L’entrata in vigore del Regolamento (UE) 2024/1689 sull’intelligenza artificiale, AI Act, rappresenta molto più di una semplice novità del corpus normativo europeo; infatti, è il primo tentativo organico di disciplinare, a livello europeo, lo sviluppo, l’immissione sul mercato e l’utilizzo di tecnologie intelligenti.
Indice degli argomenti
Il nuovo quadro normativo: un’architettura a doppio livello
Per le imprese italiane, questa sfida regolamentare si arricchisce di una dimensione ulteriore, costituita dalla legge 132/2025, con cui l’Italia ha istituito l’Autorità nazionale competente e introdotto previsioni specifiche per settori di particolare sensibilità come, ad esempio, il lavoro, la sanità e la pubblica amministrazione. Il risultato è un’architettura normativa a doppio livello, europeo e nazionale, che le aziende devono saper leggere in modo integrato, senza commettere l’errore di trattarle come sistemi separati e paralleli.
Eppure, in questo scenario, le organizzazioni devono tener conto del fitto ecosistema di soft law; comprendere la natura e il valore di questi strumenti non è un esercizio accademico ma una necessità operativa imprescindibile per chi vuole essere pronto non solo a comprendere la lettera della norma, ma alla sua applicazione concreta.
In questo contesto, già di per sé complesso, occorre tenere in considerazione anche che è in fase di discussione il Digital omnibus sull’AI, il quale propone delle modifiche all’AI Act.
Cosa si intende per Sistema di IA: una questione tutt’altro che accademica
Nel corso dell’ultimo anno, la Commissione Europea è intervenuta per sciogliere il nodo interpretativo riguardante la definizione stessa di sistema di IA ai sensi dell’AI Act. La Commissione ha pubblicato degli Orientamenti sulla definizione di sistema di IA[1], documento fondamentale che specifica quando uno strumento tecnologico rientra nell’ambito applicativo della normativa. La distinzione non è banale: sistemi di ottimizzazione classica, algoritmi deterministici o semplici motori di ricerca potrebbero non qualificarsi come sistemi di IA ai sensi dell’AI Act. Tale classificazione rappresenta il punto di partenza necessario per determinare a quale regime di obblighi è soggetta l’impresa — che potrebbe agire, ad esempio, quale, fornitore, deployer o distributore — con tutte le differenti implicazioni che ne conseguono.
La Commissione è altresì intervenuta con Orientamenti sulle pratiche di IA vietate[2] al fine di fornire esempi e criteri applicativi che, nella pratica, consentono alle imprese di verificare se determinati sistemi di IA già in uso debbano essere dismessi o profondamente modificati. Il Regolamento proibisce, tra le altre cose, i sistemi di categorizzazione biometrica basati su caratteristiche biometriche per trarre deduzioni o inferenze in merito a razza, opinioni politiche, appartenenza sindacale, convinzioni religiose o filosofiche, vita sessuale o orientamento sessuale e considera invece, non vietati, ma ad alto rischio i sistemi di IA destinati a essere utilizzati per la categorizzazione biometrica in base ad attributi o caratteristiche sensibili protetti basati sulla deduzione di tali attributi o caratteristiche. Un ulteriore esempio è il divieto di sistemi di IA per inferire le emozioni di una persona fisica nell’ambito del luogo di lavoro e degli istituti di istruzione, tranne per motivi medici o di sicurezza ma classifica ad alto rischio i sistemi di IA biometrici tra cui quelli utilizzati per il riconoscimento delle emozioni.
L’analisi rigorosa del dettato normativo costituisce un passaggio ineludibile in quanto il tipo di tecnologia e la destinazione d’uso concreta possono essere assoggettati a regimi giuridici radicalmente differenti. Per le pratiche vietate, la scadenza dell’obbligo è diventata applicabile già a partire dal 2 febbraio 2025 implicando che alcune organizzazioni si trovino già potenzialmente in una situazione di non conformità senza esserne pienamente consapevoli.
Tra le disposizioni applicabili dal 2 febbraio 2025 figura anche l’alfabetizzazione. Le FAQ sull’alfabetizzazione[3] pubblicate dalla Commissione chiariscono che l’obbligo di garantire un adeguato livello di competenze in materia di IA riguarda sia i fornitori che i deployer, e si estende al personale che interagisce con sistemi di IA a qualsiasi livello dell’organizzazione, ciò per assicurare che chi utilizza, supervisiona o prende decisioni sulla base di output di sistemi di IA disponga delle conoscenze necessarie per comprendere le capacità, i limiti e i rischi di tali sistemi. Tuttavia, il Digital omnibus, propone delle modifiche anche all’AI Act e potrebbe trasformare l’obbligo di alfabetizzazione, ad oggi applicabile entro febbraio 2025, in un incoraggiamento.
In tale contesto si aggiunge anche il Codice di buone pratiche sulla marcatura e l’etichettatura dei contenuti generati dall’IA[4], nella sua seconda bozza, che ha lo scopo di delineare gli obblighi di trasparenza di fornitori e deployer fornendo altresì esempi pratici. La trasparenza riguarda: 1) la marcatura e il rilevamento dei contenuti IA ed è rivolta ai fornitori di sistemi di IA generativa nell’ambito dell’articolo 50, par. 2 dell’AI Act introducendo elementi opzionali, garantendo al contempo che tutte le misure rimangano tecnicamente fattibili e proporzionate; 2) l’etichettatura dei deepfake e delle pubblicazioni testuali riguardanti questioni di interesse pubblico rivolta ai deployer nell’ambito dell’articolo 50, par. 4 dell’AI Act.
I modelli di IA per finalità generali: il cuore della sfida regolamentare
Una delle innovazioni più significative dell’AI Act è la disciplina dedicata ai modelli di IA per finalità generali (General Purpose AI models, GPAI), ossia quei modelli — come i grandi modelli linguistici — addestrati su grandi quantità di dati e caratterizzati da una generalità significativa in grado di essere impiegati in una molteplicità di contesti. La Commissione ha prodotto su questa tematica una documentazione particolarmente ricca: FAQ specifiche sui modelli GPAI[5], linee guida sull’ambito degli obblighi per i fornitori, un avviso esplicativo con il modello per la sintesi pubblica dei contenuti formativi per i GPAI[6], fino al Codice di buone pratiche per l’IA per finalità generali[7].
Questi documenti delineano un regime di trasparenza particolarmente esigente. I fornitori di modelli GPAI devono predisporre documentazione tecnica dettagliata, rispettare la normativa sul diritto d’autore in relazione ai dati di addestramento, redigere e mettere a disposizione del pubblico una sintesi sufficientemente dettagliata dei contenuti utilizzati per la formazione del modello, secondo il modello pubblicato dalla Commissione. Per i modelli GPAI con rischio sistemico — ossia quelli aventi un impatto significativo sul mercato dell’Unione a causa della sua portata o di effetti negativi effettivi o ragionevolmente prevedibili sulla salute pubblica, la sicurezza, i diritti fondamentali o la società nel suo complesso, che può propagarsi su larga scala lungo l’intera catena del valore — gli obblighi si intensificano ulteriormente, includendo , ad esempio, l’effettuazione di una valutazione dei modelli in conformità di protocolli e strumenti standardizzati che rispecchino lo stato dell’arte, anche svolgendo e documentando il test contraddittorio (adversarial testing) del modello al fine di individuare e attenuare i rischi sistemici.
Incidenti, Segnalazioni e Whistleblowing in ambito IA
Un altro pilastro fondamentale dell’AI Act è la gestione degli incidenti gravi. La Commissione ha pubblicato diversi modelli di segnalazione: uno per gli incidenti gravi che coinvolgono modelli di IA per finalità generali con rischio sistemico[8] e una bozza di linee guida con relativo modello di rendicontazione per gli incidenti gravi che coinvolgono sistemi di IA ad alto rischio[9].
Per i sistemi ad alto rischio le bozze di linee guida chiariscono le definizioni, offrono esempi pratici e spiegano come le nuove norme si relazionano ad altri obblighi legali. Parallelamente, la Commissione ha attivato un apposito AI Act Whistleblower Tool[10], uno strumento lanciato dall’AI Office che consente di segnalare presunte violazioni consentendo all’AI Office di individuarle tempestivamente, contribuendo così allo sviluppo sicuro e trasparente delle tecnologie di intelligenza artificiale.
Il lavoro nell’era dell’IA: una dimensione normativa specifica
Tra le novità più recenti e di maggiore impatto operativo per le imprese figurano le Linee guida per l’implementazione dell’IA nel mondo del lavoro[11], pubblicate dal Ministero del Lavoro e delle Politiche Sociali in risposta alla crescente diffusione di sistemi di IA nei processi di gestione delle risorse umane. Le linee guida affrontano le sfide rilevanti in ambito lavorativo quali, ad esempio, l’utilizzo di algoritmi non adeguatamente supervisionati che può introdurre bias nei processi decisionali, influenzando negativamente, ad esempio, la selezione del personale, la valutazione delle performance e le opportunità di carriera.
Il dato normativo rilevante è che molti sistemi di IA impiegati in ambito HR rientrano nella categoria dei sistemi ad alto rischio ai sensi dell’Allegato III dell’AI Act. Le linee guida aggiungono a questo quadro indicazioni specifiche su come bilanciare l’efficienza operativa con il rispetto dei diritti fondamentali dei lavoratori, e sottolineano la necessità di un dialogo con le rappresentanze sindacali nelle fasi di introduzione di questi sistemi.
Una strategia di compliance che guarda avanti
Alla luce della complessità sopra descritta, la vera sfida per le organizzazioni è costruire un sistema di governance dell’IA capace di adattarsi a un contesto regolamentare che evolve più rapidamente di quanto qualsiasi piano di compliance tradizionale sia in grado di gestire.
Questo richiede, in primo luogo, l’istituzione di una funzione interna dedicata al monitoraggio della normativa IA, che non si limiti alla lettura dei testi formalmente vincolanti ma segua sistematicamente la produzione di soft law. In secondo luogo, impone un lavoro di mappatura delle tecnologie di IA effettivamente utilizzate dall’impresa per determinare con precisione quali obblighi siano applicabili e secondo quali tempistiche. In terzo luogo, richiede l’integrazione della compliance IA con i sistemi di governance già esistenti, dalla protezione dei dati personali alla cybersicurezza, evitando inefficienze e duplicazioni.
Note
[1] https://digital-strategy.ec.europa.eu/it/library/commission-publishes-guidelines-ai-system-definition-facilitate-first-ai-acts-rules-application
[2] https://digital-strategy.ec.europa.eu/it/library/commission-publishes-guidelines-prohibited-artificial-intelligence-ai-practices-defined-ai-act
[3] https://digital-strategy.ec.europa.eu/it/faqs/ai-literacy-questions-answers
[4] https://digital-strategy.ec.europa.eu/it/policies/code-practice-ai-generated-content
[5] https://digital-strategy.ec.europa.eu/it/faqs/general-purpose-ai-models-ai-act-questions-answers
[6] https://digital-strategy.ec.europa.eu/it/library/explanatory-notice-and-template-public-summary-training-content-general-purpose-ai-models
[7] https://digital-strategy.ec.europa.eu/it/policies/contents-code-gpai
[8] https://digital-strategy.ec.europa.eu/it/library/ai-act-commission-publishes-reporting-template-serious-incidents-involving-general-purpose-ai
[9] LEGGE SULL’A.I.A.: la Commissione pubblica una bozza di linee guida e modello di rendicontazione su incidenti gravi di IA e cerca feedback dagli stakeholder | Plasmare il futuro digitale dell’Europa
[10] https://digital-strategy.ec.europa.eu/en/policies/ai-act-whistleblower-tool
[11] https://www.lavoro.gov.it/documenti-e-norme/normativa/decreto-ministeriale-n-180-del-17122025
