AI Act europeo: cosa cambia per le imprese italiane che usano l'AI

L'introduzione dell'intelligenza artificiale nei processi aziendali non è più solo una questione di fattibilità tecnica, ma richiede una precisa valutazione normativa. Con la pubblicazione in Gazzetta Ufficiale dell'Unione Europea del Regolamento (UE) 2024/1689, noto formalmente come Artificial Intelligence Act, il legislatore ha istituito il primo quadro giuridico completo al mondo sull'AI. L'obiettivo del regolamento non è frenare l'innovazione tecnologica, ma garantire che i sistemi di intelligenza artificiale immessi sul mercato europeo siano sicuri, trasparenti e rispettosi dei diritti fondamentali. A differenza del GDPR, che si concentra sulla tutela dei dati personali, l'AI Act è strutturato come una normativa sulla sicurezza dei prodotti hardware e software, stabilendo requisiti specifici e obblighi di documentazione ancor prima che il sistema venga adottato in produzione.

La classificazione per rischio: l'architettura dell'AI Act

L'intero impianto normativo dell'AI Act si basa su un approccio proporzionale: gli obblighi non dipendono dalla tecnologia utilizzata (es. reti neurali o machine learning tradizionale), ma dal caso d'uso specifico e dal rischio che esso comporta per i cittadini. Il testo suddivide i sistemi in quattro categorie.

• Rischio inaccettabile (Sistemi vietati): Pratiche considerate incompatibili con i valori dell'Unione. Rientrano in questa fascia i sistemi di social scoring (punteggio sociale), le tecniche subliminali per manipolare il comportamento umano e lo scraping indiscriminato di immagini facciali da internet o da telecamere a circuito chiuso per creare database di riconoscimento facciale.
• Alto rischio: È il cuore pulsante del regolamento. L'elenco (aggiornabile nel tempo) è dettagliato nell'Allegato III del Regolamento. Ad esempio, sono sempre considerati ad alto rischio i sistemi usati nel recruiting (screening dei CV, valutazione delle candidature), le soluzioni di scoring creditizio utilizzate per valutare l'affidabilità di un individuo, e i sistemi di identificazione biometrica remota (salvo eccezioni strettamente regolate per le forze dell'ordine).
• Rischio limitato: Sistemi in cui il rischio principale è la mancanza di trasparenza. L'esempio tipico sono i chatbot per l'assistenza clienti o i sistemi di generazione di contenuti (deepfake). Per questi, l'obbligo principale è informare chiaramente l'utente finale che sta interagendo con una macchina o che il contenuto è stato alterato artificialmente.
• Rischio minimo (o nullo): La stragrande maggioranza delle applicazioni attuali, come i filtri antispam o le IA nei videogiochi. L'AI Act non impone requisiti legali aggiuntivi per questi sistemi.

Sviluppatori e Utilizzatori: obblighi differenziati

Per le imprese, il primo passo fondamentale è comprendere il proprio ruolo all'interno della catena del valore dell'AI. Il Regolamento distingue in modo netto tra Provider (chi sviluppa un sistema AI o lo fa sviluppare per immetterlo sul mercato col proprio nome) e Deployer (chi, nell'esercizio della propria attività professionale, utilizza un sistema AI sviluppato da terzi).

Obblighi per chi sviluppa sistemi ad alto rischio (Provider)

Le aziende (incluse le software house italiane) che sviluppano soluzioni ad alto rischio devono garantire la compliance by design. Il regolamento impone la creazione di un rigoroso sistema di gestione dei rischi che deve accompagnare l'intero ciclo di vita del prodotto.

È richiesta una scrupolosa data governance: i set di dati usati per l'addestramento devono essere pertinenti, privi di errori e sufficientemente rappresentativi per evitare bias discriminatori. I provider devono inoltre redigere e mantenere aggiornata una documentazione tecnica dettagliata, implementare sistemi di tracciamento automatico (log) per monitorare il funzionamento del modello, e progettare interfacce che consentano un'effettiva supervisione umana (Human-in-the-loop). Infine, il sistema deve rispondere a precisi requisiti di accuratezza, robustezza e cybersicurezza.

I doveri per le aziende che adottano l'AI (Deployer)

Molte PMI italiane non svilupperanno modelli proprietari da zero, ma acquisteranno licenze software o integreranno API di terze parti. In questo ruolo di Deployer, gli obblighi normativi restano significativi quando si adottano sistemi ad alto rischio.

Le aziende devono utilizzare il sistema seguendo rigorosamente le istruzioni del provider. Devono assicurare che il personale incaricato della supervisione umana abbia le competenze e l'autorità necessarie per intervenire (o interrompere il sistema) in caso di anomalie. È inoltre obbligatorio monitorare il funzionamento, conservare i log (quando generati automaticamente) e, passaggio cruciale in ambito aziendale, informare preventivamente i lavoratori (e le loro rappresentanze) se il sistema ad alto rischio verrà utilizzato sul luogo di lavoro, come nel caso di software AI per la turnazione complessa o la valutazione delle performance.

I modelli General-Purpose AI (GPAI) e le integrazioni

Il testo finale dell'AI Act ha introdotto regole specifiche per i modelli con finalità generali (General-Purpose AI o GPAI), che includono i grandi modelli linguistici (LLM) su cui si basano le moderne applicazioni di AI generativa.

I provider di questi modelli fondazionali devono rispettare obblighi di trasparenza, redigere documentazione tecnica adeguata e dimostrare il rispetto del diritto d'autore del materiale usato per il pre-training. Sono previste regole ancora più restrittive per i modelli GPAI considerati a "rischio sistemico", capaci di potenziale impatto su vasta scala. Per un'azienda italiana che integra un modello GPAI (ad esempio sfruttando un'API commerciale per analizzare i propri documenti), la responsabilità principale si sposta sulla destinazione d'uso: il motore sottostante è soggetto agli obblighi GPAI in capo allo sviluppatore globale, ma l'applicazione finale (il wrapper o la piattaforma) sarà classificata secondo la scala di rischio dell'AI Act in base al contesto (es. supporto clienti vs. decisioni aziendali critiche).

Il calendario di applicazione

L'implementazione delle regole introdotte dal Regolamento avverrà in modo graduale per consentire al mercato di adeguarsi. Entrato ufficialmente in vigore ad agosto 2024, il testo prevede un'applicazione scaglionata nel tempo.

Come indicato nelle linee guida della Commissione Europea sull'AI Act, i divieti per i sistemi a rischio inaccettabile scatteranno a sei mesi dall'entrata in vigore. A dodici mesi si applicheranno le disposizioni per i modelli GPAI, mentre la maggior parte degli obblighi per i sistemi ad alto rischio delineati nell'Allegato III diventerà operativa a 24 mesi (agosto 2026). Per alcuni sistemi ad alto rischio già coperti da specifiche normative di armonizzazione dell'UE (Allegato II), il periodo transitorio sarà di 36 mesi. È raccomandato monitorare le direttive degli enti nazionali di riferimento, come AgID e ACN, per i futuri dettagli applicativi a livello italiano.

Prime azioni pratiche per le PMI italiane

In vista delle scadenze normative, i dipartimenti IT e il management aziendale dovrebbero avviare sin da ora un percorso di allineamento strutturato, tramite azioni specifiche:

1. Inventario (AI Mapping): Censire tutti i sistemi, i software e gli algoritmi attualmente in uso o in fase di test che impiegano intelligenza artificiale, verificando anche funzionalità "nascoste" introdotte dai vendor nei recenti aggiornamenti di piattaforme preesistenti (ERP, CRM, HR software).
2. Classificazione: Valutare ogni singolo sistema mappato incrociandolo con le categorie di rischio previste dal Regolamento (in particolare l'Allegato III), per identificare immediatamente eventuali casi d'uso ad alto rischio.
3. Governance e policy interne: Definire policy d'uso chiare per i dipendenti (Shadow AI), in special modo per l'utilizzo di strumenti di intelligenza artificiale generativa accessibili sul web, regolando quali dati aziendali possono o non possono essere inseriti nei prompt.
4. Gestione dei Fornitori (Vendor Assessment): Aggiornare le procedure di approvvigionamento IT, richiedendo contrattualmente ai fornitori di soluzioni software la garanzia di conformità all'AI Act (e relativa documentazione) per i moduli basati sull'intelligenza artificiale.

In sintesi

• Approccio Risk-Based: L'AI Act dell'UE modula obblighi e adempimenti in base al livello di rischio generato dallo specifico caso d'uso dell'intelligenza artificiale, non alla tecnologia sottostante.
• Provider vs Deployer: La normativa distingue chiaramente le responsabilità di chi sviluppa il sistema AI (creazione, training, documentazione tecnica) da quelle di chi lo implementa in azienda (vigilanza, compliance delle istruzioni d'uso, informazione ai lavoratori).
• Focus sulle applicazioni aziendali: I sistemi adibiti alla selezione del personale, alla gestione delle HR e alla valutazione del credito ricadono tipicamente nella categoria "alto rischio", richiedendo processi di adozione rigorosi.
• Adozione graduale: Le disposizioni entreranno in vigore in fasi scaglionate (da 6 a 36 mesi a partire da agosto 2024), ma la mappatura delle dipendenze tecnologiche attuali è un'attività da avviare nell'immediato.

Adottare l'intelligenza artificiale in ambito enterprise richiede oggi una governance olistica, capace di unire l'innovazione tecnologica posta in essere dai cloud provider con il rispetto del nuovo quadro normativo europeo e dei framework di sicurezza. Per definire un perimetro di applicazione sicuro e normativamente allineato alle specifiche esigenze della vostra infrastruttura informatica, il team di consulenza di Evolve è a disposizione per avviare un confronto tecnico e metodologico.