Cos'è la mappatura degli strumenti AI e perché serve?

La mappatura AI è un inventario interno di tutti i sistemi AI usati in azienda: chi li usa, con quali finalità e con quali dati. Senza questo inventario non è possibile valutare il livello di rischio, verificare gli obblighi di trasparenza, capire se vengono trattati dati personali o impostare formazione e controlli interni. È il prerequisito pratico per rispettare gli obblighi AI Act e GDPR.

La mappatura degli strumenti AI è obbligatoria per legge?

L'AI Act non impone un adempimento formalmente chiamato 'mappatura', ma è il prerequisito pratico per rispettare gli obblighi già in vigore: AI literacy (dal 2 febbraio 2025), classificazione del rischio, trasparenza e governance. Senza sapere quali strumenti AI usa la propria azienda, non è possibile applicare correttamente nessuno di questi obblighi.

Quali strumenti AI devo includere nella mappatura?

Tutti i sistemi AI usati in azienda, inclusi quelli incorporati in software di terzi. Non solo i tool evidenti come ChatGPT o Copilot, ma anche: CRM con scoring dei lead, software HR con automazioni, chatbot sul sito, sistemi di analisi predittiva, strumenti usati informalmente con account personali per attività aziendali.

Come si fa una mappatura AI in pratica?

In 4 passi: (1) chiedi a ogni reparto di elencare i tool AI che usa, inclusi quelli informali; (2) per ogni strumento raccogli nome, fornitore, reparto, finalità, dati trattati e impatto su persone; (3) valuta il livello di rischio in base all'uso concreto; (4) aggiorna il registro dei trattamenti GDPR con i tool che trattano dati personali. Non serve software costoso: bastano un foglio condiviso e un responsabile interno.

Entro quando devo completare la mappatura degli strumenti AI?

Prima possibile. L'obbligo di AI literacy è già in vigore dal 2 febbraio 2025 e richiede di sapere quali tool AI usa il personale. La maggior parte degli obblighi operativi dell'AI Act entra in vigore il 2 agosto 2026: chi aspetta l'ultimo momento rischia di non avere il tempo necessario per adeguarsi.

Mappatura strumenti AI in azienda: guida pratica per PMI

Dashboard di mappatura strumenti AI in azienda con icone intelligenza artificiale e indicatori di rischio AI Act

📢 Informativa: Questa pagina contiene link affiliati. Se acquisti tramite questi link potremmo ricevere una commissione, senza costi aggiuntivi per te. Raccomandiamo solo tool che riteniamo utili per PMI e freelance.

Se la tua azienda usa ChatGPT, strumenti di automazione o software con funzioni AI, ha senso partire subito da una mappatura interna dei sistemi Il GDPR Omnibus potrebbe alleggerire l’obbligo di registro per le PMI, ma una mappatura ben fatta resta utile anche senza vincolo formale. AI utilizzati. Il primo passo è capire quali dei tuoi software rientrano nella definizione di sistema AI secondo l’AI Act. Non perché l’AI Act imponga un adempimento autonomo chiamato formalmente “mappatura”, ma perché senza un inventario interno non puoi applicare in modo serio gli obblighi di governance, classificazione del rischio, trasparenza e formazione del personale. L’AI Act adotta infatti un approccio basato sul rischio, con obblighi che diventano rilevanti in base all’uso concreto del sistema AI. In Italia, inoltre, il quadro è affiancato dalla Legge 23 settembre 2025, n. 132, in vigore dal 10 ottobre 2025.

Molte PMI non sanno da dove iniziare. Questa guida spiega cosa censire, come farlo in modo semplice e quali errori evitare, così da costruire una base utile per la compliance senza trasformare tutto in burocrazia.

Dal 2 febbraio 2025 l’obbligo di AI literacy è già applicabile. La mappatura interna dei sistemi AI non è un obbligo formalmente nominato con questo nome nell’AI Act, ma è il prerequisito pratico per rispettare gli obblighi che già esistono e per prepararsi a quelli che si applicheranno dal 2 agosto 2026. Il Parlamento UE ha nel frattempo approvato il rinvio delle scadenze AI Act per i sistemi ad alto rischio al 2027-2028.

→ AI Act per PMI: obblighi e scadenze 2026

📌 Disclaimer informativo: Questa guida ha finalità informative e organizzative e non costituisce consulenza legale. Per casi specifici - soprattutto in ambito HR, credito, sanità, biometria o sistemi ad alto rischio — è opportuno verificare il singolo scenario con un professionista.

Perché conviene fare la mappatura degli strumenti AI

L’AI Act non riguarda solo chi sviluppa intelligenza artificiale. Riguarda anche provider, importatori, distributori e, in molti casi, chi utilizza sistemi AI nell’attività professionale. Per una PMI, il primo passo sensato è sapere quali strumenti esistono davvero in azienda, chi li usa, con quali finalità e con quali dati. Questo serve a distinguere gli usi più semplici da quelli che possono avere impatti su persone, clienti, candidati o dipendenti.

In pratica, se non sai quali sistemi AI sono già in uso, non puoi:

valutare il livello di rischio del caso d’uso;
verificare se ci sono obblighi di trasparenza;
capire se vengono trattati dati personali;
impostare formazione e controlli interni coerenti.

Per molte aziende il problema non è l’AI “ufficiale”, ma quella già presente in modo diffuso e non governato: chatbot attivati dal marketing, tool generativi usati con account personali, CRM con funzioni di scoring, software HR con automazioni poco trasparenti. Non tutto questo è automaticamente “alto rischio”, ma tutto questo andrebbe almeno censito.

Cosa devi mappare: la lista pratica

La mappatura dovrebbe coprire tutti i sistemi AI usati in azienda, compresi quelli incorporati in software di terzi. Non bisogna limitarsi ai tool più evidenti.

Strumenti di produttività e contenuto

ChatGPT, Copilot, Gemini e altri strumenti per generare testi, immagini, presentazioni, riassunti o automazioni.

Software gestionali con funzioni AI

CRM con scoring dei lead, ERP con previsioni, piattaforme contabili con rilevamento anomalie, sistemi di supporto decisionale. Se uno di questi strumenti non si limita a suggerire ma agisce in autonomia, potrebbe rientrare nella categoria degli agenti AI ad alto rischio.

Assistenza clienti

Chatbot sul sito, smistamento ticket, assistenti virtuali, sistemi di risposta automatica.

HR e recruiting

Screening CV, ranking candidati, matching automatico, strumenti di valutazione o supporto a decisioni su personale. Anche piattaforme di gestione presenze con algoritmi di scoring delle assenze rientrano in questa categoria: il Garante ha bloccato Amazon per la schedatura dei lavoratori proprio su questo tipo di strumenti.