Quando in studio dici "EU AI Act", la reazione standard è: "Sì, ne ho sentito parlare. Riguarda gli ospedali, le banche, le grandi aziende. Noi siamo uno studio di progettazione, mica facciamo intelligenza artificiale."
È esattamente questa la confusione che il regolamento (UE) 2024/1689, entrato in vigore il 1° agosto 2024, vuole risolvere. L'AI Act non si applica a chi sviluppa AI. Si applica a chi la usa. Cioè: anche al tuo studio, da quando il tuo team copia un capitolato in ChatGPT, fa scrivere a Copilot la prima bozza di una relazione, o usa Gemini per riassumere un decreto.
Buona notizia: per uno studio AEC italiano "normale" gli obblighi sono quattro, sono gestibili, e si attivano in tre tappe ben distanziate. La cattiva: ne sei già responsabile dal febbraio 2025, anche se non te lo aveva detto nessuno. Vediamoli uno per uno.
Le tre date che contano
2 febbraio 2025 — già attivo
Pratiche AI proibite (art. 5) + obbligo di AI literacy del personale (art. 4).
2 agosto 2025 — già attivo
Regole sui general-purpose AI models (GPT-5, Claude, Gemini, ecc.) lato fornitore.
2 agosto 2026
Obblighi su sistemi ad alto rischio (titolo III), governance, conformità.
2 agosto 2027
Piena applicabilità del regolamento. Ultime categorie di sistemi ad alto rischio coperte.
Per uno studio di architettura o ingegneria, la data che pesa davvero oggi è la prima: febbraio 2025. Quella di agosto 2026 e 2027 pesa solo se sviluppi o adotti sistemi classificabili come ad alto rischio (e per uno studio AEC italiano "standard", non è il caso).
Obbligo 1 — AI literacy del personale
L'articolo 4 è una delle norme più ignorate dell'AI Act, ed è anche una di quelle più semplici da rispettare. Recita, in sintesi: "I fornitori e i deployer di sistemi di AI adottano misure per garantire, nella misura del possibile, un livello sufficiente di alfabetizzazione AI del loro personale e delle altre persone coinvolte nel funzionamento e nell'utilizzo dei sistemi di AI per loro conto."
"Deployer" sei tu. "Personale" è il tuo team. Cosa devi fare in pratica:
- Garantire una formazione di base AI a chi usa strumenti AI nel proprio lavoro (chiunque tocchi ChatGPT, Copilot, Gemini, NotebookLM, Custom GPT, agenti, eccetera).
- Documentare che la formazione è avvenuta. Una semplice attestazione di partecipazione, firmata, conservata per 5 anni, è sufficiente in caso di controllo.
- Aggiornare la formazione quando cambiano gli strumenti in modo significativo (cambio di vendor, nuova funzione critica).
La sanzione massima per inadempienza all'obbligo di AI literacy non è esplicitamente quantificata nell'art. 99, ma rientra nelle infrazioni "leggere" della Sezione 4 — fino a 7,5 M€ o 1,5% del fatturato annuale, a seconda di quale sia il maggiore.
Obbligo 2 — Mappatura uso AI e classificazione rischi
L'AI Act classifica i sistemi AI in 4 livelli di rischio: inaccettabile (vietato), alto (regolamentato), limitato (obblighi di trasparenza), minimo (libero). Per uno studio AEC, la quasi totalità dei sistemi che userai cade in "limitato" o "minimo". Ma devi saperlo, e devi poterlo dimostrare.
Cosa fare:
- Tieni un registro degli strumenti AI in uso (anche solo un Excel): nome, fornitore, finalità d'uso, persone autorizzate, tipo di dati elaborati.
- Per ogni strumento, indica la classe di rischio (puoi usare la guida ufficiale della Commissione UE o appoggiarti a un consulente).
- Aggiorna il registro almeno una volta l'anno o quando introduci un nuovo strumento.
Esempio per uno studio AEC tipo:
- ChatGPT Plus per redazione documenti → rischio limitato (trasparenza richiesta verso l'utente finale: "questo testo è stato co-prodotto con AI").
- Copilot in Microsoft 365 per sintesi mail → rischio minimo.
- Plug-in Revit/Dynamo basati su AI per il calcolo strutturale → rischio limitato in uso interno, da rivalutare se l'output viene firmato e sottoscritto da un professionista come responsabile.
- Agente n8n che invia mail automatiche ai committenti → rischio limitato, con obbligo di trasparenza (il committente deve sapere che sta interagendo con AI).
Obbligo 3 — Trasparenza verso committenti e dipendenti
Articolo 50 dell'AI Act. Quando un sistema AI interagisce direttamente con una persona (committente, dipendente, fornitore), questa persona deve essere informata che sta interagendo con AI, salvo che sia "evidente dal contesto".
Per uno studio AEC, i casi pratici principali:
- Email scritte da AI inviate al committente → non obbligo di disclaimer se sono revisionate da una persona prima dell'invio (caso d'uso standard).
- Chatbot o assistente AI sul sito dello studio → obbligo di disclaimer chiaro ("Sei in chat con un assistente AI") prima dell'inizio conversazione.
- Render fotorealistici generati con AI generativa nel rendering finale → obbligo di marcatura come "contenuto generato da AI" quando può ingannare il pubblico sulla natura reale dell'immagine (art. 50, par. 4 — deepfake provision).
- Sintesi automatiche di curriculum di candidati con AI → obbligo di informazione al candidato + obbligo di garantire un "controllo umano significativo" sulla decisione.
Obbligo 4 — Governance dei dati
L'AI Act non riscrive il GDPR ma lo rafforza per i sistemi AI. Per uno studio che maneggia dati di committenti, dipendenti, fornitori e progetti riservati, significa tre cose concrete:
- Sapere dove vivono i dati che inserisci nei tool AI: UE, USA, altrove. Se sono in USA, verifica che il fornitore aderisca al Data Privacy Framework UE-USA o abbia clausole contrattuali standard.
- Sapere se vengono usati per training: le versioni consumer dei tool tipicamente li usano. Le versioni business/enterprise tipicamente no, ma serve l'opzione attivata.
- Classificare i dati prima di inserirli: dati pubblici (verde, OK in qualsiasi tool), dati interni non sensibili (giallo, OK in versioni business), dati confidenziali o personali (rosso, mai in tool generalisti — solo in sistemi on-premise o privati).
Checklist operativa: cosa fare nei prossimi 60 giorni
- AI literacy — Pianifica una formazione di 4-8 ore per il team. Conserva attestazioni.
- Registro tool — Crea un foglio Excel con i sistemi AI in uso, fornitori, finalità, classe di rischio.
- Privacy review — Per ogni tool, verifica versione business, opt-out su training, residenza dati. Documenta.
- Policy interna — Definisci una breve policy aziendale: cosa si può/non si può fare con AI (es. mai dati personali in versioni consumer, sempre revisione umana prima dell'invio a committenti, classificazione rosso/giallo/verde sui dati).
- Trasparenza — Se hai un chatbot o un assistente AI rivolto verso l'esterno, aggiungi un disclaimer chiaro. Se generi immagini AI in rendering finali, etichettale.
In sintesi
Per uno studio AEC italiano, l'EU AI Act non è una bomba. È una checklist. Quattro obblighi, gestibili con qualche giorno di lavoro distribuito su due mesi: formazione, registro, governance dati, trasparenza. Il costo della compliance è enormemente inferiore al costo di una sanzione, ma soprattutto è la base di credibilità che permette di adottare AI in modo sostenibile davanti a committenti pubblici e grandi committenti privati — che ti chiederanno presto, se non lo fanno già, come gestisci l'AI nei tuoi processi.
La parte più importante è che l'AI Act non è in conflitto con l'adozione dell'AI: la abilita. Fa per il tuo studio quello che le NTC fanno per le strutture: dà regole chiare entro cui puoi spingere il pedale dell'innovazione senza rischiare il collasso.