. Informazione alle persone interessate (Art. 26(11))
Obbligo. I deployer di sistemi AI ad alto rischio di cui all’Allegato III che prendono decisioni o assistono nel prendere decisioni relative a persone fisiche devono informare tali persone del fatto che sono soggette all’uso del sistema AI ad alto rischio.
Azioni concrete:
- Identificare tutte le decisioni (o i processi di supporto decisionale) in cui è coinvolto il sistema ad alto rischio.
- Predisporre un’informativa chiara e accessibile per le persone interessate.
- Assicurare che l’informazione sia fornita proattivamente — non solo su richiesta.
- Ove applicabile, coordinare con gli obblighi di trasparenza di cui all’Articolo 50.
Funzione responsabile: Unità operativa che gestisce il sistema; ufficio legale (per il contenuto dell’informativa).
Documentazione: Informativa; registrazione del metodo e della tempistica di consegna.
Coordinamento. Questo obbligo opera parallelamente agli obblighi informativi di cui agli Articoli 13-14 del GDPR (informazioni da fornire all’interessato) e al diritto di non essere sottoposti a un processo decisionale automatizzato ai sensi dell’Articolo 22 del GDPR.
12. Registrazione nella banca dati UE da parte dei deployer (Art. 49(3))
Obbligo. I deployer che sono autorità pubbliche, istituzioni, organi e organismi dell’Unione devono registrare l’uso del sistema AI ad alto rischio nella banca dati UE istituita dall’Articolo 71 — con l’eccezione dei sistemi di cui all’Allegato III, punto 2 (infrastrutture critiche). Questo obbligo si applica ai deployer pubblici e alle persone che agiscono per loro conto; non si estende a tutti i soggetti privati che erogano servizi pubblici (diversamente dalla FRIA di cui all’Art. 27).
Azioni concrete:
- Determinare se il deployer rientra nell’ambito dell’obbligo di registrazione ai sensi dell’Art. 49(3), che è più ristretto rispetto all’ambito dell’Art. 27.
- Preparare le informazioni richieste per la registrazione.
- Completare la registrazione prima della messa in servizio del sistema.
Funzione responsabile: Responsabile compliance.
Documentazione: Conferma di registrazione; registro delle informazioni presentate.
13. Cooperazione con le autorità (Art. 26(12))
Obbligo. Il deployer deve cooperare con le autorità competenti pertinenti in qualsiasi azione che tali autorità intraprendano in relazione al sistema AI ad alto rischio.
Azioni concrete:
- Identificare preventivamente le autorità nazionali competenti (in Italia, nel quadro nazionale, ACN è individuata come autorità di sorveglianza del mercato e AgID come autorità di notifica, ferma restando la possibile rilevanza di autorità settoriali nei contesti specifici).
- Designare un punto di contatto interno per le richieste delle autorità.
- Assicurare che la documentazione pertinente (log, FRIA, DPIA, registri di monitoraggio) sia accessibile e producibile su richiesta.
Funzione responsabile: Responsabile compliance; ufficio legale.
Documentazione: Registro dei contatti delle autorità competenti; procedura interna per la risposta alle richieste delle autorità.
Tabella di sintesi
| Disposizione | Obbligo | Azioni chiave | Responsabile | Documentazione |
|---|---|---|---|---|
| ARTICOLO 26 — OBBLIGHI DEL DEPLOYER | ||||
| Art. 26(1) | Uso conforme alle istruzioni (TOMs) | Archiviare le istruzioni; allineare l'uso alla finalità prevista; definire misure tecniche e organizzative; aggiornare | Compliance / Operazioni | Archivio istruzioni; policy di utilizzo; descrizione TOMs |
| Art. 26(2) | Sorveglianza umana | Designare, formare, dotare di autorità le persone preposte; assicurare autorità di sospensione | Direzione / HR | Atto di designazione; registri formativi |
| Art. 26(4) | Qualità dei dati di input | Definire criteri di qualità; verifiche periodiche su pertinenza e rappresentatività | Data management / IT | Policy qualità dati; registri verifiche |
| Art. 26(5) | Monitoraggio, segnalazione e sospensione | Protocollo di monitoraggio; soglie di escalation; meccanismo di sospensione immediata in caso di rischio ex Art. 79(1); contatti autorità | Operazioni / Compliance | Protocollo; registro incidenti; registro sospensioni |
| Art. 26(6) | Conservazione dei log | Policy di conservazione (min. 6 mesi); archiviazione sicura; coordinamento con limitazione GDPR (Art. 5(1)(e)) | IT / Data management | Policy conservazione; descrizione storage |
| Art. 26(7) | Informazione ai lavoratori | Informativa ai lavoratori; consegna prima del deployment; documentare consegna e consultazione | HR / Legale | Informativa; prova di consegna |
| Art. 26(8) | Gate di registrazione (deployer pubblici) | Verificare che il sistema sia registrato nella banca dati UE; se non registrato: non usare e notificare il fornitore/distributore | Compliance / Approvv. | Registro verifica; comunicazione al fornitore |
| Art. 26(9) | Info fornitore per DPIA | Ottenere e utilizzare la documentazione del fornitore (Art. 13) per la DPIA (Art. 35 GDPR); documentare lacune informative | DPO / Operazioni | Relazione DPIA |
| Art. 26(10) | Identificazione biometrica a posteriori (law enforcement) | Autorizzazione (preventiva o entro 48h); arresto e cancellazione se negata; documentare ogni uso; relazioni annuali a MSA e DPA | Forze dell'ordine / Legale / DPO | Registri d'uso; decisioni di autorizzazione; relazioni annuali |
| Art. 26(11) | Informazione agli interessati | Identificare le decisioni coinvolte; informativa chiara; proattiva | Operazioni / Legale | Informativa |
| Art. 26(12) | Cooperazione con le autorità | Identificare autorità nazionali competenti; punto di contatto interno; documentazione accessibile su richiesta | Compliance / Legale | Registro contatti; procedura di risposta |
| OBBLIGHI COLLEGATI | ||||
| Art. 27 | Valutazione d'impatto sui diritti fondamentali | Ambito: organismi pubblici, privati che erogano servizi pubblici, credit/insurance (All. III 5(b)(c)), escl. All. III pt. 2. Valutare rischi per i diritti fondamentali; notificare MSA (Art. 27(3)). La FRIA complementa la DPIA — non la sostituisce | Legale / Compliance / DPO | Relazione FRIA; notifica all'autorità |
| Art. 49(3) | Registrazione banca dati UE (deployer) | Ambito: autorità pubbliche, istituzioni/organi/organismi UE e persone che agiscono per loro conto — più ristretto dell'Art. 27. Escl. All. III pt. 2. Registrare prima del deployment | Compliance | Conferma di registrazione |
Gli obblighi collegati (evidenziati) non fanno parte dell'Art. 26 ma sono operativamente inseparabili dal quadro di compliance del deployer. Questa tabella è una guida operativa e non sostituisce la qualificazione giuridica caso per caso.
Tempistica e priorità
Gli obblighi dell’Articolo 26 diventano applicabili il 2 agosto 2026 per i sistemi ad alto rischio elencati nell’Allegato III. Il diritto vigente resta quello dell’AI Act nella sua formulazione attuale: il Digital Omnibus on AI, attualmente in fase di trilogo, prevede un rinvio al 2 dicembre 2027 per i sistemi stand-alone di cui all’Allegato III e al 2 agosto 2028 per i sistemi integrati in prodotti regolamentati, ma il processo legislativo non si è ancora concluso e il testo non è stato adottato. Le organizzazioni dovrebbero pianificare sulla base della tempistica vigente — 2 agosto 2026 per l’applicazione generale degli obblighi sui sistemi ad alto rischio, 2 agosto 2027 per i sistemi AI ad alto rischio che sono componenti di sicurezza di prodotti coperti dalla legislazione di armonizzazione dell’Unione (Allegato I) — monitorando al contempo il processo legislativo.
Tuttavia, l’obbligo di AI literacy ai sensi dell’Articolo 4, che è un presupposto per un’efficace sorveglianza umana ai sensi dell’Articolo 26(2), è applicabile dal 2 febbraio 2025. Questo significa che i deployer dovrebbero già investire nello sviluppo delle competenze — senza attendere agosto 2026.
La sequenza raccomandata per l’implementazione è:
- Ora: Classificare i sistemi AI; garantire l’AI literacy (Art. 4); avviare la formazione del personale di sorveglianza.
- Q2 2026: Condurre DPIA e FRIA ove richiesto; predisporre le informative; definire i protocolli di monitoraggio e sospensione.
- Entro il 2 agosto 2026: Completare la registrazione nella banca dati UE (ove applicabile); finalizzare le policy di conservazione dei log; formalizzare tutta la documentazione.
Checklist scaricabile
Una versione PDF di questa checklist — strutturata per obbligo, con spazio per il tracciamento dello stato di conformità — è disponibile per il download.
Nota conclusiva
L’Articolo 26 dell’AI Act viene spesso riassunto in pochi punti. Nella pratica, ogni obbligo richiede coordinamento interno, processi documentati e, in diversi casi, un dialogo attivo con il fornitore. La checklist qui presentata non sostituisce un’analisi giuridica caso per caso, che dipende dal sistema specifico, dal contesto di deployment e dalla legislazione settoriale applicabile. Costituisce, tuttavia, un punto di partenza per una preparazione strutturata.
La precisione regolatoria non è un lusso accademico. È una responsabilità professionale.
Per un quadro operativo sugli obblighi del deployer, sugli AI agent e sulla trasparenza, si veda: AI Act: Deployer, AI Agents e obblighi di trasparenza — Lo stato dell’arte nella primavera 2026.
Gli Hub interattivi del blog offrono strumenti di supporto decisionale per identificare il proprio ruolo e mappare i propri obblighi: