La crescente attenzione europea verso l’intelligenza artificiale sta modificando in profondità il modo in cui le imprese raccolgono, trattano e valorizzano i dati. Durante il convegno PoliMi “Data & Decision Intelligence: pilotare l’AI per usarla davvero!”, Anna Cataleta, Senior Advisor dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, ha illustrato come la regolamentazione dell’AI stia diventando una componente strutturale dei processi aziendali. Il quadro che emerge è quello di un ecosistema normativo che tutela i diritti fondamentali, definisce nuovi ruoli e responsabilità e impone alle imprese una profonda revisione della propria architettura del dato .
Indice degli argomenti
Valorizzazione dei dati: quando la tecnologia non basta
Cataleta apre il suo intervento con un episodio risalente agli inizi della sua carriera: un grande progetto di profilazione e analisi avanzata dei dati non poté essere implementato, nonostante l’investimento tecnologico, perché «i dati non erano raccolti in maniera tale da poter essere fruibili sotto il profilo della spendibilità commerciale e valoriale, perché mancavano le condizioni di liceità».
Un aneddoto che chiarisce subito un principio cardine: la tecnologia abilita, ma la liceità determina il valore.
L’uso dei dati – oggi al centro di modelli predittivi, sistemi di raccomandazione e applicazioni di AI generativa – non può prescindere dalla conformità delle modalità di raccolta e trattamento. La regolamentazione diventa quindi un prerequisito per la competitività, non un mero vincolo giuridico.
L’Europa come ecosistema regolatorio
Secondo Cataleta, per comprendere il quadro attuale dell’AI occorre partire dalla visione europea, fondata sulla tutela dei diritti fondamentali. «Siamo in Europa, siamo pieni di regolamenti e normative, e il valore sotteso a queste normative è la tutela dei diritti e delle libertà, che è sovraordinata», afferma.
La logica del legislatore non è un bilanciamento tra rischio e utilità economica, ma la protezione preventiva da pratiche considerate «assolutamente insopportabili».
Questa impostazione emerge chiaramente nell’AI Act, che prima ancora dei requisiti tecnici definisce principi etici e limiti all’adozione dei sistemi di intelligenza artificiale. L’obiettivo è impedire l’uso di tecnologie che potrebbero compromettere libertà e dignità delle persone.
Data Act: tra condivisione, ruoli e nuovi spazi di valorizzazione
Cataleta richiama anche il ruolo del Data Act, sottolineando come molte imprese non abbiano ancora compreso appieno concetti come data space, data holder, data user e le nuove condizioni contrattuali per la condivisione dei dati.
L’evoluzione normativa non riguarda solo privacy e protezione, ma mira a creare ecosistemi di scambio che consentano una valorizzazione più ampia del dato. Un’opportunità che, tuttavia, richiede elevati livelli di conformità e consapevolezza.
La crescente produzione di dati da parte di prodotti e servizi impone alle imprese di distinguere ciò che può essere riutilizzato da ciò che deve essere trattato con cautela. «Fare ordine sui dati che si hanno a casa per poter capire quelli che sono valorizzabili, quelli che sono condivisibili» diventa un passaggio essenziale.
Comprendere ruoli e responsabilità nel ciclo di vita dell’AI
Uno dei punti più critici riguarda la definizione dei ruoli nel ciclo di vita dei sistemi di intelligenza artificiale. Cataleta evidenzia che un fornitore può modificare finalità e logiche del modello anche dopo la fase iniziale, con impatti diretti sulla conformità.
Comprendere se l’impresa sia fornitore, distributore o utente di un sistema AI è fondamentale per identificare gli obblighi normativi da rispettare e valutare rischi e responsabilità.
Una scarsa consapevolezza di questi aspetti, avverte Cataleta, può generare vulnerabilità sia legali sia operative, specialmente in contesti in cui i dati alimentano prodotti, servizi o algoritmi in costante evoluzione.
Perché servono team realmente multidisciplinari
«Non possiamo pensare di superare questi ostacoli se non con team multidisciplinari», afferma Cataleta. La regolamentazione dell’AI non è materia solo per giuristi o per tecnologi: richiede una collaborazione strutturata tra competenze legali, tecniche, strategiche e organizzative.
La literacy regolatoria deve includere tanto la comprensione dei «grossi covenants della regolamentazione» quanto la capacità di interpretare finalità, rischi e potenzialità dei dati. Senza questa integrazione, le imprese rischiano di compromettere conformità, sicurezza e capacità di valorizzazione.
Integrare la compliance nella strategia dei dati
L’intervento si chiude con un richiamo alla necessità di integrare pienamente la regolamentazione nell’architettura dei dati aziendali. La compliance non può essere un intervento a valle, ma deve guidare la progettazione di sistemi, processi e responsabilità.
La regolamentazione dell’AI diventa così parte dell’infrastruttura decisionale: un elemento che orienta progettazione, governance e uso sostenibile dei dati. Le imprese che intendono sviluppare modelli di AI o valorizzare i dati devono dunque ripensare strutture, ruoli e processi, riconoscendo i diritti fondamentali come fondamento del valore stesso.
