Definizione sistema AI: il test ufficiale per PMI

Q: Un CRM con segmentazione automatica è un sistema AI?

Dipende. Se la segmentazione usa regole manuali fisse non è un sistema AI. Se usa algoritmi di clustering o machine learning per identificare pattern nei dati dei clienti e proporre segmenti, potrebbe esserlo. La valutazione va fatta sulla specifica funzionalità.

Q: Se il mio software è un sistema AI, devo per forza fare qualcosa?

Non necessariamente. La grande maggioranza dei sistemi AI non sarà soggetta a obblighi specifici dell'AI Act. Solo i sistemi ad alto rischio e quelli soggetti a obblighi di trasparenza hanno requisiti concreti. L'obbligo di AI literacy si applica comunque a tutti.

Il tuo gestionale con funzioni “smart”, il chatbot sul sito, il CRM che segmenta i clienti: sono sistemi di intelligenza artificiale secondo l’AI Act? La risposta determina se hai obblighi normativi oppure no. La Commissione europea ha pubblicato le linee guida sulla definizione di sistema AI (art. 3, par. 1, Regolamento UE 2024/1689) proprio per aiutare fornitori e aziende a rispondere a questa domanda. Se il tuo software non è un “sistema di IA” ai sensi dell’AI Act, il Regolamento non si applica. Se lo è, scattano obblighi proporzionati al livello di rischio.

Le linee guida non sono vincolanti, ma rappresentano l’interpretazione ufficiale della Commissione e sono il punto di riferimento fino a quando la Corte di Giustizia UE non si pronuncerà. Sono state pubblicate il 6 febbraio 2025 e si applicano insieme alle regole dell’AI Act già in vigore.

I 7 elementi della definizione di sistema AI secondo l’AI Act

L’articolo 3(1) dell’AI Act definisce un “sistema di IA” come “un sistema basato su macchina, progettato per operare con vari livelli di autonomia e che può mostrare adattabilità dopo l’implementazione, e che, per obiettivi espliciti o impliciti, inferisce dagli input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali.”

La Commissione scompone questa definizione in sette elementi. Tutti devono essere valutati, ma non tutti devono essere presenti contemporaneamente in ogni fase del ciclo di vita del sistema.

1. Sistema basato su macchina

Il sistema deve funzionare tramite componenti hardware e software. Questo include qualsiasi sistema computazionale: dal classico server al calcolo quantistico, fino a sistemi biologici con capacità di calcolo. Un foglio Excel usato manualmente non è un sistema basato su macchina nel senso dell’AI Act. Un software gestionale che elabora dati automaticamente sì — ma questo da solo non basta.

2. Autonomia (vari livelli)

Il sistema deve operare con un certo grado di indipendenza dall’intervento umano. Non significa “senza controllo umano”, ma che il sistema genera output senza che ogni singolo risultato sia controllato o specificato manualmente da una persona. Un sistema che funziona solo con pieno controllo manuale diretto — come un editor di testo o un foglio di calcolo — è escluso dalla definizione.

3. Adattabilità dopo l’implementazione

Il sistema può modificare il proprio comportamento sulla base dell’esperienza acquisita durante l’uso (self-learning). Attenzione: questo elemento non è obbligatorio. L’AI Act usa il termine “può” (may). Un sistema che non impara dopo l’implementazione può comunque essere un sistema AI se soddisfa gli altri criteri. Questo è il caso della maggior parte dei modelli di machine learning che vengono addestrati prima del deployment e poi “congelati”.

4. Obiettivi espliciti o impliciti

Ogni sistema AI persegue obiettivi: possono essere definiti direttamente dal programmatore (espliciti) o emergere dai dati e dal design del modello (impliciti). La Commissione distingue tra “obiettivi” — interni al sistema — e “scopo previsto” (intended purpose), che riguarda il contesto d’uso stabilito dal fornitore.

5. Capacità di inferenza (l’elemento chiave)

Questo è il criterio che distingue un sistema AI da un software tradizionale. L’inferenza è la capacità di derivare output dagli input attraverso tecniche di IA — non semplicemente eseguendo istruzioni predefinite. Le tecniche che abilitano l’inferenza includono: machine learning (supervisionato, non supervisionato, per rinforzo, deep learning), approcci logico-simbolici (sistemi esperti, rappresentazione della conoscenza, ragionamento), e tecniche di ricerca e ottimizzazione.

I sistemi che non inferiscono — cioè che si limitano a eseguire regole predefinite senza apprendimento né ragionamento — non sono sistemi AI secondo l’AI Act. Su questo punto torniamo nella sezione delle esclusioni.

6. Output: previsioni, contenuti, raccomandazioni, decisioni

Il sistema deve generare almeno uno di questi tipi di output. I sistemi AI producono output più sfumati rispetto ai software tradizionali: sfruttano pattern appresi durante l’addestramento o regole definite da esperti per offrire ragionamenti più sofisticati.

7. Influenza su ambienti fisici o virtuali

Gli output del sistema devono avere un impatto concreto: possono influenzare oggetti fisici (un braccio robotico, un veicolo) o ambienti virtuali (flussi di dati, ecosistemi software, spazi digitali). Un sistema passivo che non produce effetti sull’ambiente circostante non rientra nella definizione.

Cosa NON è un sistema AI: le esclusioni delle linee guida

Le linee guida della Commissione identificano quattro categorie di sistemi che generalmente non rientrano nella definizione di sistema AI. Per le PMI italiane, queste esclusioni sono cruciali perché riguardano software di uso quotidiano.

Sistemi di elaborazione dati di base — Fogli di calcolo, software di visualizzazione dei dati, sistemi di gestione database che ordinano e filtrano dati secondo criteri predefiniti. Questi sistemi eseguono operazioni su dati pre-esistenti senza apprendere né ragionare — li presentano in modo informativo. Il tuo gestionale di fatturazione che calcola IVA e totali è in questa categoria.

Sistemi basati su euristica classica — Software che applicano regole o algoritmi predefiniti per derivare soluzioni, senza modificare i propri modelli in base alla relazione input-output. Un filtro antispam basato su regole fisse (“blocca email con parola X”) rientra qui. Un filtro antispam che apprende quali email sono spam analizzando pattern potrebbe essere un sistema AI.

Sistemi di previsione semplici — Software che fanno previsioni basate su regole statistiche elementari. La Commissione indica che la regressione lineare e la regressione logistica tradizionali potrebbero non rientrare nella definizione di sistema AI, per la loro limitata capacità di analizzare pattern e adattare autonomamente gli output. Questa esclusione è particolarmente rilevante per il settore finanziario e assicurativo, dove questi metodi sono molto diffusi.

Sistemi per l’ottimizzazione matematica — Software che usano tecniche di machine learning per approssimare processi complessi (come le turbolenze atmosferiche) al solo scopo di rendere il calcolo più efficiente, senza generare output che influenzano decisioni o ambienti.

Attenzione: le linee guida non sono vincolanti e non forniscono una lista esaustiva. La valutazione va fatta caso per caso, analizzando architettura e funzionalità specifiche del sistema. Solo la Corte di Giustizia UE può fornire interpretazioni autoritative dell’AI Act.

Tre scenari concreti per PMI italiane

Lo studio commercialista con il gestionale “smart”

Marco usa un software di contabilità che calcola IVA, genera report e produce bilanci. Il software applica regole fiscali predefinite senza apprendere dai dati. È un sistema di elaborazione dati di base: non è un sistema AI secondo l’AI Act. Ma se lo stesso software integra una funzione che analizza i pattern di spesa dei clienti per prevedere il rischio di insolvenza, quella specifica funzione potrebbe rientrare nella definizione. La valutazione si fa strumento per strumento, funzione per funzione.

L’e-commerce con il chatbot

Giulia ha un negozio online con un chatbot per l’assistenza clienti. Se il chatbot segue un albero decisionale fisso (domanda → risposta predefinita), non è un sistema AI. Se invece il chatbot usa un modello di linguaggio (come quelli basati su GPT o Claude) per generare risposte, è un sistema AI: inferisce dagli input, genera contenuti e opera con autonomia. In questo caso si applicano gli obblighi di trasparenza dell’art. 50 AI Act dal 2 agosto 2026. Per approfondire gli obblighi AI Act per e-commerce, vedi la guida dedicata.

L’agenzia che usa AI per selezionare candidati

Luca gestisce un’agenzia di lavoro e usa un tool che analizza i CV, li classifica per pertinenza e propone una short list. Il sistema apprende dai dati storici delle assunzioni, produce raccomandazioni e influenza una decisione (chi viene chiamato per un colloquio). È un sistema AI, e ricade nell’alto rischio (Allegato III AI Act). Il rinvio del Digital Omnibus sposta la scadenza per gli obblighi di alto rischio a dicembre 2027, ma la preparazione richiede mesi. Per approfondire, vedi la guida sulla DPIA per strumenti AI.

Il grandfathering: i sistemi già sul mercato

Le linee guida richiamano una clausola importante dell’AI Act: i sistemi AI già immessi sul mercato o messi in servizio prima del 2 agosto 2026 sono esclusi dagli obblighi per l’alto rischio, a meno che non subiscano una modifica sostanziale dopo quella data. Se il sistema resta invariato, potrebbe rimanere fuori dal perimetro degli obblighi più pesanti a tempo indeterminato — tranne nel caso sia usato da un’autorità pubblica. Non esiste grandfathering per le pratiche vietate: queste si applicano a tutti i sistemi, vecchi o nuovi. La Legge italiana 132/2025 integra questo quadro a livello nazionale.

Checklist interattiva: il tuo software è un sistema AI?

Usa questa checklist per valutare se un software che usi in azienda rientra nella definizione di “sistema di IA” secondo l’art. 3(1) dell’AI Act. Rispondi a ogni domanda pensando a un software specifico — non a tutti i tool che usi.

0 di 7 risposte

1Il software funziona tramite componenti hardware/software ed elabora dati in modo computazionale?

Elemento 1: “sistema basato su macchina”. Se il software gira su un computer o server, la risposta è sì.

2Il software genera output (risultati, testi, suggerimenti) senza che ogni singolo output sia controllato o specificato manualmente da una persona?

Elemento 2: “autonomia”. Un foglio di calcolo dove inserisci tu i dati e le formule = no. Un chatbot che risponde autonomamente = sì.

3Il software può modificare il proprio comportamento nel tempo, imparando dall’uso o dai nuovi dati?

Elemento 3: “adattabilità”. Questo NON è obbligatorio. Anche un sistema che non impara può essere AI se soddisfa gli altri criteri.

4Il software usa tecniche di machine learning, reti neurali, sistemi esperti o ragionamento basato su regole complesse per elaborare i dati?

Elemento 5: “inferenza”. Questo è il criterio chiave. Se il software esegue solo calcoli predefiniti (es. somma fatture, applica aliquota IVA), la risposta è no.

5Il software produce previsioni, genera contenuti (testi, immagini), fornisce raccomandazioni personalizzate o prende decisioni?

Elemento 6: “output”. Se il software si limita a mostrare dati senza elaborarli o a filtrare secondo criteri manuali, la risposta è no.

6Gli output del software influenzano decisioni, azioni o processi nella tua azienda (es. chi contattare, cosa proporre a un cliente, quale candidato selezionare)?

Elemento 7: “influenza su ambienti fisici o virtuali”. Se gli output restano puramente informativi senza impatto su decisioni, la risposta è no.

7Il software è stato immesso sul mercato o messo in servizio dopo il 2 agosto 2026, oppure è stato modificato sostanzialmente dopo quella data?

Clausola di grandfathering: i sistemi già sul mercato prima di agosto 2026, non modificati sostanzialmente, sono esclusi dagli obblighi alto rischio.

Cosa fare dopo la valutazione

Se il tuo software non è un sistema AI: documenta la tua valutazione per iscritto. Non è obbligatorio, ma dimostra diligenza in caso di controlli. Se hai dubbi, conserva un memo interno con i ragionamenti fatti.

Se il tuo software è un sistema AI: il passo successivo è classificare il livello di rischio. La maggior parte degli usi AI nelle PMI italiane (chatbot, generazione contenuti, assistenti di produttività) ricade nel rischio minimo o limitato, con obblighi gestibili. Per i sistemi ad alto rischio, gli obblighi sono più pesanti e richiedono preparazione anticipata.

Mappa tutti gli strumenti AI in uso — Elenca ogni software con funzioni AI, anche quelli usati informalmente dai dipendenti. → Guida alla mappatura
Classifica il livello di rischio — Confronta ogni strumento con le categorie dell’AI Act. → AI Act per PMI: livelli di rischio
Verifica i contratti con i fornitori — Il DPA è firmato? Le condizioni di training sui tuoi dati sono esplicite? → Clausole da controllare
Forma il tuo team — L’obbligo di AI literacy è già in vigore dal 2 febbraio 2025, indipendentemente dalla classificazione del sistema. Per chi usa ChatGPT o Copilot, vedi anche la guida GDPR per ChatGPT in azienda.

FAQ

No. Le linee guida della Commissione UE indicano espressamente che le applicazioni per fogli di calcolo rientrano nei “sistemi di elaborazione di base” esclusi dalla definizione di sistema AI. Un foglio Excel esegue calcoli predefiniti senza apprendimento, ragionamento né inferenza.

Sì. ChatGPT, Microsoft Copilot e Claude sono sistemi AI a tutti gli effetti: usano modelli di machine learning, operano con autonomia, generano contenuti tramite inferenza e influenzano ambienti virtuali. Sono anche modelli GPAI (General Purpose AI) con obblighi specifici per i loro fornitori.

No. Le linee guida sono l’interpretazione ufficiale della Commissione ma non hanno forza di legge. Solo la Corte di Giustizia UE può fornire interpretazioni autoritative. Le linee guida saranno aggiornate nel tempo sulla base di nuove esperienze e casi d’uso.

Dipende. Se la segmentazione usa regole manuali fisse (es. “clienti con fatturato sopra X”), non è un sistema AI. Se usa algoritmi di clustering o machine learning per identificare pattern nei dati dei clienti e proporre segmenti, potrebbe esserlo. La valutazione va fatta sulla specifica funzionalità, non sul software nel suo complesso.

Non necessariamente. Le linee guida sottolineano che la grande maggioranza dei sistemi AI non sarà soggetta a obblighi specifici dell’AI Act. Solo i sistemi ad alto rischio e quelli soggetti a obblighi di trasparenza (come chatbot e contenuti generati) hanno requisiti concreti. L’obbligo di AI literacy si applica comunque a tutti.

Approfondisci

AI Act per PMI

Tutti gli obblighi, le scadenze e le azioni concrete

Mappatura strumenti AI

Come censire i tool AI usati in azienda

Guida GDPR e AI

Gli obblighi privacy per chi usa tool AI

Fonti e riferimenti ufficiali

Commissione europea — Linee guida sulla definizione di sistema AI (6 febbraio 2025): digital-strategy.ec.europa.eu
Regolamento (UE) 2024/1689 (AI Act) — Art. 3(1), definizione di sistema AI: eur-lex.europa.eu
Commissione europea — Pagina ufficiale AI Act e implementazione: digital-strategy.ec.europa.eu
Commissione europea — Linee guida sulle pratiche AI vietate (6 febbraio 2025): digital-strategy.ec.europa.eu

Questo articolo non costituisce consulenza legale.

Il tuo software è un sistema AI? Il test ufficiale della Commissione UE