Ci sono norme che arrivano quando il mercato è ancora fermo. E poi ci sono norme che arrivano quando il mercato è già partito, spesso senza rendersene conto. L’AI Act appartiene alla seconda categoria.
Negli ultimi due anni l’Intelligenza Artificiale è entrata nelle imprese italiane in modo un po’ disordinato e spesso a singhiozzo, ma lentamente ha conquistato il suo posto. Inizialmente, poche realtà hanno avuto un grande progetto strategico, un comitato interno e decisioni formalizzate. Più spesso è entrata attraverso strumenti già in uso: una funzione “smart” nel CRM, un modulo di marketing automation, un chatbot sul sito, un software HR, un generatore di testi, immagini o presentazioni.
All’inizio sembrava solo produttività, un aiuto, un acceleratore. Qualcosa di utile, insomma, ma tutto sommato leggero. Oggi il quadro è cambiato: l’Intelligenza Artificiale non è più soltanto uno strumento tecnologico. È diventata una scelta organizzativa e d’ora in avanti, anche una scelta di governance.
Il calendario vero dell’AI Act
Partiamo dai fatti, perché sulle scadenze si è creata parecchia confusione. Il Regolamento (UE) 2024/1689, cioè l’AI Act, è entrato in vigore il 1° agosto 2024. La regola generale prevede l’applicazione dal 2 agosto 2026, ma con alcune tappe già partite.
Dal 2 febbraio 2025 si applicano le norme iniziali e i divieti sulle pratiche considerate a rischio inaccettabile. Parliamo, tra le altre, di manipolazione comportamentale dannosa, alcune forme di social scoring e usi particolarmente invasivi dell’identificazione biometrica. Non è un tema future, perché già presente.
Dal 2 agosto 2025 sono operative anche diverse disposizioni sui modelli di Intelligenza Artificiale di uso generale, i cosiddetti general-purpose AI models. Dal 2 agosto 2026 arriverà poi la grande soglia di applicazione per la maggior parte delle disposizioni, comprese molte regole di trasparenza.
Su questo calendario si è inserito il pacchetto di semplificazione digitale, il cosiddetto Digital Omnibus on AI. Qui bisogna essere precisi: il Parlamento europeo ha approvato il testo il 16 giugno 2026 e i documenti del Consiglio indicano l’adozione dell’atto legislativo nella seduta del 29 giugno. Il cuore della modifica è il rinvio di alcuni obblighi per i sistemi di AI ad alto rischio: 2 dicembre 2027 per i sistemi autonomi ad alto rischio, 2 agosto 2028 per quelli integrati come componenti di sicurezza in prodotti regolati da normativa settoriale europea.
Significa che possiamo aspettare? No. Significa una cosa diversa: alcune imprese avranno più tempo per adeguarsi su specifiche categorie di sistemi ad alto rischio, ma l’AI Act non è stato sospeso. Le pratiche vietate sono già rilevanti. L’alfabetizzazione AI è già un tema aziendale. Le regole di trasparenza restano vicine e la responsabilità organizzativa non si improvvisa a ridosso della scadenza.
L’errore più comune: pensare che riguardi solo chi sviluppa tecnologia
Molti imprenditori ragionano ancora così: “Noi non sviluppiamo modelli, li usiamo soltanto. Quindi il problema sarà del fornitore”. Questa è una lettura non corretta della normativa.
L’AI Act distingue ruoli diversi: fornitori, deployer, importatori, distributori, operatori. Nel linguaggio pratico dell’impresa significa che anche chi utilizza un sistema di AI dentro un processo aziendale può avere obblighi, cautele, responsabilità documentali e organizzative.
Pensate a uno studio professionale che usa un software per selezionare candidati, a una PMI che introduce un sistema di scoring commerciale, a una società che automatizza risposte ai clienti, a un’impresa che impiega strumenti generativi per produrre contenuti rivolti al pubblico.
In tutti questi casi la domanda non è: “Abbiamo scritto noi il codice?”. La domanda vera è: “Dove stiamo usando l’AI, con quali dati, per quali finalità e con quali effetti su persone, clienti, dipendenti o terzi?”. È qui che molte aziende scopriranno di avere più Intelligenza Artificiale in casa di quanto pensassero.
La compliance comincia dall’inventario, non dal legalese
Davanti a una normativa complessa, la tentazione è aspettare il consulente, la circolare, il modello di policy, il documento standard. Tutto utile, certo. Ma il primo passo è molto più semplice e molto più concreto: fare l’inventario. Quali strumenti aziendali incorporano funzioni AI? Chi li usa? Per fare cosa? Con quali dati? Il sistema produce suggerimenti, classificazioni, punteggi, decisioni, contenuti o previsioni? C’è sempre una persona che controlla? Il cliente o l’utente sa quando sta interagendo con una macchina?
Senza questa mappa iniziale, ogni piano di adeguamento resta teoria. E attenzione: l’inventario non riguarda solo i software “dichiaratamente AI”. Oggi l’AI è spesso nascosta dentro strumenti ordinari. CRM, ERP, piattaforme HR, sistemi di customer care, marketing automation, sicurezza, controllo qualità, analytics. Il rischio non è solo usare male ChatGPT. Il rischio è non sapere dove l’AI stia già lavorando per noi.
Sei mosse per non arrivare in ritardo
La prima mossa è mappare. Non serve partire con un progetto mastodontico. Serve un elenco serio degli strumenti, dei reparti coinvolti e degli usi effettivi. Meglio una fotografia imperfetta ma reale, che un documento elegante e vuoto.
La seconda è classificare gli usi. Un assistente che aiuta a scrivere una bozza commerciale non ha lo stesso peso di un sistema che filtra CV, attribuisce punteggi a candidati, influenza l’accesso al credito o incide su servizi essenziali. La logica europea è proporzionata al rischio: più l’AI tocca diritti, opportunità, sicurezza o trattamenti rilevanti, più cresce il livello di attenzione richiesto.
La terza è verificare subito le pratiche vietate. Questo controllo non può essere rinviato. Per le violazioni più gravi, l’AI Act prevede sanzioni fino a 35 milioni di euro o fino al 7% del fatturato mondiale annuo dell’impresa, se superiore. È una soglia pensata per farsi ascoltare anche dai consigli di amministrazione più distratti.
La quarta è lavorare sulla trasparenza. Se una persona dialoga con un chatbot, guarda un contenuto sintetico, riceve una comunicazione generata o manipolata da AI, l’azienda deve chiedersi se l’informazione è chiara, comprensibile e collocata nel punto giusto dell’esperienza utente. La trasparenza non è una nota a piè di pagina, è parte della relazione di fiducia.
La quinta è assegnare una responsabilità interna. Nelle PMI non serve necessariamente creare un nuovo dipartimento. Serve però qualcuno che tenga il filo: mappatura, fornitori, policy interne, formazione, rischi, documentazione. Se tutti sono responsabili, spesso non lo è nessuno.
La sesta è formare le persone. Qui molti sottovalutano il tema. L’alfabetizzazione AI non significa trasformare tutti in tecnici. Significa dare a manager, professionisti e collaboratori le competenze minime per capire cosa stanno usando, quali limiti ha lo strumento, quali dati non devono inserire, quando serve controllo umano e quando una risposta generata va trattata come bozza, non come verità.
Il punto non è frenare l’AI. È smettere di usarla alla cieca
L’AI Act non dovrebbe essere letto come un freno all’innovazione. Sarebbe una lettura povera, e anche poco utile. Letto bene, il messaggio è più maturo: potete innovare, ma dovete sapere cosa state facendo. Dovete conoscere i sistemi che usate. Dovete capire chi decide. Dovete documentare le scelte importanti. Dovete proteggere le persone quando l’AI incide su diritti, opportunità, sicurezza o reputazione.
Per imprenditori e manager la domanda non è più “posso usare l’Intelligenza Artificiale?”. La domanda giusta è: “La sto usando in un modo che domani reggerà davanti a clienti, dipendenti, partner e regolatori?”.
Il rinvio di alcune scadenze, se confermato nella sua piena efficacia con la pubblicazione formale in Gazzetta ufficiale dell’Unione europea, va letto per quello che è: tempo guadagnato. Non tempo libero. Chi userà questi mesi per fare ordine si metterà a norma per tempo e con calma. Chi aspetterà l’ultimo miglio scoprirà una cosa già vista molte volte nella storia delle imprese: la compliance fatta di corsa costa di più, funziona peggio e arriva sempre nel momento meno comodo.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Mario Alberto Catarozzo
Source link






