L’entrata in vigore dell’AI Act dell’Unione europea rappresenta uno dei cambiamenti normativi più rilevanti per le imprese che utilizzano sistemi di intelligenza artificiale. Il regolamento introduce un quadro di regole che riguarda anche le piccole e medie imprese, imponendo nuovi obblighi di formazione e vietando alcune applicazioni considerate pericolose per i diritti fondamentali. Dal 2 febbraio 2025 le aziende devono infatti assicurare un livello minimo di AI literacy al personale che utilizza strumenti basati sull’intelligenza artificiale in ambito professionale. Parallelamente entrano in vigore divieti immediati per sistemi ritenuti incompatibili con i principi europei di tutela dei cittadini. Il nuovo quadro normativo si inserisce in una strategia più ampia dell’Unione europea che comprende anche altre regolazioni su sicurezza informatica, gestione dei dati e resilienza digitale. Tra queste figurano la direttiva NIS2, il regolamento DORA, il Cyber Resilience Act, il Data Act e il nuovo Regolamento Macchine. Insieme questi strumenti definiscono un ecosistema normativo che coinvolge migliaia di aziende europee, molte delle quali sono PMI che utilizzano strumenti digitali avanzati nelle proprie attività quotidiane.
Cosa leggere
L’AI Act e il nuovo quadro normativo europeo
Il regolamento europeo sull’intelligenza artificiale introduce un sistema di classificazione dei sistemi AI basato sul livello di rischio. Questa struttura distingue quattro categorie principali: sistemi vietati, sistemi ad alto rischio, sistemi a rischio limitato e sistemi a rischio minimo. L’obiettivo del legislatore europeo è quello di favorire lo sviluppo tecnologico senza compromettere la tutela dei diritti fondamentali e la sicurezza dei cittadini. Le aziende che utilizzano strumenti AI devono quindi valutare il tipo di tecnologia impiegata e verificare se rientra in una categoria regolata dal nuovo quadro normativo. Anche applicazioni apparentemente semplici, come chatbot per l’assistenza clienti o generatori di contenuti testuali, possono essere soggette a requisiti specifici di trasparenza e controllo umano. Per le PMI questo significa introdurre procedure interne di monitoraggio e classificazione delle tecnologie utilizzate. La mappatura degli strumenti AI presenti in azienda diventa quindi un passaggio fondamentale per evitare rischi legali e sanzioni.
Obblighi di formazione e AI literacy per i dipendenti
Uno degli elementi centrali del regolamento riguarda l’obbligo di AI literacy previsto dall’articolo 4 dell’AI Act. Questo requisito impone alle organizzazioni di assicurare che il personale che utilizza strumenti basati su intelligenza artificiale abbia competenze sufficienti per comprenderne funzionamento, limiti e rischi. In pratica le imprese devono organizzare attività di formazione che permettano ai dipendenti di riconoscere possibili errori dei sistemi AI, comprendere i rischi di bias algoritmico e verificare l’affidabilità dei contenuti generati automaticamente. L’obiettivo è evitare che decisioni aziendali vengano prese esclusivamente sulla base di output prodotti da sistemi automatizzati. Questo obbligo riguarda una vasta gamma di attività professionali. Agenzie di comunicazione, uffici marketing, customer care e uffici risorse umane sono tra i contesti in cui l’utilizzo di strumenti AI è più diffuso. In tutti questi casi il personale deve essere in grado di valutare criticamente i risultati generati dai sistemi automatizzati. Le aziende devono inoltre documentare i percorsi di formazione svolti, mantenendo registri delle attività formative e delle competenze acquisite dai dipendenti. Questa documentazione può essere richiesta dalle autorità di controllo durante eventuali verifiche.
I divieti introdotti dal regolamento europeo
Oltre agli obblighi di formazione, il regolamento europeo introduce una serie di divieti per sistemi di intelligenza artificiale considerati incompatibili con i diritti fondamentali. Queste restrizioni riguardano applicazioni che potrebbero manipolare il comportamento umano o discriminare individui sulla base di caratteristiche personali. Tra le pratiche vietate rientra il social scoring, ovvero la classificazione delle persone in base al loro comportamento sociale o economico. Questa pratica, già utilizzata in alcuni contesti extraeuropei, è considerata incompatibile con i principi di tutela della dignità e della libertà individuale. Il regolamento vieta inoltre sistemi che utilizzano tecniche subliminali per influenzare le decisioni degli utenti, così come strumenti che sfruttano vulnerabilità legate all’età o alla condizione sociale delle persone. Anche la creazione di database biometrici ottenuti tramite raccolta indiscriminata di immagini facciali da Internet è espressamente proibita. Un altro divieto riguarda l’uso dell’identificazione biometrica remota in tempo reale negli spazi pubblici, salvo casi eccezionali legati alla sicurezza pubblica e autorizzati da un’autorità giudiziaria. Queste limitazioni mirano a prevenire forme di sorveglianza di massa incompatibili con il diritto europeo.
Sanzioni fino a 35 milioni di euro
Il regime sanzionatorio previsto dall’AI Act è particolarmente severo. Le aziende che violano i divieti previsti dal regolamento possono incorrere in multe fino a 35 milioni di euro o al 7% del fatturato globale annuo, se superiore. Per violazioni meno gravi, come la mancata conformità ai requisiti tecnici o documentali, le sanzioni possono arrivare fino a 15 milioni di euro o al 3% del fatturato globale. Anche la fornitura di informazioni false o fuorvianti alle autorità può comportare multe fino a 7,5 milioni di euro. Per le PMI il regolamento prevede un’applicazione proporzionata delle sanzioni, ma questo non elimina il rischio economico legato alla non conformità. Per molte aziende il costo di una multa potrebbe superare ampiamente quello necessario per implementare le misure di adeguamento richieste dalla normativa.
Il vademecum Cefriel per le imprese italiane
Per aiutare le aziende ad affrontare il nuovo quadro normativo, il centro di ricerca Cefriel ha pubblicato un vademecum dedicato alle PMI italiane. Il documento offre una guida pratica per orientarsi tra le diverse regolazioni europee che riguardano tecnologia, cybersecurity e gestione dei dati. Il vademecum evidenzia come l’AI Act non debba essere considerato isolatamente, ma come parte di un sistema normativo più ampio che include la direttiva NIS2, il regolamento DORA, il Cyber Resilience Act, il Data Act e il Regolamento Macchine. Secondo le stime, queste normative coinvolgono oltre 20.000 imprese italiane operanti in settori critici come energia, trasporti, sanità e infrastrutture digitali. Le aziende devono quindi coordinare le attività di conformità per evitare duplicazioni e garantire una gestione efficiente dei requisiti normativi.
Integrazione con NIS2, DORA e Cyber Resilience Act
Uno degli aspetti più complessi per le imprese riguarda l’integrazione tra l’AI Act e le altre normative europee sulla sicurezza digitale. La direttiva NIS2, ad esempio, introduce obblighi di gestione del rischio e notifica degli incidenti informatici per organizzazioni che operano in settori critici. Il regolamento DORA si applica invece al settore finanziario e richiede misure specifiche per la resilienza operativa digitale, mentre il Cyber Resilience Act introduce requisiti di sicurezza per prodotti hardware e software connessi a Internet. Queste normative condividono l’obiettivo di rafforzare la sicurezza digitale europea e creare un ambiente tecnologico affidabile per cittadini e imprese. Tuttavia per le aziende ciò comporta la necessità di sviluppare strategie di compliance integrate che tengano conto di tutti i regolamenti applicabili.
Le scadenze principali per le aziende
Il calendario di applicazione dell’AI Act prevede diverse scadenze progressive. I primi obblighi, tra cui i divieti sulle pratiche vietate e i requisiti di formazione sull’AI, entrano in vigore dal 2 febbraio 2025. Nel corso del 2025 saranno introdotti anche obblighi specifici per i modelli di intelligenza artificiale general purpose, mentre dal 2026 entreranno in vigore requisiti più stringenti per i sistemi classificati ad alto rischio. Infine entro il 2027 il regolamento sarà pienamente applicato anche ai sistemi AI integrati in prodotti regolamentati, come macchinari industriali o dispositivi medici. Questo approccio graduale permette alle imprese di adattarsi progressivamente alle nuove regole.
Come prepararsi alla conformità
Per affrontare l’impatto dell’AI Act le imprese devono adottare una strategia strutturata di adeguamento normativo. Il primo passo consiste nella mappatura degli strumenti di intelligenza artificiale utilizzati all’interno dell’organizzazione. Successivamente le aziende devono classificare questi sistemi in base al livello di rischio previsto dal regolamento e verificare se sono soggetti a requisiti specifici. Parallelamente è necessario sviluppare programmi di formazione per il personale e aggiornare le policy aziendali relative alla gestione dei dati e alla sicurezza informatica. Molte aziende stanno inoltre introducendo procedure di audit interno per monitorare l’uso dell’intelligenza artificiale e verificare il rispetto delle normative europee. Questo approccio consente di individuare eventuali problemi prima che possano trasformarsi in violazioni sanzionabili.
Un equilibrio tra innovazione e tutela dei diritti
L’AI Act rappresenta il primo tentativo al mondo di creare una regolamentazione completa dell’intelligenza artificiale. L’obiettivo dell’Unione europea è promuovere lo sviluppo tecnologico garantendo allo stesso tempo la protezione dei cittadini e dei loro diritti fondamentali. Per le PMI questo nuovo scenario rappresenta sia una sfida sia un’opportunità. Le aziende che riusciranno ad adattarsi rapidamente alle nuove regole potranno beneficiare di maggiore fiducia da parte dei clienti e accedere più facilmente ai mercati europei regolamentati. La conformità normativa diventa quindi non solo un obbligo legale, ma anche un fattore competitivo in un contesto economico sempre più orientato verso la responsabilità digitale.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
