AI Act & Shadow AI

L'AI è già nel tuo ambulatorio.
La stai governando?

I gestionali che usi ogni giorno integrano intelligenza artificiale. Il tuo personale usa ChatGPT per le comunicazioni. Il Regolamento europeo sull'AI è in vigore e il Digital Omnibus ne ha appena ridisegnato il calendario. Ti aiuto a trasformare il rischio in un vantaggio competitivo.

Feb 2025
Divieti in vigore
Ago 2026
Obblighi trasparenza
Dic 2027
Obblighi alto rischio

Shadow AI: il rischio che non vedi

La Shadow AI è l'uso non autorizzato o non governato di strumenti di intelligenza artificiale all'interno della tua struttura. Non è un problema futuro: sta succedendo adesso.

ChatGPT in reception

Il personale usa ChatGPT per scrivere email, riepilogare referti, rispondere ai pazienti. Senza policy, i dati sanitari finiscono su server di terze parti fuori dal tuo controllo.

AI nei gestionali

Doctolib, MioDottore, CGM e altri gestionali stanno integrando funzionalità AI: suggerimenti di prenotazione, triage automatico, analisi predittive. Sai cosa fanno con i dati dei tuoi pazienti?

Nessuna governance

Senza una policy d'uso dell'AI e una formazione adeguata, ogni collaboratore diventa un potenziale punto di vulnerabilità. Il titolare del trattamento resti tu.

AI Act: cosa cambia per la tua struttura

Il Regolamento UE 2024/1689 è il primo quadro giuridico al mondo sull'intelligenza artificiale. Per i poliambulatori l'impatto è concreto e immediato.

Classificazione a rischio

L'AI Act classifica i sistemi AI in quattro livelli di rischio. In sanità l'alto rischio corre su due binari distinti: i sistemi stand-alone come il triage e l'accesso alle prestazioni (Allegato III) e l'AI integrata nei software qualificati dispositivo medico (Allegato I, via MDR). Binari diversi, scadenze diverse.

Il tuo ruolo: deployer

Come utilizzatore di sistemi AI (deployer), il tuo poliambulatorio ha obblighi diretti: supervisione umana dei sistemi ad alto rischio, informazione ai pazienti, valutazione d'impatto sui diritti fondamentali e cooperazione con le autorità.

Responsabilità dei fornitori

I fornitori dei tuoi gestionali (provider) devono garantire conformità dei loro sistemi AI. Ma se li usi senza le dovute verifiche, la responsabilità ricade anche su di te. Serve una due diligence contrattuale.

Coordinamento AI Act + GDPR

L'AI Act non sostituisce il GDPR: si aggiunge. Ogni sistema AI che tratta dati personali deve rispettare entrambi i regolamenti. La DPIA diventa ancora più strategica.

Calendario di applicazione

Il Digital Omnibus, adottato in via definitiva il 29 giugno 2026 e in attesa della sola pubblicazione in Gazzetta ufficiale, ha ridisegnato le tappe. Ecco il calendario aggiornato che riguarda la tua struttura.

Già in vigore

Febbraio 2025 - Pratiche vietate

Divieto di sistemi AI con rischio inaccettabile: social scoring, manipolazione subliminale, sfruttamento di vulnerabilità. Se un tuo fornitore usa tecniche vietate, sei coinvolto.

Già in vigore

Agosto 2025 - AI general purpose

Obblighi per i modelli di AI a uso generale (ChatGPT, Gemini, Claude). I provider devono garantire trasparenza e documentazione tecnica. Tu devi sapere cosa succede quando il tuo personale li usa.

Imminente

Agosto 2026 - Trasparenza AI

Obblighi di trasparenza ex art. 50: i pazienti devono sapere quando interagiscono con un chatbot, i contenuti generati dall'AI vanno etichettati, i deep fake resi riconoscibili. Data confermata dal Digital Omnibus; slitta solo la marcatura machine-readable per i sistemi già sul mercato, al 2 dicembre 2026.

Nuovo - Digital Omnibus

Dicembre 2026 - Divieto nudify e CSAM sintetico

Nuovo divieto assoluto per i sistemi che generano immagini intime non consensuali o materiale pedopornografico sintetico. Riguarda anche i sistemi generici privi di presidi tecnici adeguati: un motivo in più per la due diligence sui fornitori.

Differito al 2027

Dicembre 2027 - Alto rischio stand-alone (Allegato III)

Obblighi per i sistemi AI ad alto rischio stand-alone: triage dei pazienti in emergenza, classificazione per l'accesso alle prestazioni, allocazione delle risorse. La scadenza originaria di agosto 2026 è stata differita dal Digital Omnibus. Il tempo guadagnato serve a mappare e classificare, non ad aspettare.

2028

Agosto 2028 - AI nei dispositivi medici (Allegato I)

Obblighi per i sistemi AI integrati in software e apparecchi qualificati dispositivo medico ai sensi del MDR: supporto alla refertazione con finalità clinica, imaging diagnostico, suggerimenti terapeutici. Scadenza differita di un anno rispetto all'agosto 2027 originario.

Cosa faccio per la tua struttura

Un percorso pratico per governare l'AI nel tuo poliambulatorio, dalla mappatura alla formazione.

1

Mappatura AI in uso

Identifico tutti gli strumenti AI presenti nella tua struttura: quelli ufficiali nei gestionali, quelli usati informalmente dal personale, quelli nascosti nelle integrazioni dei fornitori. Nessun punto cieco.

2

Classificazione del rischio

Per ogni sistema AI identificato, determino il livello di rischio secondo l'AI Act - binario Allegato III o binario dispositivi medici - e valuto l'impatto sul trattamento dei dati sanitari. La base per ogni decisione successiva, anche perché dalla qualificazione dipende la scadenza: dicembre 2027 o agosto 2028.

3

Policy d'uso dell'AI

Creo una policy chiara e applicabile: cosa si può usare, come, con quali limiti. Regole specifiche per ChatGPT e strumenti simili, per le funzionalità AI dei gestionali, per la comunicazione con i pazienti.

4

Due diligence fornitori

Verifico che i contratti con i fornitori dei gestionali coprano gli obblighi AI Act. Se Doctolib o MioDottore integrano AI, devi sapere cosa fanno, con quali dati, e avere le garanzie contrattuali adeguate.

5

Formazione del team

Formo il personale sull'uso consapevole dell'AI: cosa possono fare, cosa no, come riconoscere i rischi. Il Digital Omnibus ha alleggerito l'obbligo generale di alfabetizzazione AI, ma per chi supervisiona sistemi ad alto rischio la formazione resta un obbligo pieno. Una formazione pratica previene la Shadow AI alla radice.

Scenari reali nel tuo poliambulatorio

L'AI non è un tema astratto. Ecco situazioni che probabilmente stai già vivendo.

Email e comunicazioni

La segreteria usa ChatGPT per redigere risposte ai pazienti, riepilogare referti, tradurre documenti. Senza policy, i dati sanitari vengono inseriti in un sistema esterno senza base giuridica e senza DPA.

Prenotazioni intelligenti

Il gestionale suggerisce slot ottimali, invia promemoria personalizzati, ottimizza le agende. Dietro c'è un algoritmo che profila i pazienti. Sai quali dati usa e dove li conserva?

Supporto alla refertazione

Alcuni software propongono completamenti automatici dei referti o suggeriscono codici diagnostici. Se hanno finalità clinica possono ricadere nel binario dei dispositivi medici. E se il medico si affida senza supervisione critica, il rischio clinico e legale è tuo.

Chatbot e triage online

Il sito del poliambulatorio ha un chatbot che raccoglie sintomi e indirizza i pazienti? E un sistema AI che tratta dati sanitari: dall'agosto 2026 il paziente deve sapere che sta parlando con una macchina, e se il sistema orienta l'accesso alle cure siamo nel perimetro alto rischio dell'Allegato III.

L'AI nel tuo ambulatorio va governata, non temuta

Il Digital Omnibus ha spostato le scadenze, non gli obblighi. Partiamo da una mappatura gratuita: scopriamo insieme quanta AI c'è già nella tua struttura e come gestirla in sicurezza.