È passato poco più di un anno da quando il Consiglio Europeo ha adottato formalmente l’Artificial Intelligence Act (AI Act), il primo regolamento al mondo sull’intelligenza artificiale. Si tratta di una normativa che apre nuove opportunità per tutte le aziende che vogliano costruire un'AI affidabile, sicura ed etica.
Un quadro normativo unico nel suo genere
L’obiettivo dell’AI Act è duplice: da un lato, garantire la protezione dei diritti fondamentali dei cittadini europei; dall’altro, favorire lo sviluppo di un mercato unico dell’AI che stimoli investimenti e innovazione. In Italia, così come nel resto d’Europa, la portata trasformativa del Regolamento richiederà un profondo ripensamento dei processi, della governance tecnologica e del ciclo di vita dei sistemi di AI.
Cosa cambia per le aziende
L’AI Act introduce una classificazione dei sistemi di intelligenza artificiale basata sul livello di rischio:
- inaccettabile: sistemi vietati, quali tra gli altri quelli destinati alla manipolazione cognitiva e al social scoring;
- alto rischio: sistemi utilizzati in ambiti quali giustizia, infrastrutture critiche, istruzione, occupazione, biometria, accesso a servizi privati essenziali e a prestazioni e servizi pubblici essenziali e fruizione degli stessi. Si tratta della categoria più impattante per il tessuto produttivo italiano;
- rischio limitato: sistemi di AI che interagiscono con le persone, come chatbot, nonché sistemi che producono contenuti manipolati e deepfake. Sono tipicamente soggetti a obblighi di trasparenza;
- rischio minimo: sistemi di AI che solitamente non interagiscono con le persone o che esercitano su quest’ultime un impatto minimo, quali i filtri antispam per le mail e l’AI nei videogame. Non sono soggetti a requisiti vincolanti.
Le imprese sono tenute a identificare la categoria di rischio dei propri sistemi di AI e, anche in relazione al loro ruolo quale operatore del mercato dell’AI, predisporre processi e presidi tra cui, in base ai casi, la definizione di opportuni sistemi di gestione del rischio e di valutazioni d’impatto sui diritti fondamentali, nonché il rispetto di requisiti inerenti, tra gli altri, i dati e la governance dei dati, la cybersicurezza, la trasparenza, la tracciabilità, la robustezza e la sorveglianza umana.
I modelli di AI per finalità generali (GPAI): nuove regole per l’era dell’intelligenza generativa
Per quanto riguarda i modelli di AI per finalità generali, tra cui i grandi modelli linguistici (LLM) e altri modelli generativi, l’AI Act impone ai fornitori specifici obblighi di trasparenza, documentazione, monitoraggio e, nei casi in cui tali modelli presentino un impatto sistemico significativo, requisiti rafforzati di valutazione e gestione dei rischi, oltre a misure avanzate di sicurezza. Anche chi integra questi modelli nei propri sistemi dovrà garantire tracciabilità, conformità e un’adeguata gestione dei rischi, aumentando la trasparenza e la responsabilità lungo l’intera catena del valore dell’AI.
La timeline di applicazione
L’AI Act è entrato in vigore il 2 agosto 2024 e, da quella data, le sue disposizioni si applicano progressivamente secondo un calendario prestabilito.
In questo contesto, il 2 febbraio di quest’anno, è stato messo in pratica l’obbligo di eliminare i sistemi di AI vietati e di allinearsi a quanto previsto in relazione al tema dell’alfabetizzazione sull’AI.
Il 2 agosto 2026, a conclusione di un biennio volto a consentire agli Stati membri e alle organizzazioni di adeguarsi a quanto previsto dal Regolamento, l’AI Act troverà piena applicazione.
Tra gli altri obblighi, si applicheranno quelli previsti per i sistemi di AI ad alto rischio di cui all’allegato III del Regolamento, uno degli ambiti più cruciali in termini di adeguamento richiesto alle organizzazioni.
Nell’agosto 2027 e nel dicembre 2030 troveranno infine applicazione gli obblighi previsti per alcune tipologie di sistemi ad alto rischio e dei cosiddetti sistemi di AI su larga scala.
Il contesto italiano: tra ritardi e opportunità
Nel nostro Paese, dove la diffusione dell’AI è ancora limitata rispetto ad altri contesti europei, basti pensare che secondo l’Open Innovation Report 2025 di Sopra Steria, in Italia solo il 37% delle imprese ha investito nella Generative AI, il secondo tasso più basso in Europa, l’AI Act rappresenta una spinta alla maturazione del settore.
Sotto questo specifico aspetto, secondo i dati 2024 dell’Osservatorio Digital Innovation della School of Management del Politecnico di Milano, soltanto il 28% delle grandi imprese italiane coinvolte in progetti AI ha tuttavia già adottato misure concrete in termini di etica e compliance, mentre il 52% ammette di non comprenderne appieno il perimetro. C’è quindi ancora molta strada da fare.
Una vera svolta sarà probabilmente determinata dal varo del Disegno di Legge nazionale sull’intelligenza artificiale, approvato in seconda lettura dalla Camera dei Deputati il 25 giugno scorso (una terza lettura dovrà ora avere luogo da parte del Senato), che porterà l’Italia ad essere tra i primi paesi europei a dotarsi di un quadro normativo che, per quanto in linea con i principi dell’AI Act, considera anche le specificità del sistema giuridico italiano e le esigenze del tessuto produttivo nazionale.
Il Disegno di legge riafferma un approccio all’AI antropocentrico, anche alla base dell’AI Act, ma all’approccio orizzontale fondato sul rischio su cui esso si basa, il Ddl nazionale abbina una logica settoriale, prevedendo specifiche disposizioni per ambiti considerati ad alto rischio, quali giustizia, sanità, pubblica amministrazione e lavoro, dove un utilizzo improprio dell’AI potrebbe determinare impatti rilevanti sui diritti fondamentali e sull’organizzazione sociale.
I temi della trasparenza, della sorveglianza e della responsabilità umana e del contrasto alle deep fake, sono al centro del Disegno di legge, con l’introduzione nel Codice penale del reato di “illecita diffusione di contenuti generati o manipolati con sistemi di AI”.
Si presume che le conseguenze sul mercato italiano saranno significative. Da un lato, si dovrebbe assistere a una maggiore responsabilizzazione delle imprese che sviluppano e utilizzano sistemi di AI, specialmente quelli ad alto rischio. Questo potrebbe inizialmente comportare un aumento dei costi di compliance e rallentare alcuni processi di sviluppo. Dall'altro lato, la chiara definizione di un quadro normativo dovrebbe stimolare la fiducia dei cittadini nell'AI, favorendo una maggiore adozione in settori chiave e promuovendo lo sviluppo di sistemi "ethical by design". Centrale sarà anche l’azione svolta dallo Stato nell’incentivare gli investimenti nel settore e la creazione di un ambiente più sicuro e prevedibile per l'innovazione. L’ampia presenza di PMI e la disomogeneità della maturità digitale tra le regioni potrebbero infine rallentare un’adozione omogenea delle nuove misure. Sarà quindi cruciale che le autorità italiane garantiscano una vigilanza efficace senza soffocare le PMI e le startup con un eccesso di burocrazia, promuovendo al contempo l'alfabetizzazione digitale e la formazione per gestire le nuove sfide e opportunità.
Un’occasione per (ri)progettare l’AI
L’AI Act, integrato e completato dalle disposizioni introdotte dalla normativa nazionale, pone come priorità alle organizzazioni il raggiungimento della conformità, anche alla luce delle sanzioni previste per gli inadempienti. Sarebbe tuttavia molto riduttivo guardare solo a questo obiettivo: l’AI Act è infatti un’opportunità concreta per le aziende italiane, siano esse fornitori o deployer, per recitare un ruolo da protagonista nel nuovo mercato europeo dell’AI e generare un vero e proprio vantaggio competitivo verso le imprese che ne ritarderanno l’adozione. Lo sviluppo e l’utilizzo di sistemi di AI “ethical by design”, oltre a migliorare l’efficienza dei processi dell’organizzazione, rafforzerà la fiducia dei clienti e degli stessi dipendenti dell’impresa, con impatti molto significativi sulla reputation. Per conseguire questi obiettivi, occorre agire tempestivamente e prepararsi consapevolmente al futuro.
Come possiamo aiutare i clienti
In Sopra Steria ci stiamo già muovendo per supportare le organizzazioni nel percorso verso la compliance all’AI Act e, più in generale, nel definire un framework di AI Governance finalizzato ad attuarne l’AI Strategy nel rispetto dei vincoli normativi. Il nostro approccio, costruito sulle competenze di un team europeo AI e legal e già applicato concretamente in contesti reali di business, prevede:
- mappatura dei sistemi di AI e dei modelli GPAI dell’organizzazione e loro classificazione in termini di categoria di rischio e del ruolo dell’organizzazione quale operatore del mercato dell’AI;
- valutazione del livello di conformità all’AI Act dei singoli sistemi e dell’organizzazione;
- definizione di un modello operativo target volto a garantire la conformità all’AI Act dell’organizzazione nel tempo.
- definizione di processi e tecnologie MLOps per il governo del ciclo di vita dei modelli di AI, che integrano by design importanti presidi previsti dall’AI Act;
- formazione specifica per Data Officer, Compliance Manager e figure strategiche.
- definizione di un framework di AI Governance che, a seguito di un assessment iniziale della maturità dell’organizzazione, fornisca una metodologia per progettare un percorso di crescita progressivo, mettendo in luce le aree prioritarie, le azioni chiave e i relativi stakeholder.
Grazie alla nostra partecipazione a programmi europei come l’AI Pact e Confiance.ai, siamo in prima linea per portare in Italia soluzioni che uniscano rigore normativo e robustezza tecnologica.
Di Luigi Paolo Pisu, Data & AI Practice Leader – Sopra Steria
____________________________________________________