Consulenza AI
La legge AI dell’UE a Cipro: cosa devono fare davvero le aziende prima di agosto 2026
Vincent Wahidi
La legge AI dell’UE non è un problema astratto di Bruxelles per le aziende cipriote. Il paese ha un coordinatore nazionale nominato, una task force che si riunisce dal 2025 e un impegno pubblico ad avviare una sandbox normativa nazionale per l’AI entro agosto 2026, lo stesso mese in cui entrano in vigore gli obblighi ad alto rischio e le relative sanzioni. Se costruisci, acquisti o distribuisci AI che tocca le persone, quella data è abbastanza vicina da pianificarla ora, non più avanti.
Chi rientra davvero nell’ambito di applicazione, in termini semplici
La legge suddivide ogni sistema AI in quattro livelli di rischio, e solo due richiedono un lavoro vero. Le pratiche a rischio inaccettabile, come il punteggio sociale del governo e i sistemi manipolativi che causano danni, sono vietate del tutto dal 2 febbraio 2025. Il software a rischio minimo, che copre la maggior parte degli strumenti aziendali ordinari, non comporta alcun nuovo obbligo.
I livelli che contano stanno nel mezzo. I sistemi a rischio limitato, tra cui la maggior parte dei chatbot e degli strumenti di raccomandazione, comportano un dovere di trasparenza: avvisare le persone quando stanno parlando con un bot. I sistemi ad alto rischio comportano gli obblighi pesanti, documentazione, registrazione, supervisione umana e una valutazione di conformità prima di entrare in funzione, ed è qui che va la maggior parte del budget di conformità. Un sistema è ad alto rischio se è un componente di sicurezza di un prodotto già regolamentato, oppure se opera in un’area elencata dall’allegato III: assunzione, accesso all’istruzione, credit scoring e servizi finanziari essenziali, servizi pubblici essenziali, applicazione della legge, migrazione o amministrazione della giustizia. Abbiamo approfondito i livelli e la struttura delle sanzioni in La legge UE AI: cosa significa realmente per le aziende che spediscono AI; questo articolo si concentra su cosa deve fare in concreto un’azienda cipriota.
Le istituzioni cipriote che se ne occupano ora
Cipro ha assegnato un coordinatore nazionale per la legge AI: il Vice Ministero della Ricerca, dell’Innovazione e della Politica Digitale. È l’organismo a cui un’azienda cipriota risponderà in ultima istanza per le questioni di attuazione nazionale, ed è quello da tenere d’occhio per le indicazioni locali man mano che si avvicina la scadenza di agosto 2026 (Mondaq).
Nel 2025 è stata istituita una Task Force nazionale per l’AI, presieduta dal Chief Scientist Demetris Skourides, per coordinare l’approccio del paese tra i vari ministeri. Cipro si è inoltre impegnata ad avviare una sandbox normativa nazionale per l’AI entro agosto 2026, un ambiente supervisionato in cui le aziende, in particolare quelle più piccole senza team legali interni, possono testare un sistema AI rispetto ai requisiti della legge prima di impegnarsi in una costruzione completa (Chambers and Co; Global Legal Insights, capitolo AI su Cipro). Nulla di tutto ciò modifica la legge UE sottostante, ma significa che un’azienda cipriota ha un coordinatore locale specifico e, col tempo, una via sandbox per testare la conformità invece di procedere per tentativi in isolamento.
Una sequenza pratica di conformità
Salta l’approccio del raccoglitore di conformità. Segui invece questa sequenza, in ordine, perché ogni passaggio dipende da quello precedente.
- Inventaria ogni sistema AI che costruisci o acquisti. Includi quelli evidenti (un chatbot, uno strumento di scoring) e quelli silenziosi: funzionalità che un fornitore ha aggiunto al tuo CRM, alla piattaforma contabile o al software HR e che ora formulano una raccomandazione automatica. Non puoi classificare ciò che non hai elencato. Procedi reparto per reparto invece di affidarti solo all’elenco dell’IT, perché il nuovo strumento di personalizzazione del marketing o la nuova funzione di riconciliazione fatture della finanza raramente vengono segnalati internamente come "AI", anche se alla legge non importa come li chiama il tuo team.
- Classifica ogni sistema per livello di rischio. Sii rigoroso riguardo all’allegato III. Se un sistema aiuta a decidere chi viene assunto, chi ottiene credito o chi ottiene un beneficio, trattalo come ad alto rischio finché non puoi dimostrare il contrario. Quando lo scopo di un sistema è davvero ambiguo, ottieni un parere scritto invece di indovinare; il costo di una breve revisione legale è minimo rispetto al costo di sbagliare la valutazione.
- Documenta ciò che trovi. Per tutto ciò che è ad alto rischio, questo significa documentazione tecnica, registri di governance dei dati che mostrano quali sono i dati di addestramento e di input e da dove provengono, e una registrazione che ti permetta di ricostruire come è stata presa una decisione. Scrivilo mentre costruisci, non dopo che un’autorità di regolamentazione te lo chiede. Aggiungere documentazione a posteriori su un sistema attivo da un anno è più lento e meno preciso del ricordo di un collega su come è stato costruito.
- Integra la supervisione umana. Una persona nominata deve essere in grado di comprendere, scavalcare e fermare il sistema. Deve essere una capacità reale integrata nel prodotto, non una casella spuntata alla fine. Se il tuo team non riesce a descrivere, in termini semplici, come qualcuno interverrebbe realmente quando il sistema sbaglia, la supervisione non è ancora reale.
- Assegna un responsabile. Ogni sistema ad alto rischio ha bisogno di una persona che ne risponda. La conformità senza un responsabile non avviene; va alla deriva finché un audit o un incidente non forza la questione. Il responsabile non deve essere un avvocato; deve essere la persona che si accorgerebbe davvero se il sistema iniziasse a comportarsi male.
- Preparati alla valutazione di conformità e alla registrazione. Un sistema ad alto rischio necessita di una valutazione di conformità e di una voce nel database dell’UE prima di entrare in funzione. Inserisci questa tempistica nel piano di progetto fin da ora, invece di trattarla come una formalità dell’ultima settimana; per un sistema già in produzione, pianifica la valutazione come un lavoro a sé, non come un ripensamento aggiunto al prossimo rilascio di funzionalità.
Cosa dovrebbero fare le PMI cipriote in questo trimestre
La maggior parte delle aziende cipriote non gestisce AI ad alto rischio, e il primo passo onesto è verificarlo, non darlo per scontato. In questo trimestre, una PMI cipriota dovrebbe:
- Eseguire correttamente il passaggio di inventario descritto sopra, incluse le funzionalità AI integrate in software di terze parti che già paghi.
- Leggere i termini di qualsiasi fornitore AI da cui dipendi. I loro obblighi ai sensi della legge non eliminano i tuoi obblighi in quanto utilizzatore del sistema.
- Tenere d’occhio le indicazioni del Vice Ministero della Ricerca, dell’Innovazione e della Politica Digitale in qualità di coordinatore nazionale, e l’apertura della sandbox, poiché è rivolta in parte alle aziende delle tue dimensioni.
- Considerare il 2 agosto 2026 come scadenza operativa per tutto ciò che rientra nel livello ad alto rischio, e avviare la documentazione ora, mentre il sistema è ancora piccolo e l’adeguamento retroattivo costa poco.
Per le aziende senza esposizione ad alto rischio, è un trimestre di lavoro leggero. Per quelle con un sistema che tocca assunzioni, credito o un settore regolamentato, il lavoro è reale, e iniziare presto fa la differenza tra un esercizio di documentazione e una corsa contro il tempo.
Dove aiutano ingegneria e consulenza
Mappare i tuoi sistemi sui livelli di rischio della legge, costruire la documentazione richiesta da un sistema ad alto rischio e integrare un percorso di supervisione umana funzionante direttamente nel prodotto è esattamente il tipo di lavoro che la nostra pratica di consulenza AI svolge a Cipro. È più facile integrarlo fin dall’inizio che aggiungerlo a un sistema già attivo.
Perché un mercato locale piccolo non significa meno esposizione
È tentante presumere che una piccola azienda cipriota, lontana da Bruxelles e senza un nome noto, resti fuori dalla reale attenzione della legge. È una lettura sbagliata di come si applicano gli obblighi. La legge si applica in base a cosa fa un sistema, non alle dimensioni dell’azienda che lo gestisce. Un’impresa di dieci persone a Limassol che usa uno strumento di reclutamento di terzi per selezionare i CV sta utilizzando un sistema ad alto rischio esattamente come farebbe una multinazionale, e porta gli stessi obblighi indipendentemente dal numero di dipendenti. Le piccole dimensioni di Cipro giocano anche a favore: un coordinatore nazionale, una task force e una sandbox in arrivo significano che le indicazioni locali sono più accessibili qui che in uno stato membro più grande, dove una piccola azienda farebbe fatica a ottenere l’attenzione di chiunque. Sfrutta questo accesso invece di presumere che non ti riguardi.
La conclusione
Cipro non sta aspettando che Bruxelles imponga istruzioni senza alcun livello locale. C’è un coordinatore nominato, una task force e un impegno per una sandbox, tutti puntati sulla stessa data di agosto 2026 del resto dell’UE. Inventaria ciò che gestisci, classificalo onestamente rispetto all’allegato III, e documenta i sistemi che rientrano nel livello ad alto rischio. Per la maggior parte delle aziende è un lavoro contenuto. Per quelle per cui non lo è, prima si inizia, meno costa.

Vincent Wahidi
Autore
Vincent Wahidi is the director of Encelyte, a computer engineer who builds production AI, automation, and custom software for enterprises across Cyprus and the wider region. He writes the strategy, cost and decision-maker pieces himself; the practical how-to guides are curated under the five mission-cat bylines below.
Domande frequenti
Il mio chatbot è ad alto rischio secondo la legge AI?
Di solito no. Un chatbot che risponde a domande sui prodotti o gestisce i ticket di assistenza rientra nel livello di rischio limitato, dove l’unico obbligo è avvisare le persone che stanno parlando con un bot. Lo stesso chatbot diventa ad alto rischio se viene riadattato per selezionare i candidati al lavoro, valutare l’affidabilità creditizia o prendere una decisione in una delle aree elencate nell’allegato III. Verifica cosa decide il sistema, non come viene chiamato.
Qual è la scadenza reale della legge AI dell’UE a Cipro?
Le pratiche vietate sono bandite dal 2 febbraio 2025, e gli obblighi per i modelli AI per scopi generali si applicano dal 2 agosto 2025. La data che conta per la maggior parte delle aziende cipriote è il 2 agosto 2026, quando entrano in vigore gli obblighi ad alto rischio e le relative sanzioni. L’AI ad alto rischio incorporata in prodotti già regolamentati (dispositivi medici, macchinari) ha tempo fino al 2 agosto 2027.
Quali sono le sanzioni per la non conformità?
Utilizzare un sistema AI vietato può costare fino a 35 milioni di euro o il 7% del fatturato annuo globale, a seconda di quale sia il valore più alto. Violare gli obblighi ad alto rischio può arrivare a 15 milioni di euro o al 3% del fatturato. Fornire alle autorità di regolamentazione informazioni scorrette o fuorvianti può arrivare a 7,5 milioni di euro, ovvero l’1%. Si tratta di massimali proporzionati alla violazione, non di una tariffa fissa.
Devo assumere un responsabile dedicato alla conformità AI?
Non necessariamente una nuova assunzione, ma serve un responsabile nominato per ogni sistema ad alto rischio, qualcuno che risponda della sua documentazione, del monitoraggio e del percorso di supervisione umana. Per una piccola o media azienda cipriota, spesso è un responsabile operativo, legale o tecnico già presente ad assumere il ruolo, non un nuovo reparto.
Da leggere dopo
Sovvenzioni statali per la digitalizzazione e l’AI a Cipro: la guida 2026
Hai un problema che vale la pena risolvere?
Raccontaci cosa stai costruendo o sistemando. Risponderemo entro un giorno lavorativo con un passo successivo chiaro.
