Cos’è l’AI Act (in parole comprensibili)

L’AI Act è il Regolamento europeo che disciplina:

• lo sviluppo
• l’immissione sul mercato
• l’integrazione
• e l’utilizzo dei sistemi di Intelligenza Artificiale

Fonte ufficiale:
Regolamento (UE) 2024/1689 – EUR-Lex
https://eur-lex.europa.eu/eli/reg/2024/1689/oj

La logica non è “vietare l’IA”.
La logica è: più alto è il rischio, più stringenti sono gli obblighi.

Prima domanda da farsi: che ruolo ha la tua azienda?

Molte aziende pensano:

“Noi non sviluppiamo IA, la usiamo soltanto.”

Ma nel linguaggio dell’AI Act esistono ruoli precisi:

• Provider → chi sviluppa o mette sul mercato un sistema IA
• Deployer (utilizzatore) → chi usa l’IA nella propria attività
• Importer/Distributor → chi immette nel mercato UE
• Provider di modelli general purpose (GPAI)

Una stessa azienda può avere più ruoli.

E attenzione: se integri un sistema IA in un tuo prodotto o servizio verso clienti, potresti diventare provider “di fatto”.

Il cuore dell’AI Act: la classificazione del rischio

Il regolamento distingue quattro livelli.

🔴 Rischio inaccettabile

Sistemi vietati (es. alcune forme di manipolazione o social scoring).

🟠 Alto rischio

Sistemi che impattano ambiti critici (es. selezione personale, valutazioni che incidono su diritti, sicurezza di infrastrutture, ecc.).
Qui gli obblighi sono importanti: documentazione, gestione rischio, controlli, supervisione umana.

🟡 Rischio limitato

Obblighi di trasparenza (es. informare che si interagisce con un sistema AI).

🟢 Rischio minimo

Nessun obbligo specifico AI Act, ma restano GDPR, cybersecurity e responsabilità generali.

Fonte: testo ufficiale AI Act – EUR-Lex
https://eur-lex.europa.eu/eli/reg/2024/1689/oj

Cosa deve fare concretamente un’azienda

Indipendentemente dal livello di rischio, esiste un percorso minimo che ogni azienda dovrebbe avviare.

1️⃣ Censimento dei sistemi IA

Prima di parlare di compliance, serve sapere:

• quali strumenti IA utilizziamo?
• in quali processi?
• con quali dati?
• per quali decisioni?

Senza inventario, non esiste governance.

2️⃣ Classificazione del rischio

Per ogni caso d’uso bisogna valutare:

• impatta persone?
• supporta decisioni rilevanti?
• tratta dati personali o sensibili?
• influenza diritti o accesso a servizi?

Questa fase è centrale.

3️⃣ Definizione di una policy interna sull’uso dell’IA

Ogni azienda dovrebbe avere una policy scritta che stabilisca:

• cosa è vietato inserire nei sistemi esterni
• quando serve autorizzazione preventiva
• come vengono trattati output generati
• chi è responsabile della supervisione

Non serve un documento di 80 pagine.
Serve chiarezza operativa.

4️⃣ Governance e responsabilità

• Chi approva nuovi use case AI?
• Chi gestisce un incidente?
• Chi monitora aggiornamenti normativi?

L’AI non può essere “terra di nessuno”.

5️⃣ Trasparenza

Se l’IA interagisce con clienti o dipendenti, è spesso necessario:

• informare dell’uso di sistemi automatizzati
• chiarire limiti e supervisione umana
• garantire possibilità di intervento

6️⃣ Misure tecniche minime

Anche se utilizzi strumenti terzi, resti responsabile di:

• controllo accessi
• separazione ambienti
• minimizzazione dati
• logging e audit
• verifica dei connettori

Molti incidenti non derivano dal modello, ma dalle integrazioni.

Se usi strumenti terzi (Copilot, CRM con AI, SaaS esterni)

La responsabilità non è trasferita completamente al vendor.

Il fornitore copre parte degli obblighi tecnici.
Ma l’azienda resta responsabile di:

• scopo d’uso
• correttezza dei dati inseriti
• output utilizzati per decisioni
• trasparenza verso interessati

“Enterprise” non significa automaticamente “compliant”.

Se sviluppi o integri internamente

Se l’azienda:

• sviluppa modelli,
• integra RAG proprietari,
• distribuisce sistemi IA ai clienti,

allora il livello di responsabilità aumenta:

• documentazione tecnica
• gestione rischio formale
• monitoraggio continuo
• sicurezza by design
• controllo qualità dati

L’IA diventa parte dell’infrastruttura critica.

AI Act non è l’unica norma rilevante

Chi utilizza IA deve considerare anche:

GDPR

Soprattutto se le decisioni hanno effetti significativi sulle persone (art. 22 GDPR).
Linee guida EDPB:
https://www.edpb.europa.eu

Cybersecurity e NIS2

L’IA amplia la superficie d’attacco.

Proprietà intellettuale e segreti industriali

Prompt, dataset e output possono contenere IP critica.

La vera questione per CEO e CTO

La domanda non è:

“Stiamo usando l’IA?”

La domanda è:

“Abbiamo governance, classificazione del rischio e controllo operativo?”

L’AI Act non vieta l’innovazione.
Obbliga a strutturarla.

E le aziende che iniziano ora con metodo avranno un vantaggio competitivo rispetto a chi reagirà solo quando arriveranno controlli o contestazioni.