Eseguire l'AI on-premise evita l'EU AI Act?

No. La normativa si applica in base al caso d'uso e al livello di rischio, non a dove gira il modello. L'on-premise può rendere più facili alcuni obblighi (governance dei dati, logging, supervisione, residenza), ma non ti esenta.

Quali sono i livelli di rischio dell'AI Act?

Inaccettabile (vietato), alto rischio (obblighi stringenti), rischio limitato (obblighi di trasparenza) e rischio minimo (in gran parte non regolato). La maggior parte degli usi LLM aziendali ricade in rischio limitato o alto a seconda del dominio.

I modelli di AI generica hanno regole proprie?

Sì. I modelli di AI generica (GPAI) hanno obblighi di trasparenza e documentazione, con requisiti extra per i modelli più capaci ritenuti a rischio sistemico. Anche chi distribuisce modelli aperti eredita alcune responsabilità.

Come aiuta l'on-premise nella compliance?

Dati, log e modello restano sotto la tua governance, rendendo semplici da dimostrare residenza dei dati, audit logging e controllo accessi — il che facilita il rispetto degli obblighi ad alto rischio rispetto a una black box di terzi.

EU AI Act e AI on-premise (2026): checklist di compliance

Un equivoco comune è che tenere l'AI in casa eviti l'EU AI Act. Non è così — la normativa riguarda come l'AI viene usata e il rischio che pone, indipendentemente dall'infrastruttura. Ciò che l'on-premise ti dà è controllo: dati, log e modello restano sotto la tua governance, rendendo più semplice dimostrare la compliance rispetto ad auditare una black box di terzi. Questa guida mappa i livelli, gli obblighi, dove l'on-prem aiuta e una checklist.

Livelli di rischio e obblighi

Livello	Esempi	Obblighi
Inaccettabile	Social scoring, manipolazione	Vietato
Alto rischio	Assunzioni, credito, medicale, infra critica	Gestione rischio, governance dati, logging, supervisione umana, valutazione conformità
Rischio limitato	Chatbot, generazione contenuti	Trasparenza: dichiarare l'uso di AI
Rischio minimo	Filtri spam, gran parte dei tool	In gran parte non regolato

Modelli di AI generica (GPAI)

Oltre ai livelli per caso d'uso, la normativa fissa obblighi per i modelli di AI generica stessi — trasparenza, documentazione tecnica e una sintesi dei dati di training — con requisiti più stringenti per i modelli più capaci ritenuti a rischio sistemico. Se fai self-hosting di un modello open-weight, sei tipicamente un "deployer" più che il "provider", ma erediti comunque responsabilità su come lo usi e documenti. L'on-premise non cambia quale livello si applica; cambia quanto facilmente puoi dimostrare cosa fa il tuo sistema.

Perché l'on-premise aiuta (anche se non ti esenta)

Gli obblighi ad alto rischio si reggono molto sulle prove: devi mostrare la provenienza dei dati, conservare log di input/output, controllare gli accessi e dimostrare che i dati restano dove devono. Con un sistema self-hosted, tutto questo è dentro il tuo perimetro — puoi loggare tutto, ancorare i dati a una località UE/sovrana e auditare l'intera pipeline. Dimostrare lo stesso con una API chiusa di terzi è più difficile perché non controlli gli interni. Per questo i settori regolati propendono per l'on-prem: non perché la legge lo imponga, ma perché la compliance è più facile da dimostrare.

Checklist di compliance on-premise

✓ Classifica ogni caso d'uso AI in un livello di rischio
✓ Conserva log di input/output del modello (alto rischio)
✓ Documenta governance dei dati e provenienza dei dati di training
✓ Garantisci supervisione umana sulle decisioni ad alto rischio
✓ Dichiara l'interazione con l'AI agli utenti finali (rischio limitato)
✓ Ancora dati ed elaborazione alla giurisdizione richiesta
✓ Mantieni documentazione tecnica e una valutazione di conformità
✓ Traccia quali obblighi ricadono su di te come provider vs deployer

Queste sono informazioni generali, non consulenza legale. L'AI Act entra in vigore per fasi e i dettagli evolvono — consulta un legale qualificato per i tuoi obblighi e le scadenze specifiche.