Il panorama normativo dell’intelligenza artificiale in Italia sta entrando in una fase decisiva. Con l’entrata in vigore dell’AI Act dell’Unione Europea (Reg. UE 2024/1689) e il disegno di legge italiano sul tema (DDL 1146/2024), le aziende sono chiamate a ridefinire la propria governance tecnologica. 

Per navigare questo contesto complesso e dinamico, è fondamentale comprenderne le tappe principali, le prescrizioni che entreranno in vigore nei prossimi mesi e le azioni concrete da intraprendere fin d’ora. Scopriamo dunque con esattezza cos’è l’AI Act, quand’è la sua entrata in vigore e quali sono le conseguenze per le imprese.

Cos’è l’AI Act

L’AI Act è un testo di legge europeo di ampia portata che ha lo scopo di armonizzare l’approccio dei diversi paesi alla regolamentazione dell’IA, in un’ottica di protezione dei cittadini. Per questo le diverse applicazioni dell’IA (con l’unica eccezione di quelle in ambito militare) vengono classificate in tre diverse categorie:

• Pratiche vietate – pratiche che possono provocare danni fisici o psicologico attraverso la manipolazione o lo sfruttamento delle vulnerabilità delle persone, che permettono alle forze dell’ordine di fare un uso indiscriminato dell’identificazione biometrica negli spazi pubblici, o che rendono possibile l’impiego di “punteggi sociali” a scopo punitivo.
• Sistemi ad alto rischio – ovvero dei sistemi che rappresentano una minaccia significativa ai diritti fondamentali, alla salute e alla sicurezza delle persone.
• Altri sistemi – i sistemi che non rientrano nelle categorie precedenti non sono regolamentati. 

Il percorso normativo dell’AI Act: date chiave, entrata in vigore e obblighi

Vediamo ora il percorso che ha condotto all’AI Act e le date chiave da conoscere:

• 1° agosto 2024: pubblicazione dell’AI Act e sua entrata in vigore. Inizia il periodo di transizione.
  
• 2 novembre 2024: gli Stati membri devono comunicare le autorità nazionali incaricate della protezione dei diritti fondamentali.
  
• 2 febbraio 2025: scattano i primi obblighi (Capitolo I e II). Le aziende devono:
  
  • eliminare completamente l’uso di sistemi di IA vietati (manipolazione subliminale, social scoring, identificazione biometrica in tempo reale, predizione dei reati, ecc.);
    
  • attivare programmi di AI literacy per i propri dipendenti e collaboratori, assicurando un livello minimo di competenza sull’utilizzo responsabile dell’IA.
    
• 2 agosto 2025: entrano in vigore:
  
  • gli obblighi per i fornitori di modelli Generative AI / GPAI (documentazione tecnica, trasparenza, misure di mitigazione dei rischi, iscrizione al registro europeo dei sistemi di IA);
    
  • le norme di governance (nomina delle autorità nazionali, supervisione e sanzioni);
    
  • le prime sanzioni pecuniarie.
    
• 2 agosto 2026: l’AI Act diventa pienamente applicabile a tutti i nuovi sistemi di IA immessi sul mercato.
  
• 2 agosto 2027: i sistemi ad alto rischio già in uso dovranno essere conformi agli standard del regolamento; i modelli GPAI già commercializzati dovranno adeguarsi.
  

Cosa significa l’AI Act per le aziende

L’AI Act è strutturato su un approccio risk-based, ma alcuni doveri si applicano a qualsiasi organizzazione, indipendentemente da dimensione, settore o volume d’affari:

• Mappatura dei sistemi di IA e risk assessment. È necessario censire tutte le applicazioni di intelligenza artificiale presenti in azienda e classificare i casi d’uso in base ai livelli di rischio (proibito, alto rischio, limitato o minimo). Questo censimento permette di individuare eventuali pratiche vietate e di pianificare interventi di mitigazione.
  
• Formazione obbligatoria e alfabetizzazione. L’articolo 4 dell’AI Act impone ai fornitori e agli utilizzatori di sistemi di IA di garantire una formazione adeguata a chiunque interagisca con l’intelligenza artificiale. I programmi dovranno includere elementi di machine learning, comprensione dei bias, normative vigenti e aspetti etici. È consigliabile documentare tutti i corsi frequentati per dimostrare la conformità in caso di audit.
  
• Compliance GDPR e diritto d’autore. L’uso dell’IA generativa implica trattamenti di dati personali e utilizzo di contenuti protetti. Le aziende devono definire una base giuridica per il trattamento, fornire informative trasparenti, effettuare valutazioni d’impatto (DPIA) per gli usi innovativi o ad alto rischio e adottare misure di privacy-by-design. Inoltre, la formazione dei modelli su dati coperti da copyright o l’uso di output generati dall’IA richiedono verifiche e licenze appropriate.
  
• Governance, policy interne e contratti. È essenziale creare un quadro di governance robusto: stabilire linee guida su chi può utilizzare l’IA, per quali scopi e con quali limiti; istituire un team multidisciplinare (IT, legale, conformità, gestione del rischio) che supervisioni l’adozione e l’uso dell’IA; aggiornare i contratti con fornitori e freelance inserendo clausole di responsabilità e “manleva” per l’uso dell’IA. Le best practice suggeriscono di ispirarsi agli standard internazionali (come ISO/IEC 42001:2023, NIST AI Risk Management Framework) per la gestione del rischio.
  
• Monitoraggio continuo e revisione. Dopo l’implementazione, è necessario verificare periodicamente il funzionamento dei sistemi di IA, rilevare eventuali anomalie o malfunzionamenti e comunicare tempestivamente agli stakeholder e alle autorità competenti eventuali incidenti. La governance deve prevedere cicli di revisione delle policy e dei modelli in funzione dell’evoluzione tecnologica e normativa.
  

Focus sull’IA generativa: responsabilità e tutele

I modelli generativi come ChatGPT, Gemini o Midjourney rappresentano un’area di particolare attenzione. Oltre agli obblighi generali, chi sviluppa o integra queste soluzioni deve:

• documentare le fonti dei dati di training e predisporre un “technical documentation pack” per le autorità competenti;
  
• garantire la trasparenza sul funzionamento e sulle limitazioni del modello, adottando misure per prevenire abusi e contenuti illeciti (es. filtri, moderation policies);
  
• registrarsi nel database europeo dei sistemi AI; per i modelli già presenti sul mercato al 2 agosto 2025 la conformità dovrà essere raggiunta entro il 2027;
  
• assicurarsi di rispettare le regole di privacy-by-design e GDPR quando l’IA elabora dati personali, eseguendo DPIA e definendo misure di sicurezza adeguate.
  

I prossimi passi per le aziende

Vediamo ora insieme quali sono i passaggi che le imprese dovrebbero cominciare a compiere per non farsi cogliere impreparate:

1. Costituire un team di AI Governance con esperti legali, tecnici e di sicurezza.
   
2. Redigere un inventario dei sistemi di IA attualmente in uso, valutandone i rischi e il livello di conformità.
   
3. Eliminare o sostituire eventuali applicazioni che rientrano tra le pratiche vietate.
   
4. Pianificare e documentare la formazione del personale su IA, etica e normative.
   
5. Aggiornare le policy interne e i contratti con fornitori e partner, inserendo clausole specifiche relative all’IA.
   
6. Monitorare gli sviluppi normativi italiani e comunitari, tenendosi pronte ad adattare strategie e processi.

Stai usando l’IA o intendi usarla nella tua impresa, e ti serve un supporto per farlo nel totale rispetto dell’AI Act? Studium opera da decenni nel mondo della comunicazione con lo sguardo sempre puntato sulle ultime innovazioni tecnologiche.
Contattaci per scoprire come possiamo supportare il tuo progetto.