Introduzione
Con l'entrata in vigore della disciplina che norma l'adozione dell'AI, non si tratta più solo di far funzionare un algoritmo, ma di garantire che questo operi all'interno di un perimetro di legalità, etica e sicurezza rigorosamente definito.
In questo ampio approfondimento, esploreremo la sfida che investe oggi i Board aziendali, i Responsabili IT e i Legal Counsel: colmare l'abisso tra la velocità dell'innovazione tecnologica e la rigidità dei nuovi requisiti normativi. Spiegheremo come un approccio frammentato, che vede l'area legale e quella tecnica operare a silos, sia la ricetta perfetta per il disastro, e come invece una governance integrata possa trasformare questo obbligo in un vantaggio competitivo.
I segnali che anticipano la presenza del problema sono spesso sottili ma inequivocabili. Nelle aziende inizia a serpeggiare frustrazione quando i team di Data Science si vedono bloccare il rilascio di modelli promettenti perché "non conformi", senza però ricevere indicazioni chiare su cosa modificare. Si notano difficoltà nel rispondere a domande apparentemente semplici: "Chi è il proprietario di questo dato?", "Come è stato addestrato questo modello?", "Siamo noi i Fornitori o siamo solo gli Utilizzatori?". Se la vostra organizzazione fatica a distinguere se il proprio software è un "Sistema AI" o un semplice algoritmo statistico, o se non avete ancora aggiornato il registro dei trattamenti privacy per includere i nuovi tool di AI Generativa, siete già dentro il problema.
L'uregenza è dettata dal calendario: la Legge 132/2025 è stata approvata definitivamente dal Senato il 17 settembre 2025, convertendo il disegno di legge A.C. 2316-A - ed è entrata in vigore il 10 ottobre 2025, mentre l'AI Act europeo impone scadenze attuative già in vigore che, se mancate, comportano conseguenze ingenti.
| Data | Applicazione Regolamento (UE) 2024/1689 (AI Act) | Riferimento normativo |
|---|---|---|
| 2 agosto 2024 | Entrata in vigore | Applicazione formale |
| 2 febbraio 2025 | Divieti pratiche vietate (6 mesi dopo l'entrata in vigore) | Cap. I-II (art. 5) |
| 2 agosto 2025 | GPAI, governance, sanzioni (12 mesi dopo l'entrata in vigore) | Cap. V, VII, XII |
| 2 agosto 2026 | Sistemi ad alto rischio | Allegato III |
| Ottobre 2026 | La legge italiana conferisce al Governo deleghe per emanare decreti legislativi entro 12 mesi dall'entrata in vigore (quindi entro ottobre 2026) | Legge 132/2025 |
Il Contesto
Il problema si manifesta tipicamente in un contesto aziendale moderno, dove la trasformazione digitale ha portato all'adozione massiva di tecnologie avanzate, spesso in modalità shadow IT (ossia senza il pieno controllo del dipartimento IT centrale). Parliamo di aziende che hanno integrato Chatbot per il customer care, sistemi ETL intelligenti per l'analisi dei dati o motori di raccomandazione per l'e-commerce.
Lo scenario normativo e tecnico
Per comprendere la gravità della situazione, dobbiamo prima definire il campo da gioco. Secondo l'AI Act, un "Sistema AI" non è un semplice software, ma un sistema automatizzato progettato per funzionare con livelli di autonomia variabili che deduce dall'input ricevuto come generare output (previsioni, contenuti, raccomandazioni) influenzando l'ambiente fisico o virtuale.
In questo scenario, la confusione regna sovrana sui ruoli. Molte aziende ignorano la distinzione fondamentale tra:
- Fornitore (Provider): chi sviluppa il sistema AI o lo fa sviluppare per immetterlo sul mercato con il proprio marchio.
- Deployer (Utilizzatore): chi utilizza il sistema sotto la propria autorità nell'ambito di un'attività professionale.
- Distributore: chi rende disponibile il sistema sul mercato senza esserne il fornitore.
- Importatore: chi immette sul mercato UE un sistema fornito da un paese terzo.
Il problema insorge perché spesso le aziende acquistano soluzioni terze (es. API di OpenAI o servizi Cloud AWS/Google/Azure) e le integrano nei propri prodotti, diventando inconsapevolmente "Fornitori" agli occhi della legge se ne modificano sostanzialmente la destinazione d'uso, assumendosi così oneri di conformità enormi per i quali non sono strutturate.
L'impatto immediato, se non si affronta questa complessità, è duplice.
Il primo dirompente impatto è sul Business: si crea un clima di incertezza che paralizza gli investimenti. L'impossibilità di classificare correttamente il proprio software (è ad alto rischio? è vietato?) porta al blocco cautelativo di progetti costati mesi di sviluppo.
Il secondo impatto è sui Team IT/Operations: gli sviluppatori si trovano a dover gestire requisiti di "accuratezza, robustezza e cybersicurezza" senza avere gli strumenti o le metriche per misurarli. Si crea un debito tecnico enorme dovuto alla necessità di rifare le pipeline di dati per garantire la data quality richiesta dalla norma.
Cosa di solito non viene fatto? Non viene effettuata un'analisi preventiva di "AI Design Thinking". Si usano "tutti i dati in possesso" senza chiedersi se siano pertinenti, esatti o rappresentativi, violando il principio di minimizzazione e esponendo l'azienda a bias algoritmici.
Il problema
Il cuore del problema risiede nella classificazione del rischio e nelle conseguenze devastanti di una valutazione errata. L'AI Act non regola tutto allo stesso modo, ma adotta un approccio risk-based. L'incapacità dell'azienda di mappare i propri sistemi all'interno di questa griglia è la minaccia principale.
Le categorie di rischio e le insidie specifiche
- Rischio Inaccettabile (Divieto) - Ci sono pratiche che l'Europa ha deciso di bandire totalmente perché violano i diritti fondamentali. Se la vostra azienda sta sperimentando sistemi di social scoring, identificazione biometrica remota in tempo reale in spazi pubblici, o tecniche manipolative che agiscono nell'inconscio delle persone, il problema non è l'adeguamento: è lo stop immediato. Continuare significa affrontare sanzioni fino a 35 milioni di euro.
- Alto Rischio - Qui ricadono moltissimi sistemi aziendali "insospettabili". Rientrano in questa categoria i software usati per la selezione del personale (es. screening CV), per la valutazione del credito o l'accesso a servizi essenziali, per l'istruzione e la formazione professionale. Il problema specifico qui è l'onere della prova: dovete dimostrare di avere un "Sistema di gestione dei rischi", una "Documentazione tecnica" aggiornata e una "Sorveglianza umana" efficace.
- Rischio Limitato - Sistemi come i Chatbot o i Deepfake. Qui il problema è la trasparenza: l'utente deve sapere che sta parlando con una macchina e i contenuti sintetici devono essere marcati in modo leggibile dalle macchine.
- General Purpose AI (GPAI) - I modelli fondativi (come GPT-4) hanno regole proprie, che includono il rispetto del copyright e la trasparenza sull'addestramento.
Quanto costano le violazioni?
Possiamo quantificare il danno potenziale con cifre precise fornite dal legislatore:
- 35.000.000 € o 7% del fatturato globale per violazione dei divieti (es. pratiche manipolative).
- 15.000.000 € o 3% del fatturato globale per violazione degli obblighi sui sistemi ad alto rischio (mancanza di governance, dati sporchi, mancanza di logging).
- 7.500.000 € o 1,5% del fatturato globale per fornitura di informazioni inesatte alle autorità.
Oltre al danno economico, c'è il rischio operativo: la "perturbazione grave delle infrastrutture critiche" o il danno reputazionale derivante da un sistema che discrimina un'etnia o un genere a causa di un dataset di addestramento non bilanciato. Il persistere del problema senza un intervento strutturale porta a un aumento esponenziale dei costi di gestione ("costi del non fare"), dovuti a bonifiche post-emergenza e consulenze legali d'urgenza.
L'obiettivo
Per uscire da questa impasse, l'azienda deve porsi obiettivi chiari e misurabili che vadano oltre la semplice "sopravvivenza burocratica".
Ecco quali sono gli obiettivi da raggiungere
Consapevolezza e Classificazione (Step 1): l'obiettivo primario è avere una mappa completa di tutti i sistemi AI in uso, classificati per livello di rischio (Minimo, Limitato, Alto, Inaccettabile). Bisogna sapere esattamente cosa si ha in casa.
Definizione della Responsabilità (Step 2): stabilire per ogni software se l'azienda agisce come Fornitore, Deployer, Importatore o Distributore. Questo è cruciale perché gli obblighi cambiano drasticamente.
Eccellenza Tecnica e Data Quality: implementare un flusso di validazione dei dati che garantisca che i dataset di addestramento, convalida e prova siano "pertinenti, rappresentativi, privi di errori e completi". L'obiettivo è prevenire il bias alla fonte.
Governance e Observability: dotarsi di strumenti di monitoraggio continuo che registrino automaticamente gli eventi (logging) per almeno 6 mesi, permettendo la tracciabilità completa del ciclo di vita dell'AI. Abbiamo recentemente approfondito il tema dell'AI Governance e della Data Observability.
Alfabetizzazione AI (AI Literacy): garantire che tutto il personale, non solo i tecnici, possieda un livello sufficiente di competenza per comprendere e sorvegliare i sistemi AI, come esplicitamente richiesto dall'articolo sull'alfabetizzazione.
La soluzione
La risposta a questa complessità non può essere un semplice documento redatto da uno studio legale esterno, né un mero tool software installato dall'IT. Miriade consiglia l'adozione del Pacchetto AI Governance, Security e Compliance, una metodologia che fonde competenze legali e ingegneristiche in un unico flusso di lavoro.
Ecco come si articola il metodo nel dettaglio.
Fase 1 - AI Design Thinking e Assessment
Prima di scrivere una sola riga di codice, si applica l'AI Design Thinking. Si analizzano le fonti dato per selezionare solo quelle "adeguate, pertinenti e limitate", evitando il data hoarding. In questa fase si utilizza il framework normativo per capire se il prodotto rientra nella definizione di "sistema AI" e per classificarne il rischio.
Fase 2 -Supporto Legale e Privacy Integrato.
Il team Legal lavora a stretto contatto con i Data Scientist per:
- Aggiornare il registro dei trattamenti privacy, inserendo i nuovi trattamenti AI.
- Effettuare la Valutazione d'Impatto sulla Protezione dei Dati (DPIA) per i sistemi ad alto rischio.
- Redigere le informative privacy per gli utilizzatori e nominare i fornitori terzi come Responsabili del trattamento.
- Verificare che i contenuti generati rispettino il diritto d'autore, specialmente per i modelli GPAI.
Fase 3 - Implementazione Tecnica della Governance (MLOps + Compliance)
Questa è la parte più operativa e tecnica della soluzione. Miriade supporta l'implementazione di:
- Sistemi di Log Management: per soddisfare l'obbligo di conservazione delle registrazioni (logging) automatiche degli eventi, essenziali per individuare situazioni di rischio o malfunzionamenti post-market.
- Human-in-the-loop: progettazione di interfacce che consentano una sorveglianza umana efficace. L'operatore umano deve essere messo in condizione di interpretare gli output e, se necessario, arrestare il sistema (il cosiddetto "kill switch").
- Validazione e robustezza: integrazione di test di robustezza e cybersicurezza per garantire che il sistema resista ad attacchi o errori e mantenga livelli di accuratezza costanti nel tempo .
Fase 4 - Formazione e Change Management
Poiché la norma richiede che chi supervisiona i sistemi abbia "competenza, formazione e autorità", la soluzione include percorsi di formazione specifici (AI Academy) per preparare il personale all'utilizzo consapevole degli strumenti, mitigando il rischio derivante dall'uso da parte di operatori non tecnici.
Questa soluzione è la scelta migliore perché affronta il problema in modo olistico: non cura solo il sintomo legale (il contratto, l'informativa), ma interviene sulla causa tecnica (il dato, l'algoritmo, la sicurezza), creando un circolo virtuoso di miglioramento continuo.
I Risultati
L'adozione di questo framework porta a risultati tangibili e misurabili, trasformando la compliance da costo a leva di valore.
Benefici di Conformità e Sicurezza
Il risultato più immediato è l'abbattimento del rischio sanzionatorio. Essere in grado di dimostrare alle autorità di aver implementato un "Sistema di gestione della qualità" e di aver documentato la valutazione del rischio protegge l'azienda dalle maxi-multe del 7% o 3% del fatturato. Inoltre, la gestione corretta della cybersicurezza previene attacchi che potrebbero compromettere l'integrità del modello.
Benefici Operativi e di Business
- Time-to-market affidabile: sapendo esattamente quali sono i requisiti per ogni classe di rischio, i progetti non si bloccano più in fase di rilascio per dubbi normativi.
- Fiducia del mercato: un'azienda che espone la marcatura CE e rispetta gli obblighi di trasparenza (per esempio l' etichettatura dei contenuti sintetici) guadagna un vantaggio reputazionale enorme rispetto a competitor opachi.
- Efficienza: la pulizia dei dati imposta dalla normativa si traduce in modelli più performanti e accurati, riducendo gli errori decisionali dell'AI.
Le raccomandazioni finali
La raccomandazione fondamentale è di non attendere l'Ottobre 2026 (piena applicazione generale) per muoversi. Iniziate oggi con lo Step 1: Classificare i vostri sistemi. Capite se siete Fornitori o Deployer. Verificate se i vostri sistemi ricadono nell'Alto Rischio (Allegato III) o se sono vietati.
Miriade, con la sua doppia anima di esperti legali e Solution Architect, è il partner ideale per guidarvi in questo percorso, offrendo non solo consulenza ma anche formazione e implementazione tecnica. I passi successivi sono chiari: audit dell'esistente, formazione del personale e implementazione della governance tecnica. Solo così l'AI rimarrà una straordinaria opportunità di business e non diventerà un rischio insostenibile.
Ti è piaciuto quanto hai letto? Iscriviti a MISPECIAL, la nostra newsletter, per ricevere altri interessanti contenuti.
Iscriviti a MISPECIAL
