Tra meno di 50 giorni entreranno in vigore le disposizioni pertinenti dell’AI Act, rendendo ancora più fondamentale per le imprese garantire la conformità nell’utilizzo dei sistemi di intelligenza artificiale.
A partire dal 2 agosto 2025, una serie di obblighi fondamentali previsti dall’AI Act diventeranno giuridicamente vincolanti. Tra questi figurano:
- La designazione delle autorità notificanti e notificate per i sistemi di AI ad alto rischio
- Requisiti per i fornitori di AI per finalità generiche (GPAI)
- Regole fondamentali di governance dell’AI
- Sanzioni (ad eccezione delle sanzioni per i fornitori di modelli GPAI)
- Obblighi di riservatezza nel contesto del monitoraggio post-commercializzazione
Queste misure hanno un impatto non solo sugli sviluppatori e fornitori di AI, ma anche sui distributori, ovvero qualsiasi azienda che integra o utilizza sistemi di AI, in particolare l’AI generativa, nelle proprie attività. Con l’avvicinarsi di questi obblighi, le organizzazioni devono garantire con urgenza la piena attuazione della loro strategia di conformità all’AI Act.
Perché l’AI Act cambia tutto
L’AI Act rappresenta un passaggio da norme non vincolanti a obblighi. Introduce una chiara distinzione tra sistemi di AI vietati, ad alto rischio e per finalità generali, ciascuno con obblighi specifici. Questo approccio strutturato richiede alle aziende di valutare non solo gli strumenti di AI che sviluppano, ma anche quelli che acquistano, concedono in licenza o semplicemente integrano.
Inoltre, le autorità di regolamentazione avranno ora la possibilità di verificare le pratiche delle aziende in materia di AI, imporre misure correttive e avviare indagini sui sistemi che presentano rischi significativi per i diritti fondamentali o la sicurezza.
Un approccio strutturato alla governance dell’AI
Per soddisfare i requisiti di conformità all’AI Act, le aziende hanno bisogno di un modello di governance solido. Questo deve allineare le parti interessate a livello legale, tecnico e operativo attorno a una strategia unificata in materia di AI.
- Supervisione strategica dall’alto
La governance inizia dalla leadership. I team esecutivi devono definire come l’organizzazione utilizza l’AI, con principi guida quali fiducia, trasparenza e minimizzazione dei rischi. Questi principi devono poi essere tradotti in politiche e protocolli interni dettagliati dai dipartimenti legale, di rischio e di conformità.
Questo approccio dall’alto verso il basso garantisce che l’IA sia in linea con i valori dell’azienda, pur rimanendo adattabile ai continui cambiamenti normativi.
- Comitati di governance interna
Anziché affidarsi a un unico responsabile dell’AI, le aziende stanno sempre più spesso nominando comitati multidisciplinari dedicati all’AI. Questi comitati includono in genere rappresentanti dei reparti legale, compliance, sicurezza informatica, governance dei dati e IT.
Il loro ruolo è valutare i rischi, supervisionare i casi d’uso interni e gestire i rapporti con i fornitori esterni di AI. Questi comitati costituiscono il cuore operativo della conformità all’AI Act, assicurando che ogni implementazione soddisfi gli standard legali ed etici.
- Mappatura e classificazione dei casi d’uso dell’AI
Un numero sorprendente di strumenti di uso quotidiano, dalle piattaforme HR automatizzate ai sistemi di valutazione del merito creditizio, rientrano nella definizione ampia di AI ai sensi della legge. Molti di questi potrebbero rientrare nella categoria “ad alto rischio” senza che l’organizzazione se ne renda conto.
Il primo passo verso la conformità è identificare tutti i sistemi di AI in uso e classificarli correttamente. In caso contrario, si potrebbe implementare un sistema che comporta obblighi di cui l’azienda non è a conoscenza, con conseguenze particolarmente problematiche nei settori regolamentati o nelle operazioni transfrontaliere.
- Politiche di conformità all’AI Act
Per evitare rischi normativi, ogni organizzazione deve sviluppare una politica interna per l’AI, verificarne la conformità alla legge e garantire che tutti i processi interni ed esterni siano in linea con la propria strategia di conformità all’AI Act. Se un’azienda non rende operativa la conformità all’AI Act in tutti i reparti, rischia di non essere conforme all’AI Act anche se ritiene di essere pienamente conforme alla legge.
- Gestione dei rischi e controlli
Una volta mappati i sistemi di AI, questi devono essere abbinati a controlli che ne mitigano i rischi associati. Ciò include:
- Supervisione umana
- Meccanismi di spiegabilità
- Rilevamento dei pregiudizi
- Protocolli di resilienza e sicurezza
- Responsabilità dei fornitori attraverso contratti
Per i sistemi di AI ad alto rischio, questi controlli non sono più facoltativi, ma sono requisiti legali ai sensi dell’AI Act.
- Monitoraggio continuo
L’IA non è statica, così come i rischi che introduce. Le aziende devono mantenere un modello di governance dinamico, che include:
- Rivalidazione dei sistemi in caso di modifiche al software o ai dati
- Monitoraggio degli aggiornamenti del quadro normativo
- Revisione periodica delle valutazioni dei rischi
Questo processo deve essere documentato e verificabile per soddisfare le aspettative di monitoraggio post-commercializzazione e responsabilità delle autorità di regolamentazione.
Il valore strategico della conformità
Le organizzazioni che considerano la conformità all’AI Act come un semplice esercizio burocratico rischiano di rimanere indietro. Al contrario, quelle che integrano la governance nelle loro operazioni possono ottenere vantaggi a lungo termine, riducendo l’esposizione, migliorando l’efficienza interna e aumentando la fiducia degli stakeholder.
Inoltre, dato che l’AI Act dell’UE dovrebbe definire lo standard per la regolamentazione dell’IA a livello globale, le aziende che raggiungono la conformità ora saranno meglio attrezzate per orientarsi nei quadri normativi che saranno introdotti in altre giurisdizioni.
Con il conto alla rovescia ormai iniziato, la domanda non è se l’AI Act si applica alla vostra attività (probabilmente sì), ma se la vostra azienda è pronta a soddisfare i suoi obblighi.
A questo proposito, potete leggere gli ultimi numeri della nostra rivista dedicata al diritto in materia di AI disponibile QUI
Su un argomento simile può essere d’interesse l’articolo “Definizione dei sistemi di AI ad alto rischio ai sensi dell’AI Act – Consultazione ora aperta! “