Il governo dei sistemi di intelligenza artificiale ad alto rischio prende forma, nell’AI Act, attraverso un’architettura informativa che conferisce stabilità alla conformità e consistenza alla tutela dei diritti fondamentali. Il Regolamento (UE) 2024/1689 inserisce trasparenza, documentazione tecnica, registrazione e valutazioni d’impatto in un medesimo disegno normativo, nel quale ciascun elemento contribuisce a rendere l’uso del sistema intelligibile, tracciabile e verificabile. In questa prospettiva, la conformità assume il profilo di una funzione permanente di governo del rischio giuridico e accompagna il sistema lungo tutto il suo ciclo di vita, dalla progettazione fino all’impiego concreto.
L’articolo 1 del regolamento chiarisce che l’obiettivo consiste nel migliorare il funzionamento del mercato interno assicurando, al tempo stesso, un livello elevato di protezione della salute, della sicurezza e dei diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell’Unione europea. La persona umana occupa, dunque, il centro dell’impianto regolatorio e orienta la lettura dell’intero sistema.
Indice degli argomenti
Come la trasparenza rende intelligibile il sistema
L’AI Act ordina i propri requisiti secondo una logica che valorizza la conoscibilità del sistema e la dimostrabilità della conformità, così da garantire che l’innovazione tecnologica resti coerente con l’ordinamento dei diritti. In questo quadro, la trasparenza svolge una funzione fondativa. Essa permette di comprendere il sistema, consente di seguire il percorso decisionale e rende possibile la ricostruzione delle responsabilità.
L’articolo 13 impone ai provider dei sistemi di IA ad alto rischio di progettare e sviluppare tali sistemi in modo sufficientemente trasparente da consentire ai deployer di interpretarne correttamente gli output e di utilizzarli secondo la finalità prevista. La disposizione esprime una scelta normativa di particolare rilievo, poiché colloca la trasparenza al centro della possibilità giuridica di impiego. Un sistema leggibile favorisce un utilizzo conforme, rende effettiva la sorveglianza umana e rafforza la capacità di controllo da parte delle autorità competenti.
La trasparenza nella verifica ex ante ed ex post
La trasparenza produce effetti sia sul piano preventivo sia sul piano successivo all’impiego. Da un lato sostiene il controllo ex ante della conformità, poiché consente di verificare la coerenza tra progettazione, finalità prevista e condizioni d’uso. Dall’altro lato offre la base documentale per la ricostruzione ex post del funzionamento del sistema e dell’attività degli operatori coinvolti. La verificabilità giuridica trova così il proprio presupposto in un’infrastruttura di conoscibilità che trasforma il controllo normativo in un presidio sostanziale della legalità.
Questa impostazione emerge con chiarezza anche dalla distinzione tra provider e deployer. L’AI Act distribuisce la responsabilità regolatoria secondo il ruolo concretamente svolto nel ciclo di vita del sistema. Il provider presidia la conformità originaria del prodotto e garantisce la qualità della base tecnica che ne sostiene l’immissione sul mercato. A lui fanno capo gli obblighi relativi alla governance dei dati, alla documentazione tecnica, alla registrazione automatica degli eventi, alla trasparenza funzionale e alla fornitura delle informazioni necessarie per l’uso corretto del sistema.
Provider e deployer nel governo della conformità
Il provider assicura, dunque, che il sistema sia progettato in modo coerente con i requisiti normativi e che il deployer disponga di strumenti conoscitivi adeguati per utilizzarlo conformemente alla finalità prevista. Il deployer occupa un diverso centro di imputazione giuridica. Chi utilizza il sistema sotto la propria autorità, compresa la pubblica amministrazione, governa la conformità dell’uso e ne assume la responsabilità applicativa.
Il deployer cura il rispetto delle istruzioni per l’uso, presidia la finalità prevista, organizza la sorveglianza umana e segue il monitoraggio del funzionamento del sistema. A lui competono, altresì, la conservazione delle registrazioni e, nei casi previsti dal regolamento, la valutazione d’impatto sui diritti fondamentali. In questa scansione funzionale della responsabilità si coglie uno dei tratti più maturi dell’AI Act, poiché il rischio prende forma sia nella progettazione sia nelle modalità concrete di utilizzo. La conformità del sistema si compone, pertanto, della conformità originaria e della conformità dell’impiego.
La banca dati europea per i sistemi di ia ad alto rischio
Un rilievo particolare assume, in tale assetto, la banca dati dell’Unione prevista dagli articoli 49 e 71 del regolamento. La registrazione dei sistemi di IA ad alto rischio svolge una funzione sostanziale di tracciabilità regolatoria e conferisce forma documentale al rapporto tra il sistema, il provider, il deployer e le valutazioni che ne accompagnano l’uso. Le informazioni richieste ai provider consentono l’identificazione del sistema, ne descrivono la finalità prevista e permettono di collocarlo nel quadro della sua messa a disposizione nel mercato dell’Unione.
Le informazioni richieste ai deployer collegano l’utilizzatore al sistema registrato e inseriscono nel circuito documentale le sintesi delle valutazioni d’impatto rilevanti. La banca dati europea attribuisce piena visibilità giuridica all’architettura della conformità. Le autorità competenti dispongono, per questa via, di uno strumento di controllo che rende leggibili i dati essenziali del sistema e il quadro delle responsabilità applicative. Per i deployer che appartengono alla sfera pubblica, la registrazione assume un significato ancora più incisivo, poiché l’articolo 49, paragrafo 3, richiede che essi provvedano alla registrazione prima della messa in servizio o dell’utilizzo del sistema.
Fria e tutela preventiva dei diritti fondamentali
La registrazione costituisce quindi un presupposto procedurale essenziale per l’impiego del sistema e si inserisce direttamente nel perimetro della sua legittima operatività. Il baricentro sistematico dell’AI Act si colloca nell’articolo 27, dedicato alla valutazione d’impatto sui diritti fondamentali (Fundamental Rights Impact Assessment – FRIA). Tale valutazione riguarda, in particolare, gli organismi di diritto pubblico, i soggetti privati che erogano servizi pubblici e specifiche categorie di deployer individuate dall’Allegato III, con particolare riferimento ai sistemi impiegati nei settori in cui il rischio di compressione dei diritti fondamentali assume maggiore intensità.
Prima dell’utilizzo del sistema, il deployer deve valutare il contesto di impiego, la durata e la frequenza dell’uso, le categorie di persone o gruppi potenzialmente coinvolti, i rischi specifici per i diritti fondamentali, le misure di mitigazione previste, il livello di sorveglianza umana e i meccanismi di gestione dei reclami e delle contestazioni. Non si tratta di una verifica meramente formale, ma di una valutazione sostanziale della compatibilità tra il sistema e l’ambiente giuridico e sociale nel quale esso viene inserito.
Il coordinamento con la dpia del Gdpr
La FRIA non coincide con la valutazione d’impatto sulla protezione dei dati prevista dall’articolo 35 del GDPR, ma si coordina con essa. La Data Protection Impact Assessment (DPIA) riguarda specificamente i rischi derivanti dal trattamento dei dati personali; la FRIA, invece, presenta un perimetro più ampio e investe l’intero spettro dei diritti fondamentali, compresi uguaglianza, non discriminazione, accesso ai servizi essenziali, libertà personale, tutela giurisdizionale effettiva e dignità della persona.
Quando il sistema tratta dati personali e ricorrono i presupposti dell’articolo 35 GDPR, le due valutazioni devono dialogare e integrarsi. L’AI Act evita sovrapposizioni inutili e consente una razionalizzazione degli adempimenti: ove il deployer abbia già svolto una DPIA conforme, la FRIA può valorizzarne i contenuti, purché resti garantita la completezza della valutazione sui diritti fondamentali. L’obiettivo non è duplicare la compliance, ma renderla sostanzialmente efficace.
Il ruolo decisivo della documentazione tecnica
In questo contesto, la documentazione tecnica assume un ruolo decisivo. Essa non serve soltanto a dimostrare che il sistema è conforme, ma a rendere verificabile l’intero processo di conformità. La responsabilità giuridica dell’intelligenza artificiale non si costruisce infatti solo sulla base dell’evento dannoso, ma anche sulla capacità di dimostrare che il rischio è stato identificato, governato e ragionevolmente mitigato. La logica è profondamente diversa rispetto ai modelli tradizionali di responsabilità civile fondati esclusivamente sull’accertamento successivo del danno.
L’AI Act anticipa il momento della tutela e costruisce una responsabilità preventiva, nella quale la prova della diligenza organizzativa e della correttezza procedurale assume rilievo centrale. La compliance non è più un segmento accessorio della governance, ma diventa parte integrante della struttura giuridica del sistema. Ciò produce effetti significativi anche sul piano della responsabilità civile. Il regolamento non disciplina direttamente in modo esaustivo il risarcimento del danno, che resta affidato al coordinamento con il diritto nazionale e con la disciplina europea sulla responsabilità da prodotto difettoso.
Responsabilità civile e raccordo con il diritto nazionale
Tuttavia, la qualità della documentazione tecnica, delle registrazioni e delle valutazioni d’impatto incide in modo rilevante sulla possibilità di accertare il difetto, la prevedibilità del rischio, la correttezza dell’uso e l’allocazione delle responsabilità tra provider e deployer. La recente Direttiva (UE) 2024/2853 sulla responsabilità per danno da prodotti difettosi rafforza ulteriormente questo quadro, includendo espressamente anche il software e i sistemi digitali nel concetto di prodotto e rendendo più coerente il raccordo tra disciplina della conformità e tutela risarcitoria. L’AI Act, dunque, non sostituisce la responsabilità civile, ma ne modifica profondamente il terreno probatorio e sistematico.
L’evoluzione normativa italiana si muove nella stessa direzione. La legge 23 settembre 2025, n. 132, in materia di intelligenza artificiale, richiama espressamente i principi di trasparenza, proporzionalità, sicurezza, protezione dei dati personali, non discriminazione e supervisione umana, precisando tuttavia che non introduce nuovi obblighi rispetto a quelli già previsti dal Regolamento (UE) 2024/1689. La disciplina nazionale si pone quindi in funzione di coordinamento e attuazione, confermando la centralità dell’AI Act quale architrave regolatoria del sistema.
Dalla conformità alla regolazione della fiducia
L’elemento più innovativo dell’intero impianto risiede proprio in questo: la responsabilità non nasce soltanto quando il danno si verifica, ma prende forma prima, nella progettazione del sistema, nella qualità dei dati, nella trasparenza dell’algoritmo, nella registrazione delle operazioni e nella valutazione preventiva dell’impatto sui diritti fondamentali. La legalità dell’intelligenza artificiale non si misura esclusivamente nell’esito finale, ma nella correttezza dell’intero processo.
Trasparenza, banca dati europea e FRIA non sono adempimenti burocratici isolati, ma parti di una medesima architettura della responsabilità. L’AI Act costruisce così un modello di governance nel quale la tutela dei diritti fondamentali non interviene come rimedio successivo, ma come criterio strutturale di progettazione e di utilizzo. In questa prospettiva, l’intelligenza artificiale conforme non è semplicemente quella che funziona, ma quella che può essere spiegata, controllata, verificata e giuridicamente giustificata. È qui che il diritto europeo compie il passaggio decisivo: dalla regolazione della tecnologia alla regolazione della fiducia.
Riferimenti normativi
Carta dei diritti fondamentali dell’Unione europea; Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio, del 13 giugno 2024, che stabilisce regole armonizzate sull’intelligenza artificiale (AI Act); Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (GDPR); Direttiva (UE) 2024/2853 del Parlamento europeo e del Consiglio, del 23 ottobre 2024, sulla responsabilità per danno da prodotti difettosi; Legge italiana sull’intelligenza artificiale, con particolare riguardo alle disposizioni penali di cui al Capo V e alle disposizioni finali di cui al Capo VI.
