ABCDEFGHIJKLMNOPQRSTUVWXYZ
1
AI ACT – ART. 26: OBBLIGHI DEL DEPLOYER PER IL CFO DI PMI ITALIANE
2
# Obbligo (Art. 26 AI Act)Cosa deve fare concretamente il CFOStrumenti / Documenti richiestiPrioritàScadenza chiave
3
1Mappatura e inventario dei sistemi AI utilizzatiCensire tutti i software AI in uso (es. ERP con moduli IA, credit scoring, forecasting, HR tool). Classificarli per livello di rischio (vietato / alto / limitato / basso).Registro sistemi AI; matrice di classificazione rischio AI Act Allegato III⚠️ ALTAImmediata
4
2Misure tecniche e organizzative di utilizzo conformeGarantire che i sistemi AI siano usati secondo le istruzioni del fornitore. Definire procedure operative interne per ogni sistema ad alto rischio.Policy interna uso AI; istruzioni d’uso del fornitore; procedure operative standard (SOP)⚠️ ALTA2 ago 2026
5
3Supervisione umana qualificata (Art. 14)Nominare un responsabile umano per ogni sistema AI ad alto rischio. Il soggetto deve avere competenza, formazione e autorità adeguate. Il CFO supervisiona per i sistemi in ambito finance.Nomina formale del responsabile AI; piano di formazione; organigramma aggiornato⚠️ ALTA2 ago 2026
6
4Garanzia qualità dei dati di inputAssicurarsi che i dati immessi nei sistemi AI siano pertinenti, accurati e rappresentativi. Rilevante per credit scoring, forecasting, pianificazione finanziaria.Data quality policy; data governance framework; audit dei dati di input🟡 MEDIA2 ago 2026
7
5Conservazione log automatici del sistema AIConservare i log generati automaticamente dai sistemi AI per almeno 6 mesi (o più se richiesto da normative specifiche). Fondamentale per audit e controlli.Sistema di archiviazione log; policy di data retention; strumenti di monitoraggio🟡 MEDIA2 ago 2026
8
6Informativa ai lavoratori interessatiPrima di usare sistemi AI ad alto rischio in ambito HR/lavoro, informare i lavoratori e i loro rappresentanti. Il CFO deve coordinare con HR e Legal.Comunicazione interna; informativa ex Art. 26(7); eventuale accordo sindacale🟡 MEDIAPrima del deploy
9
7Informativa alle persone fisiche soggette a decisioni AISe il sistema AI prende o assiste decisioni su persone fisiche (es. valutazione credito, scoring), informarle in modo chiaro e trasparente.Informativa privacy aggiornata (GDPR + AI Act); clausole contrattuali; privacy notice🟡 MEDIAPrima del deploy
10
8Valutazione d’Impatto sui Diritti Fondamentali – FRIA (Art. 27)Per sistemi AI ad alto rischio (es. credit scoring, valutazione del personale): effettuare la FRIA e notificare i risultati all’Autorità competente.Report FRIA; notifica all’Autorità (AGID / ACN in Italia); registro della valutazione⚠️ ALTA2 ago 2026
11
9Alfabetizzazione AI del personale (Art. 4)Formare tutto il personale che utilizza sistemi AI. Il CFO deve assicurarsi che il team Finance/Admin abbia un livello adeguato di AI literacy, documentato.Piano formativo AI literacy; attestati di completamento; registro formazione⚠️ ALTA2 feb 2025 ✅
12
10Monitoraggio e segnalazione incidentiMonitorare il funzionamento dei sistemi AI. In caso di malfunzionamento o incidente, segnalare al fornitore e all’Autorità di vigilanza competente.Procedura incident management AI; canale di segnalazione; KPI di monitoraggio🟡 MEDIA2 ago 2026
13
Fonte: Regolamento UE 2024/1689 (AI Act), Art. 26 – Obblighi dei deployer di sistemi AI ad alto rischio | Rif. articolo: antoniozennaro.it/2026/02/26/ai-act-art-26-obblighi-concreti-per-il-cfo-delle-pmi-italiane/
14
15
ROADMAP COMPLIANCE AI ACT PER PMI – SCADENZE, AZIONI CFO E SANZIONI
16
ScadenzaCosa scattaAzione concreta per il CFOSistemi AI tipicamente coinvolti in FinanceSanzione max (PMI)Status
17
2-feb-25Divieto sistemi AI a rischio inaccettabile (Art. 5) + Obbligo AI literacy del personale (Art. 4)Verificare che nessun tool AI usato dall’azienda rientri nelle categorie vietate (social scoring, manipolazione comportamentale). Avviare formazione base su AI per il team.Qualsiasi sistema AI in uso aziendaleFino a 35 M€ o 7% fatturato globale✅ GIÀ IN VIGORE
18
2 ago 2025Obblighi governance GPAI (modelli AI general purpose). Regime sanzionatorio operativo.Verificare se i fornitori AI (es. ChatGPT enterprise, Copilot) rilasciano documentazione di conformità GPAI. Richiedere contrattualmente le garanzie.Microsoft Copilot, ChatGPT Enterprise, tool AI generativi integrati in gestionaliFino a 15 M€ o 3% fatturato✅ GIÀ IN VIGORE
19
2 ago 2026Piena applicazione AI Act per sistemi ad alto rischio (Art. 26 deployer). Requisiti completi di conformità.Completare: 1) Registro AI, 2) FRIA, 3) Nomina supervisore, 4) Log retention, 5) Policy interna, 6) Audit contratti fornitori AICredit scoring AI, forecasting finanziario AI, sistemi di valutazione del personale, tool di fraud detectionFino a 15 M€ o 3% fatturato
(PMI: importo minore)		⏳ PROSSIMA SCADENZA
20
2 ago 2027Estensione sistemi ad alto rischio (Art. 6 par.1): settori disciplinati da normative settoriali (es. dispositivi medici, automotive).Verificare se prodotti/servizi aziendali ricadono nelle nuove categorie. Aggiornare il registro AI.Sistemi AI embedded in macchinari industriali o prodotti certificati CEFino a 15 M€ o 3% fatturato🗓️ FUTURO
21
2 ago 2030Scadenza ultima per sistemi AI ad alto rischio già in uso prima dell’entrata in vigore dell’AI Act.Sistemi AI legacy acquistati prima del 01/08/2024: pianificare aggiornamento o dismissione per conformità entro questa data.Software gestionali ERP con moduli AI datati, sistemi di scoring acquistati pre-2024Fino a 15 M€ o 3% fatturato🗓️ FUTURO
22
23
💡 NOTA SANZIONI PMI: Per le PMI il regolamento prevede il principio di proporzionalità: la sanzione applicabile è quella più bassa tra l'importo assoluto e la percentuale sul fatturato (es. PMI con 10M€ di fatturato: sanzione max 300.000€ per violazioni obblighi = 3% × 10M€). Fonte: AI Act Art. 99 e Regolamento UE 2024/1689.
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100