AI Act PMI Checker

Self-check open source per PMI italiane: scopri in 5 domande il livello di esposizione al Regolamento (UE) 2024/1689 — AI Act EU. Calcola obblighi, azioni prioritarie e costi stimati di compliance prima della deadline del 2 agosto 2026.

Cosa fa

Una libreria TypeScript leggera che valuta il livello di esposizione di una PMI italiana al Regolamento (UE) 2024/1689 (AI Act) e restituisce:

• Livello di esposizione: alto / medio / basso
• Azioni prioritarie specifiche da intraprendere
• Stima costo orientativa di compliance

Il check si basa su 5 domande chiave coprenti i casi d'uso AI alto rischio dell'Allegato III del regolamento.

Installazione

npm install ai-act-pmi-checker

Uso

import { valutaEsposizioneAIAct, type Answers } from "ai-act-pmi-checker";

const answers: Answers = {
  hr: "hr_yes",              // Uso AI per HR/screening CV
  credito: "credit_no",      // Non usiamo AI per credito
  critico: "critical_no",    // Settore generico privato
  uso: "use_some",           // Solo alcuni reparti usano AI
  literacy: "literacy_done", // Training AI literacy completato
};

const result = valutaEsposizioneAIAct(answers);

console.log(result);
// {
//   level: "high",
//   title: "Esposizione alta · Allegato III applicabile",
//   reason: "La tua PMI utilizza sistemi AI che rientrano nell'Allegato III alto rischio...",
//   actions: [
//     "Mappatura urgente di tutti i sistemi AI in uso...",
//     "Implementazione misure tecniche: sorveglianza umana...",
//     ...
//   ],
//   estimatedCost: "8.000-15.000 EUR una tantum + presidio continuativo",
//   score: 5,
// }

API Reference

valutaEsposizioneAIAct(answers: Answers): Result

Valuta esposizione totale al regolamento.

Input (Answers):

• hr: "hr_yes" | "hr_occasional" | "hr_no" — Uso AI per HR (screening CV, valutazione performance)
• credito: "credit_yes" | "credit_human" | "credit_no" — Uso AI per credit scoring clienti
• critico: "critical_yes" | "critical_no" — Operate in settori critici (utilities, biometria, infrastrutture)
• uso: "use_all" | "use_some" | "use_few" | "use_none" — Quanti dipendenti usano AI quotidianamente
• literacy: "literacy_done" | "literacy_progress" | "literacy_no" — Training AI literacy art. 4 fatto

Output (Result):

• level: "high" | "medium" | "low"
• title: titolo descrittivo del livello
• reason: spiegazione del risultato
• actions: array di azioni prioritarie
• estimatedCost: stima costo compliance
• score: punteggio numerico (-1 a +10)

QUESTIONS

Esportata anche la struttura QUESTIONS con tutte le 5 domande e le opzioni associate, utile per costruire UI custom (form, wizard, quiz interattivi).

Allegato III — Categorie alto rischio

Il regolamento identifica 8 categorie di sistemi AI ad alto rischio:

1. Biometria: riconoscimento facciale, emozioni, categorizzazione biometrica
2. Infrastrutture critiche: gas, acqua, elettricità, traffico, infrastrutture digitali
3. Istruzione e formazione: ammissione, valutazione, assegnazione esami
4. Lavoro e gestione lavoratori: screening CV, valutazione, promozioni
5. Accesso a servizi essenziali: scoring credito, assicurazioni vita/salute
6. Applicazione della legge: profilazione, valutazione recidiva
7. Migrazione, asilo, controllo frontiere
8. Amministrazione giustizia e processi democratici

Per la PMI italiana media, le 2 categorie più frequenti sono lavoro (HR) e accesso a servizi essenziali (credito).

Timeline AI Act

Data	Cosa entra in vigore	Status
1 agosto 2024	Entrata in vigore Regolamento (UE) 2024/1689	✓ Attivo
2 febbraio 2025	Divieti pratiche vietate (art. 5) + AI literacy (art. 4)	✓ Attivo
2 agosto 2025	Governance + AI Office + obblighi GPAI	✓ Attivo
2 agosto 2026	Obblighi sistemi alto rischio Allegato III	⏰ Imminente
2 agosto 2027	Applicazione piena + sistemi pre-esistenti	📅 Futura

Sanzioni (3 fasce)

Fascia	Violazione	Sanzione massima
1	Pratiche vietate (art. 5)	35 M€ o 7% fatturato mondiale
2	Non conformità sistemi alto rischio	15 M€ o 3% fatturato
3	Informazioni non corrette ad autorità	7,5 M€ o 1% fatturato

L'AI Act prevede riduzioni espresse per PMI e startup nel determinare l'ammontare.

Provider vs Deployer

La maggior parte delle PMI italiane è deployer (chi usa AI di terzi), non provider (chi la sviluppa).

Obblighi del deployer su sistemi alto rischio (art. 26):

1. Uso conforme alle istruzioni del provider
2. Sorveglianza umana competente
3. Conservazione log per almeno 6 mesi
4. Trasparenza verso le persone interessate
5. Segnalazione incidenti

5 step roadmap compliance

1. Mappatura sistemi AI in uso (1-2 settimane)
2. Classificazione del rischio per ogni sistema (1 settimana)
3. Implementazione misure tecniche e organizzative (2-4 settimane)
4. Training AI literacy documentato (1-2 settimane)
5. Policy, contratti, governance (1-2 settimane)

Disclaimer

Questo checker fornisce una stima qualitativa del livello di esposizione AI Act. Non sostituisce la consulenza legale formale. Per situazioni specifiche o ad alta complessità, consultare un professionista legale specializzato in compliance AI.

Fonti normative

• Testo ufficiale Regolamento (UE) 2024/1689 — EUR-Lex
• AI Act — Commissione Europea
• AI Act Service Desk UE
• Article 26 — Obblighi Deployer

Autorità competenti italiane

• AgID — Agenzia per l'Italia Digitale
• ACN — Agenzia per la Cybersicurezza Nazionale
• Garante per la Protezione dei Dati Personali

Guida approfondita

Per una guida completa con esempi, 5 step roadmap, esempi di 3 profili PMI tipo e analisi obblighi/sanzioni: AI Act 2026 per PMI italiane: cosa fare entro agosto.

Autore

Sviluppato da Luca Sammarco, AI Solutions Architect basato a Milano. Specializzato in soluzioni AI custom per PMI italiane e compliance AI Act.

License

MIT