L'EU AI Act e il tuo sistema di gestione documentale
Una guida pratica, funzione per funzione, su cosa significa l'EU AI Act per i sistemi di gestione documentale con IA: OCR, auto-tagging, chatbot e tutto il resto.
Ultimo aggiornamento: Aprile 2026
In breve
- → La maggior parte delle funzioni AI in un sistema di gestione documentale — OCR, auto-classificazione, estrazione di metadati, ricerca — rientra nel rischio minimo e non comporta obblighi specifici oltre alla formazione sull'alfabetizzazione AI.
- → Se il tuo DMS ha un chatbot AI o genera testo (riassunti, traduzioni), tali funzioni sono a rischio limitato e richiedono un'etichettatura di trasparenza entro il 2 agosto 2026.
- Conclusione: L'EU AI Act non è così spaventoso come suggeriscono i titoli dei giornali, ma la scadenza del 2 agosto è reale e l'Articolo 4 (alfabetizzazione AI) si applica già da febbraio 2025. Continua a leggere per l'analisi completa.
Cosa succede il 2 agosto 2026?
L'EU AI Act (Regolamento 2024/1689) è entrato in vigore il 1° agosto 2024, ma i suoi obblighi vengono introdotti gradualmente. La più grande ondata di applicazione arriva il 2 agosto 2026: è allora che diventeranno applicabili simultaneamente gli obblighi di trasparenza per i sistemi a rischio limitato, il regime completo di conformità per l'alto rischio, gli obblighi per gli utilizzatori (deployer) e l'applicazione delle sanzioni.
Se gestisci o utilizzi un sistema di gestione documentale con funzioni AI nell'UE, questa cronologia è fondamentale. Alcuni obblighi sono già in vigore. Altri arriveranno tra pochi mesi.
| Data | Cosa si applica | Stato |
|---|---|---|
| 1 ago 2024 | L'AI Act entra in vigore (Regolamento UE 2024/1689 pubblicato sulla Gazzetta Ufficiale) | Completato |
| 2 feb 2025 | Divieto delle pratiche vietate dall'Articolo 5 — L'obbligo di alfabetizzazione AI dell'Articolo 4 si applica a tutti i fornitori e utilizzatori | In vigore |
| 2 ago 2025 | Obblighi per i modelli di AI per scopi generali (Artt. 51–56) — si applica ai fornitori di modelli di base come OpenAI, Google, Anthropic | In vigore |
| 2 ago 2026 | Obblighi di trasparenza dell'Articolo 50, requisiti per i sistemi ad alto rischio dell'Allegato III (Artt. 8–15), obblighi per gli utilizzatori (Art. 26), registrazione nel database UE, poteri di esecuzione e sanzioni | Mancano 97 giorni |
| 2 ago 2026 | Trasparenza: tutti i chatbot AI devono dichiarare la propria natura; tutti i contenuti generati dall'AI devono recare marcature leggibili da una macchina | Scadenza |
| 2 ago 2027 | Sistemi ad alto rischio dell'Allegato I — IA incorporata in prodotti regolamentati (dispositivi medici, veicoli, macchinari) | In arrivo |
Il Digital Omnibus Act, attualmente in fase di negoziati di trilogo, potrebbe far slittare le scadenze per i sistemi ad alto rischio (Allegato III) a dicembre 2027. Tuttavia, gli obblighi di trasparenza ai sensi dell'Articolo 50 e il requisito di AI literacy previsto dall'Articolo 4 non sono influenzati da alcun rinvio proposto. Pianifica per il 2 agosto 2026.
I quattro livelli di rischio, spiegati
L'EU AI Act classifica i sistemi di IA in quattro livelli in base al danno potenziale. Maggiore è il rischio, più severi sono gli obblighi. Per la gestione documentale, comprendere questi livelli è essenziale, poiché il livello determina se non è necessario fare nulla, aggiungere un'etichetta informativa o sottoporsi a una valutazione completa della conformità.
La stragrande maggioranza delle funzioni AI nei software di gestione documentale — OCR, classificazione automatica, estrazione di metadati, ricerca full-text — rientra perfettamente nella categoria a rischio minimo. Si tratta di compiti procedurali limitati che non prendono decisioni sulle persone. La sezione successiva analizza questo aspetto funzione per funzione.
| Livello di rischio | Cosa rientra qui | Obblighi | Sanzione max |
|---|---|---|---|
| Vietato | Social scoring, manipolazione subliminale, identificazione biometrica in tempo reale in spazi pubblici, riconoscimento delle emozioni sul posto di lavoro | Divieto assoluto (Art. 5) | €35 mln / 7% |
| Alto rischio | IA in biometria, infrastrutture critiche, occupazione, credit scoring, istruzione, forze dell'ordine, migrazione | Piena conformità: gestione dei rischi, governance dei dati, documentazione tecnica, registrazione log, supervisione umana, valutazione della conformità, marcatura CE (Artt. 8–15) | €15 mln / 3% |
| Rischio limitato | Chatbot IA, contenuti generati dall'IA (testo, immagini, audio, video), riconoscimento delle emozioni, deepfake | Solo trasparenza: informare gli utenti della natura dell'IA, contrassegnare i contenuti generati dall'IA in formato leggibile meccanicamente (Art. 50) | €15 mln / 3% |
| Rischio minimo | Filtri antispam, IA nei videogiochi, ranking di ricerca, OCR, autoclassificazione, la maggior parte dei software aziendali | Nessun obbligo vincolante — solo l'Art. 4 sull'alfabetizzazione AI (si applica a tutti i livelli). Incoraggiati codici di condotta volontari | €7,5 mln / 1% |
Una sfumatura importante: la classificazione del rischio dipende da ciò che l'IA fa, non da chi la costruisce. Una startup di 3 persone e una società Fortune 500 affrontano gli stessi obblighi per lo stesso sistema di IA. La legge regola la tecnologia, non l'organizzazione.
In quale categoria rientra il tuo DMS? Classificazione funzione per funzione
Qui è dove la maggior parte delle guide sull'EU AI Act fallisce. Spiegano i livelli di rischio in astratto ma non collegano mai le funzionalità specifiche del software ai singoli livelli. Se gestisci un sistema di gestione documentale con IA, ecco esattamente dove si colloca ogni funzione.
La classificazione seguente presuppone una gestione documentale aziendale generale: fatture, contratti, ricevute, corrispondenza, polizze assicurative. Se il tuo DMS viene utilizzato in un ambito ad alto rischio (selezione del personale, decisioni sul credito, triage medico), la classificazione potrebbe salire. Il contesto conta.
| Funzione DMS | Livello di rischio | Cosa devi fare |
|---|---|---|
| OCR (estrazione testo da scansioni) | Minimo | Nessun obbligo specifico. L'OCR è un'utilità di riconoscimento del testo — non prende decisioni sulle persone. |
| Autoclassificazione (fattura, contratto, ricevuta) | Minimo | Nessun obbligo specifico. Il riconoscimento di pattern per l'archiviazione è un "compito procedurale circoscritto" ai sensi dell'Art. 6(3)(a) — non rientra in nessuna categoria dell'Allegato III. |
| Estrazione metadati (date, importi, entità) | Minimo | Nessun obbligo specifico. L'estrazione di dati strutturati dai documenti è un'elaborazione preparatoria, non un sistema decisionale. |
| Chatbot IA (domande sui documenti, ricerca file) | Limitato | Art. 50(1): Gli utenti devono essere informati che stanno interagendo con un'IA prima o all'inizio dell'interazione. Un'etichetta visibile come "Assistente IA" o un'icona Sparkles con testo informativo soddisfa questo requisito. |
| Sintesi e testi generati dall'IA | Limitato | Art. 50(2): Il testo sintetico deve essere contrassegnato come generato dall'IA in un formato leggibile meccanicamente. Eccezione: "funzione di assistenza per l'editing standard" che non altera sostanzialmente la semantica dell'input. |
| Traduzione documenti tramite IA | Limitato | Art. 50(2): Il risultato tradotto è testo generato dall'AI. Contrassegnarlo come tale con metadati leggibili dalla macchina — a meno che il risultato non segua fedelmente il materiale sorgente (eccezione per l'editing assistito). |
| Decisioni su assunzioni o credito basate su IA | Alto rischio | Piena conformità agli Artt. 8–15: sistema di gestione dei rischi, governance dei dati, documentazione tecnica, registrazione automatica dei log, supervisione umana, valutazione della conformità, marcatura CE, registrazione nel database UE. |
Il meccanismo legale chiave che tiene la maggior parte delle funzioni DMS fuori dal territorio dell'alto rischio è l'Articolo 6(3). Esso prevede deroghe esplicite per i sistemi di IA che svolgono "compiti procedurali circoscritti" (6(3)(a)), compiti che "migliorano il risultato di un'attività umana precedentemente completata" (6(3)(b)), o "compiti preparatori a una valutazione pertinente ai fini dei casi d'uso elencati nell'Allegato III" (6(3)(d)). L'autoclassificazione che ordina le fatture in categorie è un compito procedurale circoscritto. L'estrazione di metadati che recupera date e importi dai contratti è un compito preparatorio. Nessuno dei due influenza materialmente una decisione su una persona.
Tuttavia: se la classificazione automatica del tuo DMS viene utilizzata per smistare candidature di lavoro per un processo di selezione, o per indirizzare richieste di risarcimento assicurativo verso l'approvazione o il rifiuto, quella stessa funzione potrebbe essere riclassificata come ad alto rischio — perché il contesto la sposta in un dominio dell'Allegato III (occupazione o accesso a servizi essenziali). Non è la funzione in sé a determinare il livello di rischio, ma il caso d'uso.
Articolo 50: Gli obblighi di trasparenza applicabili al tuo chatbot IA
Se il tuo sistema di gestione documentale include un chatbot AI, una funzione di riassunto o qualsiasi forma di testo generato dall'AI, si applica l'Articolo 50. Questo è l'obbligo più rilevante per la maggior parte dei prodotti DMS — e diventerà esecutivo il 2 agosto 2026.
L'Articolo 50 prevede tre sotto-obblighi rilevanti per la gestione documentale:
Informativa sull'interazione con l'IA
Qualsiasi sistema di IA progettato per interagire con le persone deve informarle che si tratta di un'IA — prima o all'inizio dell'interazione. Non deve essere sepolto nei termini di servizio, ma chiaro al punto di contatto. Eccezione: quando è "ovvio dalle circostanze" — uno standard difficile da soddisfare.
Contrassegno dei contenuti generati dall'IA
Testi, audio, immagini o video sintetici devono essere contrassegnati come generati dall'IA in un formato leggibile meccanicamente (metadati C2PA, filigrane o simili). Deve essere efficace, interoperabile, robusto e affidabile. Eccezione: editing assistito che non altera sostanzialmente l'input.
Divulgazione di deepfake / testi IA
I contenuti generati dall'IA pubblicati per il consumo pubblico devono essere visibilmente etichettati. Gli utilizzatori devono preservare i contrassegni leggibili meccanicamente dei fornitori e aggiungere etichette visibili al momento della pubblicazione.
Per un DMS, l'impatto pratico è diretto. Se il tuo sistema ha una funzione di chat AI, mostra un indicatore chiaro che l'utente sta interagendo con l'AI — un'etichetta, un'icona a forma di scintilla o un segnale visivo simile. Se il tuo sistema genera riassunti, traduzioni o spiegazioni, contrassegnali come generati dall'AI nell'interfaccia e, idealmente, nei metadati del documento. Non sono requisiti onerosi. La maggior parte dei moderni prodotti DMS con funzioni AI lo fa già o può implementarlo in poche ore.
La distinzione tra fornitore e utilizzatore (deployer) è fondamentale. L'AI Act pone l'obbligo di progettare le funzioni di trasparenza in capo al fornitore (l'azienda che costruisce il software) e l'obbligo di configurarle e visualizzarle in capo all'utilizzatore (l'azienda che usa il software). Se sei un fornitore di DMS SaaS, sei il fornitore: devi integrare il meccanismo di informativa nel tuo prodotto. Se sei un'azienda che usa un DMS, sei l'utilizzatore: devi assicurarti che l'informativa sia visibile ai tuoi utenti.
Articolo 4: L'AI literacy è già obbligatoria
Questo è l'obbligo che la maggior parte delle organizzazioni ha trascurato. L'Articolo 4 richiede a tutti i fornitori e utilizzatori di sistemi di IA — indipendentemente dal livello di rischio — di garantire un "livello sufficiente di AI literacy" tra il personale e chiunque utilizzi l'IA per loro conto. È in vigore dal 2 febbraio 2025.
Già in vigore dal 2 febbraio 2025
L'Articolo 4 si applica a ogni azienda che utilizza l'AI — incluso il tuo sistema di gestione documentale. Se non hai ancora iniziato la formazione sull'alfabetizzazione AI, sei già in ritardo. Non è richiesta alcuna certificazione, ma la formazione deve essere documentata e dimostrabile in caso di audit.
Cosa significa concretamente "AI literacy"? Le linee guida della Commissione UE chiariscono che non basta indicare al personale il manuale d'uso del sistema IA. Un programma conforme dovrebbe coprire:
- 1.Cos'è l'AI e come funziona — adeguato al pubblico (dirigenti, ingegneri e utenti finali necessitano di diversi livelli di approfondimento)
- 2.Capacità e limiti degli specifici sistemi di IA implementati dall'organizzazione
- 3.Rischi inclusi bias, errori, allucinazioni e implicazioni per la privacy
- 4.Responsabilità della supervisione umana — cosa fare quando l'AI produce risultati inaspettati, errati o dannosi
- 5.La pertinenza dell'EU AI Act per lo specifico ruolo della persona
- 6.Documentazione: una politica scritta sull'AI literacy con ambito, ruoli, aree di contenuto, registri di presenza alla formazione e una cadenza di revisione
Per un piccolo team che utilizza un DMS con IA, questo non richiede un programma di formazione formale. Può essere semplice come una riunione interna documentata in cui si spiega: quali funzioni IA sono presenti negli strumenti che usiamo, cosa possono e non possono fare e cosa fare quando i risultati sembrano errati. Documenta la sessione, annota i partecipanti e programma un aggiornamento annuale. Questo è sufficiente per la maggior parte degli scenari a rischio minimo e limitato.
Il Digital Omnibus Act: le scadenze cambieranno?
Il 19 novembre 2025, la Commissione Europea ha proposto il Digital Omnibus Act — un pacchetto di semplificazione legislativa che modifica l'AI Act insieme ad altri regolamenti digitali (GDPR, Data Act, NIS 2). Tra le altre modifiche, propone di spostare la scadenza per i sistemi ad alto rischio dell'Allegato III dal 2 agosto 2026 al 2 dicembre 2027.
Ad aprile 2026, l'Omnibus è in fase di negoziati di trilogo. Il Parlamento Europeo ha adottato la sua posizione con 569 voti favorevoli e 45 contrari a marzo 2026. Anche il Consiglio ha adottato il suo mandato a marzo. Non è ancora stato adottato come legge. Le date originali rimangono legalmente vincolanti.
NON interessati dall'Omnibus — resta il 2 agosto 2026
- ×Obblighi di trasparenza dell'Articolo 50 (informativa chatbot, contrassegno contenuti)
- ×AI literacy dell'Articolo 4 (già in vigore da feb 2025)
- ×Pratiche vietate dell'Articolo 5 (già in vigore da feb 2025)
- ×Obblighi per i modelli GPAI (in vigore da ago 2025)
Potrebbero essere ritardati SE l'Omnibus passa
- ✓Obblighi per i sistemi ad alto rischio dell'Allegato III (Artt. 8–15) — rinvio proposto a dicembre 2027
- ✓Sistemi ad alto rischio integrati nei prodotti dell'Allegato I — rinvio proposto ad agosto 2028
Il consiglio pratico: non usare l'Omnibus come scusa per rimandare. Anche se le scadenze per l'alto rischio dovessero spostarsi, il lavoro di governance — inventario AI, classificazione del rischio, documentazione, logging, progettazione della supervisione — rimane identico. E gli obblighi che contano di più per i prodotti DMS (trasparenza e alfabetizzazione) non sono influenzati. Preparati ora, e un potenziale ritardo diventerà tempo extra per rifinire invece di tempo perso.
Cosa fare questo mese: una checklist pratica
Sia che tu sviluppi, venda o utilizzi un sistema di gestione documentale con funzioni AI, ecco cosa dovresti fare entro il 2 agosto 2026. I passaggi sono ordinati per urgenza — inizia dall'alto.
Affronta subito l'AI literacy (già in ritardo)
L'Articolo 4 è in vigore da febbraio 2025. Tieni una sessione interna sugli strumenti IA usati dal tuo team. Documenta cosa è stato trattato, chi ha partecipato e quando. Può essere una riunione di 90 minuti, non un corso di più settimane. Programma un aggiornamento annuale.
Inventaria le tue funzioni IA
Elenca ogni funzione basata su IA nel tuo stack software: OCR, autoclassificazione, chatbot, sintesi, traduzione, motore di raccomandazione. Per ognuna, annota se interagisce direttamente con gli utenti e se genera contenuti.
Classifica ogni funzione per livello di rischio
Usa la tabella nella Sezione 3 di questa guida. Associa ogni funzione IA a un livello di rischio. Documenta il tuo ragionamento: è il registro che un auditor chiederebbe. La maggior parte delle funzioni DMS sarà a rischio minimo o limitato.
Implementa l'etichettatura di trasparenza
Per qualsiasi funzione a rischio limitato (chatbot, generazione testo): aggiungi un'informativa IA visibile al punto di interazione. Per il testo generato dall'IA: aggiungi metadati leggibili meccanicamente che lo contrassegnino come sintetico. Verifica che le informative siano visibili alla prima interazione, non nascoste nelle impostazioni.
Rivedi il tuo audit trail
Sebbene non sia obbligatorio per i sistemi a rischio minimo, mantenere log degli output generati dall'IA, delle correzioni degli utenti e delle decisioni del sistema è un'ottima pratica. Se il tuo DMS ha già un audit trail (la maggior parte lo ha), verifica che copra le azioni dell'IA, non solo l'accesso ai documenti.
Documenta tutto
Crea un semplice registro di conformità: il tuo inventario IA, la classificazione del rischio, le prove della formazione sull'AI literacy e l'implementazione della trasparenza. Questo documento non deve essere esteso: un riepilogo interno di 2-3 pagine è sufficiente per la maggior parte delle PMI che operano con sistemi a rischio minimo/limitato.
Realtà delle PMI: cosa deve fare effettivamente un piccolo team
Non esiste un'esenzione per dimensioni nell'EU AI Act. Una startup di 3 persone affronta gli stessi obblighi di una società Fortune 500 per lo stesso sistema di IA. La legge regola ciò che l'IA fa, non chi la gestisce.
Detto questo, l'AI Act non ignora la realtà delle PMI. Diverse disposizioni agevolano specificamente le aziende più piccole: sanzioni ridotte, documentazione semplificata, accesso prioritario alle sandbox e tariffe ridotte per la valutazione della conformità.
Ecco cosa offre l'EU AI Act specificamente per le piccole e medie imprese:
| Disposizione | Cosa significa per le PMI |
|---|---|
| Art. 99(6) — Tetti alle sanzioni | Per le PMI si applica la minore delle due alternative di sanzione. Violazioni proibite: tetto a 35 milioni di € (non il 7% del fatturato). Alto rischio: tetto a 15 milioni di € (non il 3%). Ciò significa che una piccola azienda non riceverà mai una multa basata sulla percentuale del fatturato se il tetto fisso è inferiore. |
| Art. 63 — QMS semplificato | Le microimprese (<10 dipendenti, <2 milioni di € di fatturato) possono conformarsi a parti del Sistema di Gestione della Qualità in modo semplificato. Meno burocrazia, stessi principi. |
| Artt. 62–63 — Sandbox normative | Ogni Stato membro dell'UE deve istituire almeno una sandbox normativa entro agosto 2026. PMI e startup hanno accesso prioritario con tariffe ridotte o esentate. |
| Art. 11(2) — Documentazione semplificata | La Commissione ha il potere di creare un formato di documentazione tecnica semplificato (Allegato IV) specificamente per PMI e startup. |
Per una tipica azienda di 5 persone che utilizza un DMS con AI: il tuo sforzo totale di conformità sarà probabilmente una sessione documentata di alfabetizzazione AI, un inventario delle funzioni AI (una pagina), una classificazione del rischio (la maggior parte delle funzioni sarà a rischio minimo) e la verifica che il tuo fornitore di DMS abbia implementato le etichette di trasparenza. Costo diretto stimato: da zero a poche centinaia di euro. Tempo stimato: 10–15 ore lavorative distribuite su alcune settimane. Questa è la realtà onesta per la maggior parte delle piccole imprese che usano l'AI nella gestione documentale.
Come Veluvanto aiuta con la conformità all'EU AI Act
Veluvanto è stato progettato tenendo conto dei requisiti normativi dell'UE fin dal primo giorno. Ecco cosa offre già la piattaforma per la conformità all'AI Act — senza configurazioni aggiuntive:
- ✓Informativa sull'interazione con l'IA: ogni risposta generata dall'IA nella chat di Veluvanto è contrassegnata da un'icona Sparkles, che indica chiaramente il contenuto generato dall'IA. Gli utenti sanno sempre quando stanno interagendo con l'IA.
- ✓Audit trail: tutte le azioni dell'AI — analisi dei documenti, query in chat, assegnazione di tag, creazione di promemoria — sono registrate con timestamp, ID utente e dettagli dell'azione. Questo soddisfa le migliori pratiche di logging per i sistemi a rischio limitato.
- ✓Tracciamento dell'utilizzo AI: i record di utilizzo per utente tracciano il consumo di crediti AI, il modello utilizzato e il tipo di azione — fornendo il logging granulare che supporta i requisiti di responsabilità.
- ✓Residenza dei dati in UE: tutti i dati sono archiviati ed elaborati in data center dell'UE. Nessun instradamento flessibile, nessun fallback negli USA, nessuna eccezione. I tuoi documenti non lasciano mai l'UE.
- ✓Controllo dell'utente sulle azioni dell'IA: gli utenti possono rivedere, modificare e sovrascrivere qualsiasi classificazione, tag o metadato generato dall'IA in qualsiasi momento. L'IA lavora in background per farti risparmiare tempo, ma tu mantieni il controllo dei tuoi documenti.
- ✓Nessun addestramento sui tuoi dati: Veluvanto non utilizza mai i documenti dei clienti per addestrare i modelli di IA. I tuoi dati sono elaborati esclusivamente a tuo vantaggio.
Queste funzionalità non rendono la conformità automatica — è comunque necessario gestire la formazione sull'alfabetizzazione AI e mantenere la propria documentazione. Tuttavia, significano che la piattaforma su cui ti affidi è già costruita per il contesto normativo futuro.
Fonti e approfondimenti
Questa guida si basa sul testo ufficiale dell'EU AI Act e su analisi autorevoli. Per il regolamento completo e gli articoli specifici citati, consulta le fonti seguenti.
- Testo completo dell'AI Act dell'UE — Regolamento (UE) 2024/1689 — Gazzetta ufficiale dell'Unione europea (eur-lex.europa.eu)
- Articolo 50 (Obblighi di trasparenza per i sistemi a rischio limitato) — artificialintelligenceact.eu/article/50
- Articolo 6 e Allegato III (Classificazione ad alto rischio e deroghe) — artificialintelligenceact.eu/article/6 e artificialintelligenceact.eu/annex/3
- Domande e risposte della Commissione UE sull'alfabetizzazione AI — digital-strategy.ec.europa.eu
- Digital Omnibus Act — Posizione del Parlamento europeo adottata il 26 marzo 2026 (europarl.europa.eu)
- Articolo 99 (Sanzioni e disposizioni per le PMI) — artificialintelligenceact.eu/article/99
- Scheda informativa di Accountancy Europe sull'AI Act per le PMI — accountancyeurope.eu
Guide Correlate
Gestione Documentale con IA
Come l'AI legge, tagga e organizza i documenti — e cosa cercare quando si sceglie un sistema
Gestione Documentale e GDPR
Come Veluvanto ti aiuta a restare conforme al GDPR con l'archiviazione crittografata dei documenti ospitata in UE
Direttiva NIS2 e Gestione Documentale
L'altro importante quadro di conformità UE per il 2026 — e perché la maggior parte si riduce alla documentazione