AI Act: cosa devono sapere oggi le imprese italiane
Dal primo agosto 2024 il Regolamento UE 2024/1689, quello che tutti chiamano AI Act, è entrato in vigore. Le sue disposizioni si applicano gradualmente fino al 2027, ma alcune obbligazioni sono già operative e altre scattano nel 2025 e nel 2026. Se gestisci un’impresa italiana che usa strumenti AI, o che sta valutando di introdurli, questo non è un tema che puoi rimandare a quando “sarà più chiaro”.
Non è un testo semplice. Ha 180 articoli, 13 allegati e una logica regolatoria che presuppone una certa familiarità con il diritto europeo. Questo articolo non è la versione integrale, è la versione utile: quello che devi sapere per capire se e come l’AI Act riguarda la tua organizzazione.
Se vuoi leggere il testo completo, lo trovi sul sito ufficiale EUR-Lex.
La logica di fondo: il rischio come criterio
L’AI Act non vieta l’AI. Regolamenta il suo utilizzo in base al livello di rischio che un sistema AI comporta per le persone. Più il rischio è alto, più gli obblighi sono stringenti. È una logica simile a quella che già conosci per altri ambiti regolatori, dalla sicurezza sul lavoro alla protezione dei dati.
Esistono quattro livelli di rischio.
Rischio inaccettabile. Sistemi AI vietati del tutto, perché incompatibili con i valori fondamentali dell’Unione europea. Rientrano in questa categoria i sistemi di scoring sociale generalizzato, la manipolazione subliminale, il riconoscimento delle emozioni nei luoghi di lavoro e nelle scuole in quasi tutti i casi, e alcuni usi del riconoscimento biometrico in tempo reale negli spazi pubblici.
Alto rischio. È la categoria più rilevante per le imprese. Sistemi AI usati in ambiti come selezione del personale, concessione di credito, valutazione degli studenti, gestione di infrastrutture critiche, dispositivi medici, amministrazione della giustizia. Chi sviluppa o mette in uso questi sistemi ha obblighi precisi: documentazione tecnica, registrazione in una banca dati europea, valutazione della conformità, supervisione umana, trasparenza verso gli utenti.
Rischio limitato. Sistemi come i chatbot, che devono informare l’utente che sta interagendo con una macchina. Obblighi di trasparenza, non di conformità strutturale.
Rischio minimo. La grande maggioranza degli strumenti AI in uso oggi nelle imprese, dai filtri antispam agli strumenti di analisi dei dati. Nessun obbligo specifico, salvo quelli già previsti da altre normative come il GDPR.
Chi è soggetto agli obblighi e in che misura
L’AI Act distingue tra chi sviluppa sistemi AI, chi li mette sul mercato e chi li utilizza. Per la maggior parte delle PMI italiane la posizione rilevante è quella del deployer, cioè chi usa un sistema AI sviluppato da altri nel proprio contesto operativo.
Il deployer non ha gli stessi obblighi del produttore, ma non è esente. Deve verificare che il sistema che usa sia conforme, informare i lavoratori quando vengono utilizzati sistemi AI che li riguardano, garantire la supervisione umana nei sistemi ad alto rischio e non usare i sistemi per finalità diverse da quelle previste.
In pratica: se la tua azienda usa uno strumento AI per la selezione del personale, per la concessione di credito o per la valutazione delle performance dei dipendenti, sei soggetto agli obblighi del deployer per sistemi ad alto rischio. Se usi ChatGPT per scrivere email commerciali, sei nella categoria del rischio minimo.
Le cinque cose da fare adesso
La conformità all’AI Act non si costruisce in un giorno, ma ci sono azioni concrete che ogni organizzazione può avviare subito.
Prima cosa, fare un inventario dei sistemi AI in uso. Molte imprese usano strumenti AI senza averli censiti formalmente, perché sono integrati in software esistenti o adottati dai singoli dipendenti in autonomia. Il primo passo è sapere cosa si usa.
Seconda cosa, classificare ogni sistema per livello di rischio. Una volta identificati gli strumenti, si valuta in quale categoria ricadono secondo i criteri dell’AI Act. Per i sistemi ad alto rischio si avvia il percorso di conformità. Per gli altri si verifica che rispettino almeno gli obblighi di trasparenza.
Terza cosa, verificare la posizione contrattuale con i fornitori. Chi ti ha venduto o ti fornisce in abbonamento lo strumento AI ha gli obblighi del produttore. Devi verificare che abbia adempiuto alle sue responsabilità e che il contratto chiarisca le rispettive posizioni.
Quarta cosa, formare le persone che usano i sistemi AI. L’AI Act richiede che i deployer garantiscano un livello adeguato di competenza AI nelle persone che utilizzano o supervisionano i sistemi. Non è solo un obbligo formale, è la condizione perché la supervisione umana funzioni davvero.
Quinta cosa, integrare la conformità AI nei processi di governance esistenti. L’AI Act si affianca al GDPR, non lo sostituisce. Per i sistemi che trattano dati personali, i due regolamenti si applicano insieme. Chi ha già una struttura di governance sulla privacy può estenderla per coprire anche l’AI.
Perché questo riguarda anche la PA
Per la Pubblica Amministrazione gli obblighi sono ancora più stringenti in alcuni ambiti. I sistemi AI usati per decisioni che riguardano i cittadini, dall’accesso ai servizi alla valutazione delle pratiche, rientrano quasi sempre nella categoria ad alto rischio. Le linee guida AgID sull’AI nella PA traducono i requisiti del regolamento europeo nel contesto specifico degli enti pubblici italiani.
Se stai valutando l’introduzione di soluzioni AI nel tuo ente, la conformità all’AI Act non è un passaggio successivo all’implementazione. È parte integrante della progettazione. È esattamente per questo che il metodo MVF integra la valutazione normativa fin dalla prima fase di analisi, prima ancora di scegliere gli strumenti.
Il punto di arrivo
L’AI Act non è una minaccia per chi usa l’AI in modo responsabile. È un quadro di riferimento che, una volta compreso, semplifica le decisioni: sapere dove si è soggetti a obblighi stringenti e dove invece si può operare con più libertà è un vantaggio, non un vincolo.
Se vuoi capire come l’AI Act si applica concretamente alla tua organizzazione e come costruire un percorso di adozione AI conforme fin dall’inizio, contattaci per una call gratuita: aziende qui e PA qui. Partiamo dalla tua realtà, non da una checklist generica.