AI Act · Regolamento (UE) 2024/1689

L'intelligenza artificiale nei fondi pensione: cosa cambia e da quando

Una guida operativa alle scadenze, agli obblighi del deployer e alla classificazione del rischio, aggiornata al Digital Omnibus di giugno 2026.

2 ago 2026trasparenza chatbot — art. 50
2 dic 2027obblighi alto rischio — art. 26 (rinviato)
2 feb 2025AI literacy — già in vigore
Riservato agli abbonati CPNews · servizio di aggiornamento a cura di BM&C Società Benefit
01

Provider e deployer: due ruoli, due responsabilità

Un fondo pensione che utilizza sistemi di IA — anche solo ChatGPT o Claude per scrivere una mail — assume automaticamente il ruolo di deployer. Non è responsabile della progettazione del sistema, ma dell'uso che ne fa.

Provider

Chi progetta e sviluppa

  • Conformità tecnica del sistema ai requisiti dell'AI Act
  • Gestione del rischio e qualità dei dati
  • Documentazione tecnica e marcatura CE, ove richiesta
Deployer — il fondo pensione

Chi utilizza nella propria attività

  • Uso conforme alla destinazione d'uso prevista dal provider
  • Supervisione umana adeguata
  • Personale con sufficiente AI literacy
  • Se alto rischio: obblighi specifici dell'art. 26
Esempio: un fondo che usa un modello linguistico per bozze di comunicazioni agli iscritti non certifica il sistema, ma deve documentarne l'uso e il controllo umano.
02

Il ruolo dei fornitori

Molti sistemi di IA arrivano al fondo incorporati in servizi di terzi: outsourcer amministrativi, gestori finanziari, piattaforme documentali, call center, depositari. La governance dell'IA passa quindi anche dalla gestione contrattuale dei fornitori.

03

Trasparenza verso gli iscritti — art. 50

Dal 2 agosto 2026 un fondo che utilizza chatbot o assistenti virtuali nel rapporto con gli iscritti deve informarli chiaramente che stanno interagendo con un sistema di IA — salvo che ciò risulti già evidente dal contesto.

04

Quando un sistema è "ad alto rischio"

La qualificazione non dipende dalla tecnologia, ma dal settore d'impiego (Allegato III) e dall'effettiva incidenza sulle decisioni riguardanti le persone.

Identificazione biometrica Infrastrutture critiche Istruzione e formazione Lavoro e selezione del personale Servizi essenziali (credito, assicurazioni) Attività di contrasto Migrazione e frontiere Giustizia e processi democratici
Verifica rapida

Il tuo caso d'uso è "ad alto rischio"?

Il sistema rientra in uno dei settori dell'Allegato III elencati sopra?

Il sistema incide concretamente su decisioni riguardanti persone fisiche o sull'esercizio dei loro diritti?

Probabile alto rischio

Si applicano gli obblighi del deployer ex art. 26: uso secondo le istruzioni del provider, supervisione umana, monitoraggio, conservazione log (min. 6 mesi), segnalazione di incidenti gravi. Applicabile dal 2 dicembre 2027.

Non rientra nell'alto rischio ex Allegato III

Restano comunque applicabili: AI literacy (art. 4, già in vigore), eventuali obblighi di trasparenza (art. 50), GDPR e normativa di settore (TUF, disciplina COVIP).

05

Caso pratico: scelta del comparto di investimento

Un motore di IA sul sito del fondo che orienta l'iscritto nella scelta del comparto. Il trattamento cambia radicalmente a seconda del ruolo lasciato alla persona.

Il sistema raccoglie il profilo dell'aderente e assegna automaticamente il comparto, senza verifica umana effettiva.

L'Allegato III non menziona espressamente l'assegnazione a comparti previdenziali — non è quindi automaticamente "ad alto rischio" ai sensi dell'AI Act. Restano però pienamente applicabili GDPR, TUF, disciplina COVIP e le regole sulla profilazione dell'aderente.

Il sistema propone uno o più comparti, spiega i criteri utilizzati, ma lascia la decisione finale all'iscritto o a un operatore.

Difficile ricondurlo all'Allegato III sulla sola base dell'AI Act. Rimane comunque una funzione rilevante sotto il profilo della governance, della trasparenza e della protezione dei dati: nei casi dubbi o complessi, meglio prevedere il rinvio a un operatore umano.
06 Aggiornato al Digital Omnibus — giugno 2026

Le scadenze, in ordine

Il Parlamento europeo ha approvato il Digital Omnibus il 16 giugno 2026, il Consiglio UE il 30 giugno 2026: manca solo la pubblicazione in Gazzetta Ufficiale. Filtra per stato.

2 febbraio 2025
Divieti pratiche vietate + AI literacy
Art. 5 e art. 4. Già pienamente in vigore e sanzionabile.
Vigente
2 agosto 2025
Obblighi per modelli GPAI
Artt. 53–55, modelli di IA per finalità generali.
Vigente
2 agosto 2026
Trasparenza chatbot e assistenti virtuali
Art. 50, par. 1 — riconoscibilità dell'interazione con IA. Confermato, non toccato dall'Omnibus.
Prossimamente in vigore
2 agosto 2026
Governance, vigilanza di mercato, impianto sanzionatorio
Struttura generale di controllo e sanzioni. Confermato.
Prossimamente in vigore
2 dicembre 2026
Marcatura tecnica (watermarking) dei contenuti sintetici
Art. 50, par. 2. Rinviato dall'Omnibus — era 2 agosto 2026.
Rinviato
2 dicembre 2026
Divieto deepfake sessuali non consensuali e materiale pedopornografico sintetico
Introdotto ex novo dall'Omnibus.
Prossimamente in vigore
2 agosto 2027
Sandbox regolamentari nazionali per l'IA
Nuova scadenza introdotta dall'Omnibus.
Rinviato
2 dicembre 2027
Obblighi deployer — sistemi alto rischio stand-alone (Allegato III)
Art. 26. Rinviato dall'Omnibus — era 2 agosto 2026.
Rinviato
2 agosto 2028
Obblighi per sistemi alto rischio integrati in prodotti regolati
Art. 6, par. 1 + Allegato I. Rinviato dall'Omnibus.
Rinviato
07

AI literacy — l'obbligo già operativo

In vigore dal 2 febbraio 2025, non consiste in formazione tecnica sugli algoritmi, ma nella capacità di usare l'IA in modo consapevole, con controllo umano effettivo e riconoscimento dei limiti del sistema.

08

Tre livelli di sanzione — art. 99

I massimali sono europei; la disciplina applicativa italiana è affidata alla L. 132/2025 e ai decreti attuativi attesi entro il 10 ottobre 2026.

Pratiche vietate — art. 5fino a 35 M€ o 7% fatturato

Manipolazione subliminale, social scoring, sfruttamento di vulnerabilità, biometria in tempo reale in spazi pubblici salvo eccezioni.

Altri obblighi — artt. 26, 50 e altrifino a 15 M€ o 3% fatturato

Include le violazioni degli obblighi del deployer di sistemi ad alto rischio e degli obblighi di trasparenza — il livello più rilevante per i fondi pensione.

Informazioni scorrette alle autoritàfino a 7,5 M€ o 1% fatturato

Informazioni inesatte, incomplete o fuorvianti fornite in risposta a una richiesta.

Per un fondo che usa l'IA solo per compiti non ad alto rischio (bozze, sintesi, supporto call center) il rischio sanzionatorio diretto ex art. 99 è oggi remoto; restano i profili reputazionali e di vigilanza COVIP/GDPR.

09

Estratto della norma

Testo integrale dei tre articoli più rilevanti per l'attività dei fondi pensione.

I fornitori e i deployer dei sistemi di IA adottano misure per garantire nella misura del possibile un livello sufficiente di alfabetizzazione in materia di IA del loro personale nonché di qualsiasi altra persona che si occupa del funzionamento e dell'utilizzo dei sistemi di IA per loro conto, prendendo in considerazione le loro conoscenze tecniche, la loro esperienza, istruzione e formazione, nonché il contesto in cui i sistemi di IA devono essere utilizzati, e tenendo conto delle persone o dei gruppi di persone su cui i sistemi di IA devono essere utilizzati.

1. Adottare misure tecniche e organizzative idonee per usare i sistemi conformemente alle istruzioni per l'uso.

2. Affidare la sorveglianza umana a persone con competenza, formazione, autorità e sostegno necessari.

4. Nella misura in cui esercita il controllo sui dati di input, garantire che siano pertinenti e sufficientemente rappresentativi.

5. Monitorare il funzionamento del sistema; informare senza indebito ritardo fornitore e autorità di vigilanza in caso di rischio o incidente grave, sospendendo l'uso del sistema.

6. Conservare i log generati automaticamente, se sotto il proprio controllo, per almeno sei mesi salvo diversa disciplina (es. protezione dati personali).

7. Come datori di lavoro, informare rappresentanti dei lavoratori e lavoratori interessati prima dell'uso sul luogo di lavoro.

9. Usare le informazioni ricevute dal provider per la valutazione d'impatto sulla protezione dei dati ex art. 35 GDPR.

11. Informare le persone fisiche quando un sistema ad alto rischio dell'Allegato III adotta o assiste decisioni che le riguardano.

12. Cooperare con le autorità competenti in relazione al sistema di IA ad alto rischio.

1. I sistemi destinati a interagire direttamente con persone fisiche devono essere progettati perché queste sappiano di interagire con un'IA, salvo che ciò risulti già evidente dal contesto.

2. I contenuti sintetici (audio, immagini, video, testo) devono essere marcati in formato leggibile meccanicamente come generati o manipolati artificialmente, salvo funzioni di editing standard che non alterano sostanzialmente il significato.

3. I deployer di sistemi di riconoscimento delle emozioni o categorizzazione biometrica informano le persone esposte e trattano i dati nel rispetto di GDPR e normativa collegata.

4. I deployer di deepfake e di testo generato per informare il pubblico su questioni di interesse pubblico devono renderne nota la natura artificiale, salvo revisione editoriale umana con responsabilità di un soggetto identificato.

5. Le informazioni vanno fornite in modo chiaro e distinguibile, al più tardi alla prima interazione, nel rispetto dei requisiti di accessibilità.

10

Credits

Progettazione e testi di BM&C Società Benefit

Realizzazione HTML con strumento IA