Quando il Parlamento Europeo ha approvato l’AI Act nel marzo 2024, la narrazione dominante lo ha presentato come un atto di civiltà regolatoria: la prima legge al mondo sull’intelligenza artificiale, un modello per il mondo. La stampa specializzata ha parlato di tutela dei diritti fondamentali, di trasparenza algoritmica, di accountability.
Nessuno ha parlato di struttura dei costi.
È un’omissione significativa. Perché il vero effetto dell’AI Act non si misura nella riduzione del rischio algoritmico — si misura nella redistribuzione del potere di mercato. E quella redistribuzione avviene attraverso un meccanismo preciso: il costo della conformità.
La tesi
L’AI Act non disciplina la tecnologia. Disciplina la struttura dei costi, e attraverso di essa, la concentrazione del mercato. Chi ha capitale e struttura organizzativa per sostenere la compliance integrale guadagna una barriera competitiva. Chi non li ha — PMI tecnologiche, startup, operatori finanziari mid-market — si trova di fronte a un’alternativa binaria: rinunciare all’AI nei processi ad alto rischio, oppure esternalizzare a chi già controlla l’infrastruttura.
Il risultato paradossale è che una norma concepita per ridurre i rischi dell’AI potrebbe accelerare la concentrazione sistemica dell’AI stessa.
La struttura degli incentivi
Per capire perché, è necessario guardare all’architettura concreta della compliance prevista per i sistemi AI ad alto rischio — la categoria che include, tra gli altri, i sistemi usati in contesti di valutazione del credito, assicurazione, selezione del personale, infrastrutture critiche.
Per questi sistemi, l’AI Act impone:
Documentazione tecnica e registrazione. Prima della messa in servizio, ogni sistema ad alto rischio deve essere corredato da documentazione tecnica dettagliata che copre architettura del modello, dati di addestramento, metodologie di validazione, procedure di monitoraggio post-deployment. Non si tratta di formalità: è un processo che richiede competenze specialistiche (AI engineer, data governance specialist, legal counsel con background tecnico) e ore significative di lavoro qualificato.
Conformità dei dati di addestramento. L’articolo 10 del Regolamento richiede che i dataset usati per l’addestramento siano “pertinenti, rappresentativi, liberi da errori e completi” — standard che suona ragionevole in astratto, ma che in pratica implica audit strutturati dei dataset, tracciabilità delle fonti, verifica dei bias statistici. Per chi usa modelli fondazionali di terze parti (come accade nella quasi totalità dei casi), la questione si complica ulteriormente: la conformità del fornitore non trasferisce automaticamente la conformità all’utilizzatore.
Supervisione umana certificabile. Non basta affermare che un operatore umano supervisiona il sistema: occorre dimostrare che il sistema è progettato per consentire una supervisione efficace, che gli operatori sono formati adeguatamente, che esistono procedure documentate di intervento. Questo richiede processi di change management interni e formazione continua.
Registrazione nel database EU. I sistemi ad alto rischio devono essere registrati nel database europeo prima del deployment. La registrazione implica classificazione del rischio — e la classificazione sbagliata espone a sanzioni.
Valutazione di conformità e audit. Per alcune categorie, la conformità richiede l’intervento di un organismo notificato terzo. Il costo di un audit di conformità AI da parte di un organismo certificato si colloca, nelle prime stime di mercato, tra i 50.000 e i 200.000 euro, a seconda della complessità del sistema.
Sommando questi elementi — personale specializzato, audit dei dati, consulenza legale tecnica, formazione, eventuale certificazione — il costo di compliance per un singolo sistema AI ad alto rischio si misura in centinaia di migliaia di euro, con oneri ricorrenti per il mantenimento.
Per un operatore con 200 milioni di fatturato e un team IT di dieci persone, questo non è un costo di compliance: è una scelta strategica sulla sopravvivenza competitiva.
| Voce di costo | Natura | Range stimato (€) | Note |
|---|---|---|---|
| Documentazione tecnica e data governance | Una tantum | 30.000 – 80.000 | Include audit dataset, tracciabilità, analisi dei bias |
| Consulenza legale specializzata (AI + GDPR) | Una tantum | 20.000 – 50.000 | Classificazione rischio, contratti fornitori, liability chain |
| Audit di conformità (organismo notificato) | Una tantum | 50.000 – 200.000 | Richiesto per categorie specifiche; costo variabile per complessità |
| Formazione operatori e change management | Una tantum | 10.000 – 30.000 | Supervisione umana certificabile; aggiornamento processi interni |
| Monitoraggio post-deployment e revisione annuale | Ricorrente | 15.000 – 40.000 / anno | Obbligatorio; include aggiornamento documentazione e log di sistema |
| Registrazione e gestione database EU | Ricorrente | 2.000 – 8.000 / anno | Onere amministrativo; rischio sanzione per misclassificazione |
| Totale stimato (primo anno) | — | 127.000 – 408.000 | Escluse risorse interne; esclude eventuali remediation |
Fonte: stime di mercato aggregato 2024–2025. I valori variano in base a dimensione organizzativa, complessità del sistema e categoria di rischio AI Act.
L’effetto sistemico
Il meccanismo che si innesca ha un nome preciso nell’economia industriale: regulatory moat. Una barriera all’ingresso costruita non attraverso l’innovazione, ma attraverso la capacità di assorbire i costi regolatori.
Gli incumbent — banche sistemiche, assicuratori di primo livello, grandi piattaforme tecnologiche — possono distribuire il costo della compliance AI su portafogli di sistemi ampi, strutture di governance già esistenti, team legal e compliance già dimensionati. Per loro, l’AI Act è un costo incrementale su un’infrastruttura già presente.
Per un’insurtech con 30 dipendenti che ha sviluppato un sistema proprietario di pricing assicurativo basato su machine learning, lo stesso costo è una barriera d’ingresso che può rendere non economicamente sostenibile l’operazione autonoma. Le alternative sono: rinunciare al sistema, integrarlo in una piattaforma di un grande player (cedendo dati e controllo), oppure appoggiarsi a fornitori di AI as a service che offrono modelli “pre-certificati” — concentrando ulteriormente il mercato sui pochi che possono permettersi la certificazione.
L’effetto sistemico è quindi duplice. Sul lato dell’offerta AI, si riduce il numero di operatori che possono sviluppare e deployare sistemi autonomamente. Sul lato della domanda, gli utilizzatori finali mid-market tendono verso la dipendenza da pochi fornitori infrastrutturali — Amazon Web Services, Microsoft Azure, Google Cloud — che offrono layer di compliance integrata, ma a prezzo di dipendenza tecnologica e concentrazione di dati.
Il risultato è controintuitivo rispetto alle intenzioni del legislatore: una norma pensata per distribuire il rischio può concentrare il controllo.
L’implicazione per il decisore
Chi siede in un CDA o in un comitato esecutivo di un’istituzione finanziaria o di un operatore in mercati regolati deve riformulare la domanda.
La domanda sbagliata è: siamo compliant con l’AI Act?
La domanda corretta è: la nostra architettura AI è sostenibile sotto pressione regolatoria nel medio periodo?
La differenza non è semantica. La prima domanda è statica e delegabile al team legale. La seconda è dinamica e richiede una valutazione strategica che interseca tecnologia, struttura organizzativa, catena contrattuale con i fornitori e scenario competitivo.
In concreto, questo significa:
Mappatura della dipendenza. Quali sistemi AI utilizzate — anche indirettamente, attraverso fornitori di servizi — ricadono nella categoria ad alto rischio secondo la tassonomia dell’AI Act? La risposta è spesso meno ovvia di quanto sembri: un sistema di scoring creditizio erogato come API da un fornitore terzo è comunque un sistema ad alto rischio per chi lo utilizza in decisioni vincolanti.
Analisi della catena di responsabilità. Il Regolamento distingue tra “provider” (chi sviluppa o immette sul mercato) e “deployer” (chi utilizza in un contesto specifico). Ma la responsabilità del deployer non è eliminata dalla compliance del provider. Nei contratti di fornitura AI, questa distinzione deve essere esplicitata e allocata con precisione.
Valutazione del make-or-buy in chiave regolatoria. Per molte organizzazioni mid-market, la scelta ottimale sotto regime AI Act non è sviluppare sistemi proprietari, ma selezionare fornitori che abbiano già sostenuto i costi di conformità — con la consapevolezza che questa scelta riduce il controllo e aumenta la dipendenza.
Governance come funzione, non come procedura. L’AI governance non può essere un documento approvato annualmente dal board. Richiede una struttura organizzativa con ownership chiara, processi di revisione continua e — in molti casi — competenze che le organizzazioni finanziarie tradizionali non hanno ancora internalizzato.
| Dimensione di valutazione | Sviluppo proprietario (Make) | Acquisto / API provider (Buy) | AI-as-a-Service certificato |
|---|---|---|---|
| Costo di conformità iniziale | Elevato — piena responsabilità interna | Medio — compliance parzialmente trasferita | Basso — provider assorbe costi certificazione |
| Controllo sul modello | Pieno — architettura e dati proprietari | Parziale — dipendenza da API e SLA | Limitato — black box, personalizzazione ridotta |
| Responsabilità legale (deployer) | Piena — nessun trasferimento possibile | Piena — compliance provider non copre il deployer | Condivisa — contrattualmente allocabile |
| Dipendenza da fornitori | Nulla — indipendenza tecnologica | Media — rischio vendor lock-in | Alta — lock-in infrastrutturale e di dati |
| Scalabilità regolatoria | Complessa — ogni aggiornamento normativo richiede revisione interna | Variabile — dipende da contratto con il provider | Elevata — il provider aggiorna la conformità |
| Adatto a (profilo tipo) | Operatori con team AI interno, IP strategica, budget > €500k | Operatori mid-market con use case specifici e risorse limitate | PMI finanziarie, insurtech early-stage, funzioni non core |
Elaborazione Calvi & Partners. La matrice è indicativa: la scelta ottimale dipende da profilo organizzativo, categoria di rischio AI Act e strategia di governance.
Il rischio nascosto
C’è un rischio di secondo livello che raramente emerge nelle analisi standard sull’AI Act, e che merita attenzione specifica.
Il Regolamento prevede un sistema di sanzioni significativo — fino al 3% del fatturato mondiale per violazioni delle obbligazioni dei deployer, fino al 6% per i provider. Queste cifre hanno generato nelle organizzazioni una risposta comprensibile: prioritizzare la compliance formale, la produzione di documentazione, la certificazione.
Il rischio è che la compliance formale diventi un sostituto della governance reale. Un’organizzazione può produrre documentazione tecnica impeccabile su un sistema di credit scoring e continuare a usarlo in modo non supervisionato nei processi decisionali concreti. Può avere procedure scritte di supervisione umana e non formare mai gli operatori a esercitarla. Può registrare il sistema nel database europeo e non avere alcun processo per gestire il comportamento del sistema in scenari anomali.
Questo è il punto più pericoloso dell’AI Act nella sua implementazione pratica: crea un incentivo molto forte alla compliance documentale — che è misurabile e certificabile — e un incentivo molto debole alla governance sostanziale — che è opaca, costosa da costruire e difficile da dimostrare.
Il risultato potenziale è un mercato in cui i sistemi AI sono ben documentati e scarsamente governati. Non è una proiezione pessimistica: è il pattern osservato in ogni ciclo regolatorio precedente, dalla compliance finanziaria post-2008 alla privacy post-GDPR.
Una norma necessaria?
L’AI Act è una norma necessaria. Il problema non è la sua esistenza, ma la sua interpretazione prevalente — che la tratta come un esercizio di compliance piuttosto che come una variabile strutturale nella competizione di mercato.
Per i decisori che operano in mercati regolati, la questione non è se adeguarsi. La questione è capire che l’adeguamento non è neutro: ha costi asimmetrici che redistribuiscono potere di mercato, crea dipendenze da fornitori infrastrutturali, e può produrre una forma di governance algoritmica che è formalmente conforme e sostanzialmente opaca.
Chi capisce questa struttura prima degli altri non sta solo gestendo un rischio regolatorio. Sta leggendo una mappa del potere.
-
Quali sono i costi di conformità dell’AI Act per un’azienda mid-market?
Per un singolo sistema AI ad alto rischio, i costi di conformità AI Act nel primo anno variano tra 127.000 e 408.000 euro, escludendo le risorse interne. Le voci principali includono documentazione tecnica e audit dei dati, consulenza legale specializzata, eventuale certificazione da organismo notificato, formazione degli operatori e monitoraggio post-deployment ricorrente. Per le PMI finanziarie e gli operatori mid-market, questi costi non sono incrementali ma strategici: determinano la sostenibilità competitiva dell’operazione autonoma in mercati regolati.
-
L’AI Act si applica anche a chi usa sistemi AI di terze parti?
Sì. Il Regolamento distingue tra “provider” — chi sviluppa o immette sul mercato il sistema — e “deployer”, ovvero chi lo utilizza in un contesto specifico per prendere decisioni. La conformità del provider non trasferisce automaticamente la conformità al deployer. Un operatore finanziario che utilizza un sistema di credit scoring tramite API di terze parti è comunque soggetto agli obblighi del deployer, inclusi la supervisione umana, la gestione dei log e la responsabilità verso gli utenti finali. Questo aspetto è spesso sottovalutato nella pianificazione della compliance.
-
Cosa si intende per “regulatory moat” nel contesto dell’AI Act?
Il concetto di “regulatory moat” indica una barriera all’ingresso costruita non attraverso l’innovazione tecnologica, ma attraverso la capacità di assorbire i costi regolatori. Nel contesto dell’AI Act, i grandi operatori — banche sistemiche, assicuratori di primo livello, piattaforme tecnologiche — possono distribuire i costi di conformità su portafogli ampi e strutture di governance già esistenti. Per le realtà più piccole, gli stessi costi diventano una barriera che favorisce la dipendenza dai grandi fornitori infrastrutturali, accelerando di fatto la concentrazione del mercato AI invece di ridurne i rischi.
-
Quali sistemi AI sono considerati ad alto rischio dall’AI Act nel settore finanziario?
L’AI Act classifica come ad alto rischio i sistemi AI utilizzati in processi decisionali che impattano diritti e interessi significativi delle persone. Nel settore finanziario e assicurativo rientrano in questa categoria i sistemi di valutazione del merito creditizio, i modelli di pricing assicurativo che influenzano l’accesso alle coperture, i sistemi di scoring per l’accesso a servizi finanziari essenziali, e alcuni sistemi di rilevamento delle frodi con effetti vincolanti. La classificazione richiede una valutazione caso per caso: l’uso dello stesso modello in contesti diversi può generare obblighi differenti.
-
Qual è la differenza tra compliance formale e governance sostanziale dell’AI?
La compliance formale riguarda la produzione di documentazione tecnica, la registrazione nei database previsti e il superamento degli audit: è misurabile, certificabile e delegabile. La governance sostanziale riguarda il modo in cui i sistemi AI vengono effettivamente supervisionati, aggiornati e controllati nei processi decisionali reali. L’AI Act crea forti incentivi alla prima e incentivi deboli alla seconda. Un’organizzazione può essere formalmente conforme e sostanzialmente non governata: questo è il principale rischio di secondo livello della norma, e il pattern già osservato nei cicli regolatori post-GDPR e post-2008.
Calvi & Partners è una boutique di advisory strategico specializzata in AI governance e fintech architecture. Operiamo dove tecnologia, capitale e regolamentazione si sovrappongono.
Related Posts
2 Gennaio 2026
DAC8 e criptovalute: l’illusione di regolamentare il vento
La direttiva DAC8 introduce dal 2026 il tracciamento automatico delle…
26 Dicembre 2025
ChatGPT entra nell’intimità. Con molta calma e poche regole
L’apertura di ChatGPT ai contenuti maturi segna un passaggio chiave…
22 Dicembre 2025
Capire l’AI quando tutti parlano di “bolla”
La bolla AI in Europa viene raccontata come un rischio imminente, ma tra…