Con l’avvento della legge sull’intelligenza artificiale (AI Act), entrata in vigore il 1 agosto 2024, le organizzazioni aziendali e gli studi professionali si trovano tra la necessità di integrare l’AI nei propri processi, per avere margine competitivo nei mercati concorrenziali, e quella di rispettare una normativa con obblighi ben precisi.
L’Artificial Intelligent Act è il primo quadro giuridico in assoluto in materia di intelligenza artificiale. Affronta i rischi dell’AI e prevede un’applicazione progressiva degli obblighi distribuita su tre anni, con il 2 agosto 2026 che rappresenta la scadenza fondamentale di piena applicabilità dell’AI Act.
Gli aspetti principali operativi dal 2 agosto
- Sistemi ad Alto Rischio: istituti, aziende e sviluppatori devono conformarsi a regole rigorose per l’uso di AI in ambiti critici (es. sanità, HR, istruzione, forze dell’ordine). Gli obblighi comprendono la gestione del rischio, la governance dei dati, la trasparenza, la documentazione tecnica e la supervisione umana.
- Obblighi di Trasparenza: diventano applicabili i requisiti per i sistemi di AI “a rischio limitato” (come le chatbot e i sistemi di generazione di immagini/testi, inclusi modelli come ChatGPT, Claude o Gemini). Gli utenti devono essere chiaramente informati quando interagiscono con un’intelligenza artificiale o quando i contenuti sono generati artificialmente.
- Codici di Condotta per i Modelli GPAI (General Purpose AI): si applicano le disposizioni riguardanti i modelli di AI per scopi generali, con particolare attenzione al rispetto del diritto d’autore e alla pubblicazione di riassunti dettagliati sui dati utilizzati per l’addestramento.
La trasparenza dei contenuti non è un’etichetta da apporre: è l’infrastruttura di fiducia dell’ecosistema informativo.
Obblighi del Code of Practice
Il Code of Practice on Transparency of AI-Generated Content, previsto nell’art. 50 dell’AI Act, stabilisce l’obbligo di trasparenza per i contenuti generati dalla AI e costruisce tale obbligo su due pilastri.
- Provider: i sistemi di AI che generano audio, immagini, video o testo sintetici devono marcare gli output in formato leggibile dalla macchina e renderli rilevabili come generati o manipolati artificialmente.
- Deployer: chi genera o manipola un deep fake deve dichiararne l’origine artificiale; chi pubblica testi generati o manipolati dall’AI per informare il pubblico su questioni di interesse pubblico deve etichettarli (attraverso indicatori visivi persistenti per immagini e video, disclaimer per contenuti sonori), salvo che vi sia una revisione umana e una responsabilità editoriale.
Formazione
Oltre la trasparenza, la formazione ha un ruolo chiave in diversi aspetti dell’AI Act.
Essa consente alle aziende di individuare e moderare le problematiche riguardanti sicurezza ed etica AI, migliorando quindi la gestione del rischio. Inoltre, l’AI Act richiede che chi utilizza sistemi di intelligenza artificiale sia in grado di interpretare correttamente i risultati e prendere decisioni informate, evitando di affidarsi ciecamente agli output generati dagli algoritmi.
Per questo motivo, un altro punto cruciale è la supervisione umana: i sistemi di AI devono essere progettati e monitorati da parte di operatori qualificati, affinché avvenga un controllo necessario per correggere ed eventualmente intervenire sul funzionamento dei sistemi.
L’alfabetizzazione AI non si limita alla conoscenza tecnica degli strumenti, ma comprende anche la consapevolezza dei rischi, delle opportunità e degli aspetti legali legati all’uso dell’AI. Per le aziende europee, garantire una formazione adeguata non è dunque solo un requisito di conformità, ma un investimento strategico per rimanere competitive in un contesto in continua evoluzione.
Sanzioni dell’EU AI Act
In caso di mancata conformità alle pratiche proibite AI, le sanzioni dell’EU AI Act per le PMI prevedono multe così ripartite:
- Fino a 35 milioni di euro o il 7% del fatturato: per l’utilizzo di pratiche di intelligenza artificiale vietate (es. manipolazione comportamentale cognitiva o categorizzazione biometrica basata su credenze sensibili)
- Fino a 15 milioni di euro o il 3% del fatturato: per violazioni degli obblighi sui sistemi di AI ad alto rischio (es. assenza di documentazione tecnica, registrazione o supervisione umana).
- Fino a 7,5 milioni di euro o l’1,5% del fatturato: per aver fornito informazioni inesatte o fuorvianti alle autorità di controllo.
Per le PMI e le startup, però, il regolamento prevede una tutela: si applica l’importo minore tra la cifra fissa e la percentuale.
Legge italiana sull’Intelligenza Artificiale
La legge italiana 132/2025 sull’intelligenza artificiale, approvata a settembre 2025, è il primo quadro normativo nazionale in Europa che disciplina sviluppo, adozione e governance dei sistemi di AI nel rispetto dei principi costituzionali e dei diritti fondamentali. Si basa su principi “antropocentrici” che mettono al centro i diritti fondamentali dell’uomo, introducendo un nuovo dovere deontologico di trasparenza.
Tra i principi della normativa si trovano:
- Rispetto dei diritti fondamentali e delle libertà previste: il processo di utilizzo di sistemi e modelli di IA deve attenersi ai principi della Costituzione e del diritto dell’Unione Europea;
- Principi democratici: l’utilizzo di sistemi di intelligenza artificiale non deve pregiudicare lo svolgimento con metodo democratico della vita istituzionale e politica, e non deve altresì pregiudicare la libertà del dibattito democratico;
- Informare l’utente in modo chiaro ed esaustivo sull’uso di sistemi di IA, senza recare pregiudizio alla libertà e al pluralismo dei mezzi di comunicazione;
- Riservare all’attività umana il ruolo critico-decisionale: l’AI può essere usata solo come supporto strumentale. Il lavoro intellettuale, l’analisi critica e la responsabilità finale devono rimanere sempre umani;
- Non discriminazione e equità: evitare bias, disparità di trattamento, effetti discriminatori in funzione del sesso, dell’età, delle origini etniche, del credo religioso, dell’orientamento sessuale, delle opinioni politiche e delle condizioni personali, sociali ed economiche;
- Adottare misure di sicurezza sulla privacy e il trattamento dati: i dati dei clienti trattati tramite piattaforme AI devono rispettare il GDPR;
- Fare formazione continua obbligatoria: garantire un livello sufficiente di alfabetizzazione a tutto il personale che interagisce con tali strumenti digitali;
- Trasparenza dei dati: garantire il trattamento lecito, corretto e trasparente dei dati personali e la compatibilità con le finalità per le quali sono stati raccolti, in conformità al diritto dell’Unione europea.
- Assumere piena responsabilità delle decisioni: garantire che ogni attività svolta con il supporto di sistemi o applicazioni di intelligenza artificiale rimanga sotto controllo umano e che la responsabilità finale degli esiti, delle valutazioni e delle scelte resti sempre in capo alla persona che utilizza tali strumenti.
Checklist: come prepararsi entro agosto 2026
Adeguarsi all’AI Act non significa semplicemente aggiungere etichette ai contenuti generati dall’intelligenza artificiale. Significa costruire un’infrastruttura capace di tracciare, verificare e certificare l’origine di ogni contenuto digitale lungo il suo intero ciclo di vita.
Di seguito, alcune opzioni concrete da attuare per ogni organizzazione per prepararsi al meglio.
1. Mappatura dei sistemi AI in uso: creare un inventario completo dei sistemi di intelligenza artificiale utilizzati dall’organizzazione. Per ogni sistema, identificare: il fornitore, il tipo di output generato (testo, immagini, audio, video), il livello di rischio e i processi aziendali coinvolti.
2. Classificazione per livello di rischio (Risk Assessment): l’AI Act distingue quattro livelli: inaccettabile (vietato), alto, limitato e minimo. Classificare correttamente i propri sistemi è il prerequisito per definire gli adempimenti necessari.
3. Implementazione della tracciabilità dei contenuti: per ogni contenuto generato o modificato con AI, garantire la tracciabilità della provenienza. Adottare soluzioni di data provenance che certifichino l’origine dei dati con metadati verificabili, firma digitale e timestamp qualificato.
4. Formazione e governance interna (AI Literacy): l’articolo 4 dell’AI Act impone già ora obblighi di alfabetizzazione AI per il personale. Definire ruoli e responsabilità, implementare policy interne sull’uso dell’IA, formare i team sulla gestione dei contenuti AI-generated, sull’uso etico e consapevole dell’IA, e istituire meccanismi di supervisione umana.
5. Monitoraggio normativo continuo: il quadro normativo è in continua evoluzione. Un approccio proattivo richiede il monitoraggio costante degli aggiornamenti e l’adeguamento tempestivo dei processi interni.
6. Adempimenti per l’AI ad Alto Rischio: Se lo studio/azienda sviluppa o usa AI ad alto rischio (es. software HR con screening automatico dei CV per la selezione del personale, software di monitoraggio e valutazione dei dipendenti con AI, sistemi di scoring creditizio e rating fornitori con AI), sono richiesti: supervisione umana, elevato livello di robustezza, sicurezza informatica e accuratezza, elevata qualità delle serie di dati che alimentano il sistema per ridurre al minimo i rischi di esiti discriminatori, documentazione tecnica dettagliata, test continui e registrazione automatica degli eventi.
Oltre l’adeguamento: costruire valore con l’Intelligenza Artificiale
L’adeguamento all’Artificial Intelligence Act non dovrebbe essere vissuto solo come un obbligo normativo, ma come un’opportunità concreta per costruire modelli organizzativi più trasparenti, affidabili e orientati al futuro.
Nel medio periodo, le aziende che avranno investito in sistemi AI pienamente conformi potranno distinguersi anche nei confronti dei consumatori, sempre più attenti ai temi dell’etica e della responsabilità digitale.
Allo stesso tempo, la capacità di anticipare le richieste normative consente di dialogare in modo più fluido con fornitori, clienti, investitori e istituzioni, rafforzando la posizione dell’impresa nei mercati regolati e internazionali.
In un ecosistema informativo in cui l’AI diventa ogni giorno sempre più realistico e convincente, la trasparenza diventa il prerequisito stesso del consenso informato e dell’affidabilità umana.
