L’intelligenza artificiale sta diventando una componente sempre più integrante dell’attività aziendale, nelle grandi corporation come nelle piccole e medie imprese.

In questo contesto, l’Unione Europea ha approvato l’AI Act, un quadro normativo di rifermento circa i limiti nell’applicazione di sistemi di intelligenza artificiale, con lo scopo di aumentare la fiducia di aziende e persone verso l’IA e facilitarne la diffusione in Europa.

Trattandosi del primo quadro giuridico completo sull’IA al mondo, l’ambizione europea è di porre le basi di uno schema standard globale (sul modello di quanto fatto dal GDPR), puntando a trovare un equilibrio tra il bisogno di regolamentare l’adozione dell’AI e la necessità di non frenare l’innovazione.

Che cos’è l’AI Act e perché è importante?

L’AI Act – che è entrato in vigore nell’agosto 2024 – stabilisce regole armonizzate per lo sviluppo, l’immissione sul mercato e l’uso di sistemi di IA all’interno dell’UE.

Definizione e obiettivi dell’AI Act

Gli obiettivi primari dell’Ai Act sono promuovere lo sviluppo e l’adozione di un’IA sicura e affidabile.

L’intento è quello di stimolare l’innovazione mitigando allo stesso tempo i rischi, secondo un approccio “antropocentrico”, che pone le persone ed i loro diritti al centro dello sviluppo e dell’utilizzo dell’IA, promuovendo trasparenza e considerazioni etiche.

Elemento centrale della regolamentazione è il sistema di classificazione dei sistemi IA in base a 4 livelli di rischio:

• rischio inaccettabile (proibito). Per es.: social scoring, riconoscimento delle emozioni sul luogo di lavoro, raccolta indiscriminata di immagini facciali
• rischio elevato (soggetto a obblighi rigorosi). Per es.: Esempi: diagnostici medici, selezione del personale, valutazione creditizia, applicazioni per le forze dell’ordine
• rischio limitato (obbligo di trasparenza). Per es.: chatbot, contenuti generati dall’IA
• rischio minimo o nullo (in gran parte non regolamentato) Per es.: filtri spam, sistemi di raccomandazione.

La maggioranza degli obblighi riguardano i sistemi a rischio elevato, per i quali è richiesto: governance dei dati (qualità, rappresentatività, pertinenza), trasparenza nell’interazione con l’utente, valutazioni di conformità (spesso certificazioni esterne), supervisione umana. Per i sistemi a rischio limitato è solo richiesto di informare l’utente di stare interagendo con un sistema IA.

Il contesto normativo europeo

L’AI Act si inserisce nella più ampia strategia digitale dell’UE e vuole stabilire un quadro normativo completo per l’IA all’interno dell’Unione Europea. Prima dell’AI Act, abbiamo infatti avuto il GDPR, che forniva un certo livello di governance sui dati, ma non affrontavano specificamente i temi legati all’IA.

L’AI Act (Regolamento UE 2024/1689), è entrato in vigore il 1° agosto 2024, ma diventerà pienamente applicabile a tappe:

• 2 febbraio 2025: divieto dei sistemi AI “a rischio inaccettabile”, obblighi di alfabetizzazione
• 2 agosto 2025: norme per i modelli di IA per uso generale
• 2 agosto 2027: norme per i sistemi AI “ad alto rischio”.

L’adozione dell’AI Act nelle aziende italiane

Il tema AI va visto da due distinte angolature: da un lato l’adozione di sistemi AI in azienda, dall’altro il rispetto della normativa AI.

Sfide e ostacoli per le aziende Italiane

La diffusione dell’AI richiede innanzitutto di superare una certa resistenza culturale verso una tecnologia vista come una “scatola nera”, competenze tecniche e manageriali specifiche, risorse finanziarie.

Le grandi aziende si sono mosse per prime, con importanti piani di investimento in sistemi di Intelligenza Artificiale (anche se spesso ancora solo a livello di pilot per testarne gli impatti prima di passare in produzione) e adesso si stanno attrezzando per l’adeguamento alla normativa con un approccio proattivo, verificando che le loro nuove iniziative IA siano allineati ai requisiti legali by design.

Più complicata la situazione delle PMI, che si trovano ad affrontare un onere di conformità spesso sproporzionato rispetto alle loro risorse. Il rischio è che il divario digitale esistente tra le imprese più grandi e quelle più piccole in Italia venga amplificato dall’AI Act se non vengono adottate misure specifiche per supportare le PMI.

I vantaggi della compliance con l’AI Act

La conformità all’AI Act può tradursi in un significativo vantaggio competitivo per le aziende italiane.

Sicurezza e trasparenza come vantaggio competitivo

In generale, aderire ai rigorosi standard di sicurezza dell’AI Act migliora l’affidabilità e l’attendibilità dei servizi basati sull’IA, aumentando la fiducia dei clienti. In particolare, per i sistemi IA ad alto rischio, l’ottenimento delle necessarie certificazioni di conformità funziona da “sigillo di qualità”, rafforzando la reputazione delle aziende verso i clienti.

L’enfasi dell’AI Act sulla trasparenza, come l’obbligo di spiegare come funzionano i sistemi di IA e quali dati utilizzano, permette di avere visibilità circa l’uso etico e responsabile della tecnologia e favorisce una maggiore fiducia e accettazione delle loro soluzioni tecnologiche tra utenti e stakeholder.

Avere una normativa unica in Europa, facilita la scalabilità dei sistemi di IA progettati in Italia verso gli altri paesi europei. Infine, se davvero l’AI Act diventerà la base per uno standard mondiale, le aziende italiane conformi si troveranno facilitate nell’export fuori EU.

Come le PMI stanno migliorando la governance grazie all’AI Act

L’AI Act, con il suo approccio basato sui rischi, sta spingendo le PMI italiane a migliorare le proprie pratiche di governance aziendale, adottando prassi tipiche delle grandi aziende.

Per i sistemi di IA classificati “ad alto rischio”, l’AI Act prevede una serie di obblighi, quali la gestione della qualità, la gestione del rischio (sicurezza informatica e privacy dei dati), la trasparenza e le misure di controllo generali.

Ciò richiede alle PMI di stabilire chiari processi interni, definire ruoli e responsabilità, attuare procedure di valutazione del rischio, garantire un’elevata qualità e sicurezza dei dati e mantenere la trasparenza nelle loro operazioni di IA.

Sebbene la conformità non sia obbligatoria per i sistemi di IA a “rischio limitato” o “minimo”, l’AI Act incoraggia comunque l’adozione di codici di condotta e di meccanismi di supervisione per allineare il comportamento dell’IA agli standard etici dell’azienda.

Le difficoltà normative e le competenze richieste

L’AI Act impone alle aziende una serie di obblighi:

• Definire una politica aziendale per scelta, adozione e gestione dei sistemi AI; definire ruoli e responsabilità; nominare un responsabile AI
• Formare il personale sull’uso corretto dei sistemi AI
• Creare un registro dei sistemi AI utilizzati, classificandoli in base al loro livello di rischio
• Adottare misure di sicurezza in collaborazione con i fornitori IT.

La complessità della mormativa e la mancanza di competenze

Si tratta di obblighi nuovi su una materia complessa, per la quale le PMI italiane spesso non possiedono le competenze adeguate. Servono esperti di gestione dei dati (qualità dei dati, cybersecurity), esperti di organizzazione per le procedure, esperti della normativa (in costante aggiornamento) e molte PMI dovranno affidarsi a consulenti esterni.

Visto che la complessità dell’AI Act, i costi per la compliance e la paura di incorrere in sanzioni (fino al 7% del fatturato) rischiano di ritardare l’adozione dell’AI da parte delle PMI, la Commissione EU sta lavorando ad un principio di proporzionalità per semplificare gli obblighi in capo alle PMI.

L’Importanza di un’Autorità Nazionale per l’AI Act

In Italia è in elaborazione un disegno di legge per integrare le disposizioni dell’AI Act e creare un punto di riferimento specifico per le aziende italiane.

Nel disegno sono previste due autorità nazionali per l’attuazione dell’AI Act:

• Agenzia per l’Italia Digitale (AgID): responsabile della promozione dell’innovazione e dello sviluppo dell’intelligenza artificiale. Si occupa di notifiche, valutazioni, accreditamenti e monitoraggio dei soggetti incaricati di verificare la conformità dei sistemi IA.
• Agenzia per la Cybersicurezza Nazionale (ACN): incaricata della vigilanza sui sistemi IA, incluse attività ispettive e sanzionatorie, e della promozione dell’IA in ambito di cybersicurezza.

Entrambe collaborano con il Garante per la protezione dei dati personali, che mantiene le sue competenze in materia di protezione dei dati e privacy.

Prospettive future dell’AI Act in Italia

L’Europa è spesso accusata di produrre molte regole e poca innovazione.

Il ruolo dell’innovazione e della competitività in un contesto regolamentato

La nuova Commissione von der Leyen sull’AI punta a raggiungere un equilibrio tra l’istituzione di un’efficace supervisione normativa e la promozione di un ambiente che incoraggi l’innovazione tecnologica e sostenga la competitività delle imprese, soprattutto le PMI. Così l’AI Act include disposizioni specificamente volte a sostenere l’innovazione dell’IA in startup e PMI, come l’obbligo per le autorità nazionali di fornire ambienti di test e sandbox normativi.

Il governo italiano ha adottato una posizione proattiva sulla regolamentazione dell’IA, con la “Strategia Italiana per l’Intelligenza Artificiale 2024-2026” ed il richiamo ad un’IA che tenga conto delle sue implicazioni etiche e sociali.

Intanto la Commissione EU il 9 aprile 2025 ha pubblicato il piano di azione sull’intelligenza artificiale – AI Continent – per rendere l’Europa un leader mondiale dell’IA: siamo solo all’inizio!