Con il Regolamento (UE) 2024/1689, l’AI Act, l’intelligenza artificiale esce dall’area della “sperimentazione” e diventa materia di disciplina giuridica vincolante per imprese e pubbliche amministrazioni.
Il regolamento adotta un impianto orizzontale e risk-based, che si traduce in obblighi differenziati per fornitori, distributori e utilizzatori professionali di sistemi di AI. Gli articoli 5–9 definiscono la logica di valutazione del rischio e prevedono, per i sistemi ad alto rischio, requisiti rigorosi di gestione del rischio, governance dei dati, documentazione e controllo. L’AI Act, in questo senso, non è solo una norma tecnica, ma entra a pieno titolo nel perimetro della responsabilità organizzativa e di governo societario.
Gli obblighi per i sistemi di AI ad alto rischio (high-risk AI systems) comprendono in particolare:
- un sistema di gestione del rischio (art. 9);
- regole sulla qualità e adeguatezza dei dati di addestramento, validazione e test (art. 10);
- requisiti di documentazione tecnica e registri (art. 11);
- obblighi di trasparenza e informazione a utenti e soggetti interessati (art. 13);
- adeguata supervisione umana (art. 14);
- meccanismi di monitoraggio post–market;
- gestione delle anomalie e incidenti gravi (art. 61).
Tutti questi elementi, pur descritti come requisiti “tecnici”, configurano in realtà un sistema di controlli e responsabilità che chiama in causa l’assetto organizzativo dell’ente e la sua capacità di presidiare il ciclo di vita dei sistemi di AI.
Classificazione del rischio: una scelta organizzativa
Il cuore dell’AI Act è l’approccio basato sul rischio, che classifica i sistemi di AI in quattro livelli:
- pratiche vietate (rischio inaccettabile, art. 5);
- sistemi ad alto rischio (artt. 6–51 e Allegato III);
- sistemi a rischio limitato soggetti a specifici obblighi di trasparenza (art. 52);
- sistemi a rischio minimo, sostanzialmente non regolamentati salvo norme generali.
La qualificazione di un sistema come “alto rischio” dipende sia da criteri oggettivi (ad esempio, le casistiche elencate nell’Allegato III), sia dal contesto d’uso e dagli impatti potenziali su salute, sicurezza e diritti fondamentali.
Questa classificazione non è un’attività meramente tecnica delegabile in automatico al fornitore o al team IT. È una valutazione che richiede interpretazione del quadro normativo, comprensione dei processi aziendali in cui la soluzione è inserita e analisi degli impatti su persone e stakeholder.
Ne discendono domande chiaramente organizzative: chi è autorizzato a qualificare un sistema come “alto rischio”? Con quali criteri, con quale documentazione e con quale responsabilità in caso di errore di classificazione? Da qui l’esigenza di individuare una funzione di coordinamento, spesso indicata come Supervisore AI, che non coincide con lo sviluppatore, ma svolge un ruolo di regia nella governance dei sistemi di intelligenza artificiale.
Il supervisore AI
Il Supervisore AI è la figura che coordina in modo trasversale la governance dei sistemi di intelligenza artificiale, facendo da punto di riferimento unico tra funzioni tecniche, legali, risk e business.
È vicino per ruolo al Chief AI Officer o all’AI Compliance Officer descritti nelle più recenti prassi europee: un responsabile che presidia classificazione dei sistemi, valutazioni di impatto (FRIA/DPIA), requisiti di trasparenza e supervisione umana previsti dall’AI Act, assicurando coerenza con GDPR, NIS2, DORA e Modello 231.
Può essere una risorsa interna, inserita in compliance, risk management, direzione IT o in una funzione dedicata all’AI, oppure una figura esterna che opera come consulente “di seconda linea”, a condizione che abbia indipendenza di giudizio e accesso diretto al top management, in analogia a quanto accade per il DPO.
Sul piano delle competenze deve combinare: conoscenza del quadro normativo (AI Act, GDPR e normativa settoriale), solide basi di data governance e di funzionamento dei modelli di AI, capacità di leggere processi e risk assessment aziendali, oltre a skill di coordinamento e change management, indispensabili per costruire processi di AI governance realmente applicati e non solo formali.
FRIA: valutare l’impatto sui diritti fondamentali
L’articolo 27 dell’AI Act introduce la valutazione di impatto sui diritti fondamentali (Fundamental Rights Impact Assessment, FRIA) per determinate categorie di soggetti, in particolare autorità pubbliche e organismi che utilizzano sistemi di AI ad alto rischio in ambiti sensibili come l’occupazione, l’istruzione, l’accesso a servizi essenziali o l’applicazione della legge. La FRIA richiede un’analisi strutturata che includa il contesto in cui il sistema viene utilizzato, l’individuazione dei diritti potenzialmente incisi, la valutazione della probabilità e gravità degli impatti e la definizione delle misure di mitigazione.
Il parallelismo con la Data Protection Impact Assessment (DPIA) prevista dall’art. 35 GDPR è evidente: anche la DPIA richiede una descrizione sistematica del trattamento, una valutazione dei rischi e l’individuazione di misure adeguate a tutelare i diritti e le libertà delle persone fisiche.
La FRIA, tuttavia, ha una portata più ampia perché guarda non solo alla protezione dei dati personali, ma alla tutela dei diritti garantiti dalla Carta dei diritti fondamentali dell’Unione europea (libertà di espressione, non discriminazione, dignità, accesso ai servizi, ecc.). Per questo, la FRIA è un vero e proprio processo organizzativo: coinvolge funzioni legali, compliance, HR, IT, risk management e aiuta a formalizzare le scelte di impiego dell’AI in azienda.
AI Act e GDPR: un intreccio strutturale
Quando un sistema di AI tratta dati personali, il perimetro regolatorio si allarga. L’art. 10 AI Act dedica grande attenzione alla qualità dei dati, imponendo che siano pertinenti, rappresentativi, esenti da errori e completi, per evitare distorsioni e discriminazioni nei risultati. Il GDPR, dal canto suo, richiede che i dati siano trattati nel rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione e limitazione della conservazione (art. 5), con il supporto di misure tecniche e organizzative adeguate sin dalla progettazione (privacy by design e by default, art. 25).
L’art. 22 GDPR introduce regole specifiche per le decisioni basate unicamente su trattamenti automatizzati, inclusa la profilazione, qualora producano effetti giuridici o incidano significativamente sugli interessati. L’art. 35 impone poi la DPIA in caso di trattamenti ad alto rischio, tra cui quelli che comportano un uso estensivo di nuove tecnologie come l’intelligenza artificiale. Di conseguenza, un sistema di AI ad alto rischio che utilizza dati personali può richiedere, contemporaneamente, la classificazione ai sensi dell’AI Act, la FRIA ex art. 27 AI Act, la DPIA ai sensi dell’art. 35 GDPR, la verifica della base giuridica del trattamento e l’adozione di misure di sicurezza adeguate. Una gestione frammentata di questi adempimenti rischia di produrre documentazione incoerente e di rendere più difficile dimostrare la conformità in caso di audit o ispezione.
AI e D.lgs. 231/2001: verso una nuova colpa di organizzazione
La Legge 23 settembre 2025, n. 132, che disciplina l’intelligenza artificiale in Italia e si integra con il Regolamento UE 2024/1689 (AI Act), ha introdotto significative novità nel panorama della responsabilità amministrativa degli enti ex D.Lgs. 231/2001, prevedendo aggravanti specifiche per l’uso illecito di sistemi di IA.
Ecco i punti chiave dell’aggravante 231 legata ai sistemi di IA:
- Aggravante Specifica (Art. 61 n. 11-decies c.p.): La legge 132/2025 ha introdotto una circostanza aggravante comune, applicabile anche alla responsabilità 231, per reati commessi attraverso l’uso di sistemi di IA o algoritmi in grado di manipolare dati o influenzare il comportamento.
- Reati Presupposto Potenziati: I reati informatici già presenti nel catalogo 231 (accesso abusivo, danneggiamento informatico, frode informatica, intercettazione illecita) vedono un inasprimento delle sanzioni se commessi con il supporto di intelligenza artificiale.
- Impatto sul Modello 231/2001: Le imprese sono ora tenute ad aggiornare la mappatura dei rischi e i propri Modelli Organizzativi (MOG) per includere la gestione dei rischi legati all’IA (rischio di manipolazione, discriminazione algoritmica, violazione dati).
- Responsabilità degli Enti: L’uso illecito o la mancata supervisione umana (governance) su sistemi di IA, se finalizzato a un vantaggio o interesse aziendale, comporta la responsabilità diretta dell’ente.
- Sanzioni: La violazione delle pratiche di IA vietate comporta sanzioni amministrative pecuniarie che possono arrivare fino al 7% del fatturato mondiale totale annuo per le imprese.
L’uso improprio dell’intelligenza artificiale non è più solo una violazione di compliance generale, ma una specifica circostanza aggravante che eleva il rischio sanzionatorio per le aziende, richiedendo adeguamenti urgenti delle procedure di controllo interno.
Supervisore AI e organismo di vigilanza
Il Modello 231 prevede l’istituzione di un Organismo di Vigilanza (OdV) dotato di autonomi poteri di iniziativa e controllo, con il compito di vigilare sull’efficace attuazione e aggiornamento del modello.
Se l’AI viene riconosciuta come fattore di rischio rilevante, è naturale che entri nel perimetro di analisi dell’OdV, sia nella fase di risk assessment, sia nella verifica periodica dei protocolli e dei flussi informativi.
In questo contesto, la figura del Supervisore AI diventa interlocutore strategico per l’OdV. Le attività di mappatura dei sistemi, le procedure di classificazione ai sensi dell’AI Act, le FRIA e le eventuali DPIA collegate possono essere inserite nei protocolli 231 e nei flussi informativi verso l’Organismo di Vigilanza, consentendo una visione integrata del rischio tecnologico e del rischio–reato. In questo modo, la governance dell’AI non resta confinata alla sfera tecnologica, ma diventa un presidio strutturale di compliance e responsabilità d’impresa.
La domanda chiave per l’organizzazione
L’AI Act richiede, in modo esplicito, un sistema di gestione del rischio per i sistemi ad alto rischio (art. 9), una supervisione umana efficace (art. 14), un monitoraggio continuo e una gestione documentata degli incidenti (art. 61), insieme a requisiti di tracciabilità e auditabilità delle decisioni. Questi elementi si sovrappongono alle logiche tipiche dei sistemi di gestione e dei modelli organizzativi: ruoli chiari, responsabilità, flussi informativi, controlli di primo e secondo livello, registrazione delle attività e riesame periodico.
Per le imprese, la vera questione non è solo la conformità formale del singolo algoritmo, ma la capacità di integrare l’AI nel proprio sistema di governance del rischio e della compliance. Se l’AI entra nei processi decisionali, entra anche nel perimetro della responsabilità d’impresa, sia sotto il profilo regolatorio (AI Act, GDPR) sia sotto quello sanzionatorio (D.lgs. 231/2001). Ripensare la governance aziendale alla luce dell’AI significa quindi aggiornare processi, ruoli e controlli per dimostrare, nel tempo, un governo consapevole e documentato dei sistemi di intelligenza artificiale.
Per molte organizzazioni, l’AI Act è il punto di partenza per una revisione più ampia del proprio assetto di governance, in cui AI, privacy, sicurezza e Modello 231 vengono letti in modo integrato. Analizzare l’impatto dell’AI Act con questa prospettiva significa non limitarsi a “rispettare un regolamento”, ma cogliere l’occasione per rafforzare la difendibilità complessiva del modello organizzativo rispetto ai rischi emergenti.
👉 Se vuoi confrontarti su come impostare o aggiornare la governance dell’AI nella tua organizzazione, anche in ottica 231, possiamo approfondirlo insieme.