EU AI Act · Regolamento (UE) 2024/1689 · BPM governato

EU AI Act e automazione dei processi: il tuo workflow è ad alto rischio?

È la domanda che si pone ogni responsabile di processo: «se inserisco l'IA nel mio workflow, divento un sistema ad alto rischio?» La risposta non dipende dalla tecnologia, ma da su cosa e su chi decide l'IA.

Questa guida traduce l'EU AI Act in workflow reali e mostra come un BPM governato trasformi la conformità in una proprietà del processo, non in un progetto a parte.

Richiedi demo guidata Scopri le capacità IA
EU AI Act applicato all'automazione dei processi: livelli di rischio dell'IA in un workflow BPM governato
D
Team IA Dokuflex
Aggiornato: 5 giugno 2026

Per responsabili di processo, DPO e compliance. Questa guida è divulgativa e non sostituisce una consulenza legale. La classificazione finale di ogni sistema di IA richiede di analizzarne l'uso concreto alla luce del Regolamento (UE) 2024/1689.

Cos'è l'EU AI Act e quando ti riguarda

L'EU AI Act è il Regolamento (UE) 2024/1689, il primo quadro giuridico orizzontale al mondo che disciplina l'intelligenza artificiale. È entrato in vigore il 1° agosto 2024 e si applica in modo scaglionato, non tutto in una volta.

Il calendario che conta per i tuoi progetti di automazione:

  • 2 febbraio 2025: si applicano i divieti (pratiche a rischio inaccettabile) e gli obblighi di alfabetizzazione all'IA del personale.
  • 2 agosto 2025: obblighi per i modelli di IA per finalità generali (GPAI).
  • 2 agosto 2026: applicazione generale, incluso l'alto rischio dell'Allegato III. È la data chiave per la maggior parte dei workflow aziendali.
  • 2 agosto 2027: sistemi ad alto rischio integrati in prodotti regolamentati dell'Allegato I.

Il regolamento distingue due ruoli: il fornitore, che sviluppa o immette sul mercato il sistema di IA, e il deployer (utente professionale), che lo utilizza sotto la propria responsabilità. La maggior parte delle aziende che automatizzano processi agisce come deployer, e questo cambia quali obblighi le riguardano.

I quattro livelli di rischio, applicati a processi reali

L'EU AI Act classifica i sistemi in base al rischio del loro uso, non alla potenza del modello. Ci sono quattro livelli:

  • Rischio inaccettabile (vietato): social scoring, manipolazione subliminale e certi usi biometrici. Non possono essere distribuiti nella UE.
  • Alto rischio (Allegato III): occupazione e gestione dei lavoratori (selezione di candidature, decisioni di promozione o licenziamento, assegnazione algoritmica di compiti), accesso a servizi essenziali, istruzione, biometria… Obblighi pieni.
  • Rischio limitato: obbligo di trasparenza. Un chatbot deve identificarsi come IA.
  • Rischio minimo: tutto il resto. Buone pratiche, senza obblighi specifici.

È più chiaro su processi concreti. Quattro workflow comuni e il loro livello:

Alto rischio

Screening dei CV nell'HR

Un workflow che usa l'IA per filtrare o valutare candidature decide sull'accesso delle persone al lavoro. È Allegato III: alto rischio, con tutti gli obblighi del fornitore e del deployer.

Alto rischio

Credit scoring

Concedere o negare l'accesso a un servizio essenziale tramite IA incide in modo rilevante sulla persona. Alto rischio: richiede sorveglianza umana, gestione dei rischi e tracciabilità.

Rischio limitato

Chatbot interno

Un assistente conversazionale che orienta i dipendenti è a rischio limitato. Unico obbligo materiale: identificarsi come IA verso chi lo usa.

Rischio minimo

OCR di fatture

Estrarre e classificare dati dalle fatture non decide sulle persone. Rischio minimo: buone pratiche, senza obblighi specifici del regolamento.

La regola mentale: se l'IA decide sulle persone in un ambito sensibile, sale ad alto rischio. Se l'IA si limita a elaborare documenti o a preparare bozze che una persona valida, il rischio regolatorio cala drasticamente perché la decisione resta umana.

Cosa significa per le tue automazioni BPM

Quando un workflow usa l'IA per decidere sulle persone — filtrare candidati, valutare dipendenti, concedere o negare qualcosa di rilevante — probabilmente rientra nell'alto rischio. E l'alto rischio ripartisce gli obblighi tra due ruoli:

  • Fornitore del sistema: gestione dei rischi, governance dei dati, documentazione tecnica, logging, sorveglianza umana by design e garanzie di accuratezza, robustezza e cybersicurezza.
  • Deployer / utente: uso conforme alle istruzioni, sorveglianza umana effettiva, monitoraggio del funzionamento e conservazione dei log.

La sfumatura che cambia il progetto: se l'IA si limita a estrarre o classificare documenti, o a redigere bozze che una persona valida, la decisione è umana e il rischio regolatorio cala moltissimo. Per questo il design del processo — non il modello — determina la tua esposizione.

È esattamente la logica degli agenti di IA governati dentro il BPM: l'IA propone, esegue compiti circoscritti e lascia una traccia; la persona decide nei punti sensibili.

Obblighi se sei deployer di un sistema ad alto rischio

La maggior parte delle aziende è deployer, non fornitore. Questi sono gli obblighi che il regolamento ti assegna in quel ruolo quando il sistema è ad alto rischio:

  • Uso conforme: utilizzare il sistema secondo le istruzioni per l'uso del fornitore, senza deviarlo verso finalità per cui non è stato valutato.
  • Sorveglianza umana effettiva: designare persone con competenza e autorità reali per rivedere, annullare o non applicare l'output dell'IA. Un «approva» automatico non basta.
  • Monitoraggio: vigilare sul funzionamento e segnalare incidenti gravi o rischi rilevati al fornitore e all'autorità.
  • Conservazione dei log: conservare i log generati automaticamente dal sistema per il periodo applicabile, per poter ricostruire cosa ha deciso e perché.
  • Informazione agli interessati: ove applicabile, informare le persone che sono soggette a un sistema di IA ad alto rischio.

Quasi tutti questi obblighi condividono lo stesso denominatore: sorveglianza umana e una traccia auditabile. Ed è qui che il BPM fa la differenza.

Come conformarsi con un BPM governato

La tesi di Dokuflex è diretta: il BPM governato non è un complemento alla conformità, è il meccanismo di conformità. Quando l'IA vive dentro un processo modellato, gli obblighi dell'EU AI Act smettono di essere documenti e diventano proprietà del workflow.

Requisito dell'EU AI Act Come lo risolve il BPM governato
Sorveglianza umana Human-in-the-loop nativo: l'IA propone, una persona valida nei passi che riguardano le persone prima che il processo prosegua.
Conservazione dei log Log auditabile per ogni esecuzione: input, output del modello, utente che ha validato e timestamp.
Documentazione e governance Versionamento del processo: ogni modifica del workflow e delle sue regole è registrata e ricostruibile.
Tracciabilità del modello Registro di quale modello ha deciso cosa, con quale livello di confidenza e quali fonti ha usato in ogni passo.

Lo stesso principio governa l'IA documentale: per vedere come si applica a un LLM aziendale con dati nella UE, leggi LLM e RAG dentro Dokuflex sotto GDPR europeo, dove tracciabilità e citazione della fonte svolgono la stessa funzione probatoria.

Checklist in 6 punti per il tuo workflow con IA

Prima dell'applicazione generale del 2 agosto 2026, esamina ogni automazione con IA rispetto a questi sei punti:

  1. Su cosa decide? Se influenza decisioni rilevanti sulle persone (occupazione, credito, servizi essenziali), trattala come candidata ad alto rischio.
  2. C'è una sorveglianza umana reale? Assicura un punto di validazione umana con l'autorità di annullare l'output dell'IA.
  3. Le decisioni sono registrate? Ogni esecuzione deve lasciare un log con input, output, modello e persona responsabile.
  4. Il processo è versionato? Le modifiche a regole e flussi devono essere tracciate e ricostruibili.
  5. Sei trasparente? Se è un chatbot o un sistema che interagisce con le persone, deve identificarsi come IA.
  6. Il tuo ruolo è documentato? Definisci se agisci come fornitore o deployer e documenta gli obblighi che assumi in ogni workflow.

Domande frequenti

Il mio workflow con IA è ad alto rischio secondo l'EU AI Act? +

Dipende da cosa decide l'IA. Se il workflow usa l'IA per decidere sulle persone in ambiti dell'Allegato III (selezione di candidature, decisioni di promozione o licenziamento, assegnazione algoritmica di compiti, accesso a servizi essenziali, credit scoring, istruzione o biometria), è probabilmente ad alto rischio. Se l'IA si limita a estrarre o classificare documenti o a redigere bozze che una persona valida, il rischio cala drasticamente perché la decisione resta umana.

Quando si applica l'EU AI Act? +

Il Regolamento (UE) 2024/1689 è entrato in vigore il 1° agosto 2024 con applicazione scaglionata: i divieti e l'alfabetizzazione all'IA si applicano dal 2 febbraio 2025; gli obblighi per i modelli di IA per finalità generali (GPAI) dal 2 agosto 2025; l'applicazione generale, incluso l'alto rischio dell'Allegato III, il 2 agosto 2026; e i sistemi ad alto rischio integrati in prodotti regolamentati dell'Allegato I fino al 2 agosto 2027.

Quali obblighi ho come deployer (utente) di un sistema di IA ad alto rischio? +

Come deployer devi usare il sistema conformemente alle istruzioni del fornitore, garantire una sorveglianza umana effettiva, monitorare il funzionamento e conservare i log generati automaticamente per il periodo applicabile. Il fornitore, a sua volta, si fa carico della gestione dei rischi, della governance dei dati, della documentazione tecnica, del logging, dell'accuratezza, della robustezza e della cybersicurezza del sistema.

Un OCR di fatture o un chatbot interno sono ad alto rischio? +

No. Un OCR che estrae dati dalle fatture è tipicamente a rischio minimo: non decide sulle persone. Un chatbot interno è a rischio limitato e ha solo un obbligo di trasparenza: deve identificarsi come IA verso l'utente. L'alto rischio compare quando l'IA influenza decisioni rilevanti sulle persone, come selezionare candidature o concedere o negare un credito.

Come aiuta un BPM governato a rispettare l'EU AI Act? +

Il BPM governato è il meccanismo di conformità. Offre human-in-the-loop nativo affinché una persona validi qualsiasi decisione che riguardi le persone, un log auditabile per ogni esecuzione, il versionamento del processo e la tracciabilità di quale modello ha deciso cosa e con quale livello di confidenza. Questo copre i requisiti di sorveglianza umana, conservazione dei log e documentazione che il regolamento impone sia al fornitore sia al deployer.

Quali sono le sanzioni per la violazione dell'EU AI Act? +

Il regolamento prevede sanzioni fino a 35 milioni di euro o il 7% del fatturato annuo globale per le pratiche vietate, e fino a 15 milioni di euro o il 3% per la violazione di altri obblighi, applicando l'importo più elevato. Per questo conviene classificare ogni workflow con IA e documentare le misure di governance prima dell'applicazione generale di agosto 2026.

Prossimo passo

Trasforma l'EU AI Act in una proprietà dei tuoi processi

Prenotiamo una sessione guidata di 60 minuti per esaminare i tuoi workflow con IA, classificarne il livello di rischio e vedere come il BPM governato di Dokuflex offre human-in-the-loop, log auditabili e versionamento del processo.

Prenota demo guidata Scopri le capacità IA Inizia gratis