L’intelligenza artificiale è diventata una componente sempre più pervasiva dei processi aziendali, incidendo sulle modalità di lavoro, sui modelli decisionali, sui flussi informativi e sulle interazioni con clienti, fornitori e dipendenti. In questo scenario, l’entrata in applicazione dell’AI Act rappresenta un passaggio normativo di grande rilievo, destinato a incidere in modo strutturale sulla governance delle tecnologie basate sull’AI.
L’obiettivo del nuovo quadro regolatorio è duplice: limitare gli usi considerati inappropriati o rischiosi e promuovere un impiego dell’intelligenza artificiale fondato su principi di sicurezza, trasparenza, tracciabilità, responsabilità e supervisione umana.
Per le organizzazioni, questo significa passare da un approccio sperimentale o frammentato a un modello più maturo di governo dell’AI, capace di coniugare innovazione e controllo.
Un nuovo paradigma di governance
L’AI Act introduce una logica basata sul rischio, distinguendo tra sistemi vietati, sistemi soggetti a obblighi specifici e sistemi classificati come ad alto rischio. Questa impostazione riflette la consapevolezza che non tutti i sistemi di AI presentano lo stesso impatto e che la disciplina deve essere calibrata in funzione della finalità d’uso, del contesto operativo e del potenziale effetto sulle persone e sui diritti fondamentali.
Ne deriva, per le imprese, la necessità di costruire un presidio organizzativo in grado di mappare i casi d’uso dell’AI, valutare il livello di rischio associato, definire responsabilità interne e monitorare nel tempo l’evoluzione degli strumenti adottati. In tale prospettiva, la compliance non può più essere intesa come un’attività esclusivamente documentale, ma come una funzione di governo del cambiamento tecnologico.
Le principali richieste dell’AI Act
Tra gli obblighi più rilevanti introdotti dalla normativa figurano la gestione del rischio, la qualità e la governance dei dati, la documentazione tecnica, la registrazione degli eventi, la trasparenza informativa e la supervisione umana. Tali requisiti assumono particolare importanza nei sistemi ad alto rischio, per i quali il legislatore europeo richiede un livello più elevato di controllo e dimostrabilità.
Un ulteriore profilo essenziale riguarda la trasparenza. In numerosi casi, l’organizzazione deve garantire che gli utenti siano informati dell’interazione con un sistema di AI o dell’utilizzo di contenuti generati artificialmente. Ciò è particolarmente rilevante in tutti quei contesti in cui l’AI interviene nei processi di comunicazione, selezione, raccomandazione, supporto decisionale o produzione di contenuti.
Per le imprese, ciò comporta la necessità di integrare presidi giuridici, tecnologici e organizzativi, evitando che l’uso dell’AI avvenga in modo opaco o privo di controllo.
Le tempistiche di attuazione
L’AI Act prevede una implementazione progressiva, con scadenze differenziate a seconda della tipologia di obbligo. Questo approccio consente agli operatori di adattarsi gradualmente, ma richiede al tempo stesso una pianificazione tempestiva.
Le aziende che intendono affrontare in modo efficace l’adeguamento dovrebbero considerare da subito attività come:
- la ricognizione degli strumenti di AI già in uso;
- la classificazione dei casi d’uso per livello di rischio;
- la revisione dei contratti con fornitori e partner tecnologici;
- l’aggiornamento delle policy interne;
- la definizione di ruoli, responsabilità e flussi di escalation;
- la predisposizione di programmi formativi dedicati.
L’adeguamento non si esaurisce infatti nell’osservanza delle scadenze, ma richiede una trasformazione organizzativa che coinvolge processi, competenze e cultura aziendale.
Il Supervisore AI come funzione di coordinamento
In questo contesto si colloca la figura del Supervisore AI, intesa come presidio organizzativo incaricato di coordinare gli aspetti di compliance, rischio, governance e utilizzo operativo dell’intelligenza artificiale.
Si tratta di una funzione che risponde a un’esigenza concreta: evitare che la gestione dell’AI resti frammentata tra più uffici e che la mancanza di coordinamento produca incoerenze, duplicazioni o lacune nei controlli.
Il Supervisore AI non sostituisce le funzioni già esistenti, ma le integra e le raccorda. Il suo compito è favorire una visione unitaria tra le aree coinvolte, facilitando il dialogo tra legal, compliance, privacy, IT, sicurezza, risorse umane, procurement e business. In altri termini, rappresenta una funzione di cerniera tra la dimensione normativa e quella operativa.
La sua utilità emerge in particolare quando l’azienda utilizza più sistemi di AI, spesso forniti da soggetti diversi e impiegati in processi differenti. In questi casi, un coordinamento centralizzato consente di mantenere allineati criteri di valutazione, controlli, documentazione e formazione, riducendo il rischio di approcci disomogenei.
La relazione con le altre norme
Uno degli aspetti più rilevanti dell’AI Act è la sua interazione con altri quadri normativi già applicabili alle imprese. L’AI, infatti, non opera in un vuoto regolatorio, ma si inserisce in un sistema complesso di obblighi che comprende, tra gli altri, la normativa in materia di protezione dei dati personali, sicurezza informatica, responsabilità organizzativa e modelli di controllo interno.
In particolare, il rapporto con il GDPR è centrale ogni volta che un sistema di AI comporta il trattamento di dati personali. In tali casi, l’organizzazione deve verificare la coerenza tra i principi di minimizzazione, liceità, trasparenza, limitazione delle finalità e sicurezza del trattamento e le modalità concrete di utilizzo del sistema di AI.
Allo stesso modo, la relazione con il Modello 231 è rilevante quando l’impiego dell’AI può incidere sui processi sensibili o sui presidi di prevenzione dei reati presupposto. L’introduzione di strumenti di AI può infatti modificare flussi decisionali, livelli autorizzativi, controlli interni e responsabilità operative, con potenziali impatti sul sistema organizzativo e sul profilo di rischio dell’ente.
Sul piano della sicurezza, infine, l’interazione con la normativa in materia di cybersecurity e con i presidi previsti da standard e obblighi di sicurezza assume un ruolo decisivo. I sistemi di AI, infatti, devono essere governati anche sotto il profilo della resilienza, della protezione contro accessi non autorizzati, dell’integrità dei dati e della continuità operativa.
La formazione come presidio di conformità
Tra gli elementi più innovativi dell’AI Act vi è il rafforzamento del tema della formazione. La normativa richiede infatti che le organizzazioni assicurino un adeguato livello di alfabetizzazione sull’AI alle persone che la sviluppano, la adottano o la utilizzano nell’ambito dell’attività lavorativa.
Questo passaggio è particolarmente significativo perché riconosce che la compliance non dipende solo dalla correttezza degli strumenti, ma anche dalla competenza di chi li impiega. Un sistema di AI, infatti, può essere tecnicamente avanzato ma comunque improprio se usato senza consapevolezza dei limiti, dei rischi e delle responsabilità connesse.
Per questo motivo, la formazione deve essere intesa come un vero e proprio presidio di governance.
Un programma formativo efficace dovrebbe essere differenziato in base ai ruoli. A fronte di una base comune rivolta a tutta la popolazione aziendale, dovrebbero essere previsti moduli più approfonditi per le funzioni maggiormente esposte, come management, HR, legale, compliance, IT, sicurezza e procurement.
Verso un modello integrato di AI governance
L’adeguamento all’AI Act richiede dunque un approccio integrato, capace di mettere in relazione norme, processi, persone e tecnologie. In questa prospettiva, il Supervisore AI rappresenta un elemento di raccordo utile a garantire coerenza e continuità tra gli adempimenti e l’operatività quotidiana.
Le imprese che sceglieranno di affrontare il tema con un approccio strutturato potranno sia ridurre i rischi di non conformità, sia rafforzare la qualità delle proprie decisioni, migliorare il presidio dei processi e accrescere la fiducia degli stakeholder. L’AI Act, in questo senso, va letto come un’opportunità per costruire un modello di innovazione più consapevole, sostenibile e responsabile.
Webinar di approfondimento
I temi presentati in questo contributo saranno oggetto di approfondimento nel webinar gratuito organizzato da Compet-e il 16 aprile, durante il quale verranno analizzati in modo più dettagliato i principali obblighi introdotti dall’AI Act, le relative tempistiche di applicazione, il ruolo del Supervisore AI e la relazione con gli altri presìdi normativi e organizzativi già presenti in azienda.
L’incontro rappresenta un’occasione utile per comprendere come tradurre i requisiti normativi in un modello di governance concreto, efficace e sostenibile, con un’attenzione particolare alla formazione interna e al coordinamento tra le diverse funzioni coinvolte.
La partecipazione al webinar è gratuita. Per riservare il proprio posto e ricevere il link di accesso, è possibile iscriversi a questo link: https://meet.zoho.eu/afvh-fxt-pya.