L’Unione Europea ha inaugurato l’era della regolamentazione dell’intelligenza artificiale con l’entrata in vigore del suo pionieristico AI Act, il primo quadro normativo globale del suo genere. Mentre l’entità delle sanzioni, che possono raggiungere cifre esorbitanti fino a 35 milioni di euro o il 7% del fatturato globale, ha comprensibilmente generato un’ondata di preoccupazione tra le aziende di tutto il mondo, l’impatto effettivo per la maggior parte delle attività commerciali si sta rivelando meno catastrofico di quanto non fosse apparso in prima battuta. Similmente al Regolamento Generale sulla Protezione dei Dati (GDPR), che inizialmente era percepito come un ostacolo insormontabile, la nuova legislazione sull’AI è stata concepita per essere gestibile, a patto che se ne comprendano i principi fondamentali e, soprattutto, la sua implementazione a fasi.
A differenza dell’approccio a data unica del GDPR, l’AI Act è stato concepito per un’applicazione graduale. Un primo punto di svolta si è verificato già all’inizio del 2025, con l’introduzione dei divieti su pratiche di intelligenza artificiale giudicate inaccettabili e l’obbligo per le organizzazioni di garantire che il personale possieda un’adeguata “alfabetizzazione sull’AI”, ovvero una sufficiente conoscenza dei suoi rischi e benefici.
Una tappa ancora più critica è stata segnata nell’agosto del 2025, con l’entrata in vigore degli obblighi relativi ai Modelli di AI a Scopo Generale (GPAI). Questa è una clausola che incide su molte più aziende di quanto non si creda, poiché la regolamentazione si estende ben oltre i giganti che sviluppano i modelli fondamentali come GPT o Claude. Se un’azienda utilizza o, in particolare, effettua il fine-tuning o la modifica di tali modelli nei propri prodotti, essa può ereditare precisi doveri di conformità. Tali obblighi includono la dimostrazione di aver rispettato il diritto d’autore sui dati di addestramento, l’esecuzione di test volti a scovare vulnerabilità di sicurezza (i cosiddetti adversarial testing), l’implementazione di misure di sicurezza robuste e la fornitura di una documentazione tecnica dettagliata sulle capacità e sui limiti del modello. L’effetto è un vero e proprio “effetto ondulazione”, che richiede a tutte le aziende di effettuare un audit immediato della propria catena di fornitura AI per comprendere come la conformità del fornitore di base si riversi sui loro prodotti finali.
Tuttavia, il vero punto di svolta, il grande traguardo per la maggior parte delle aziende, è fissato per l’agosto del 2026. A questa data, i sistemi di intelligenza artificiale classificati come “ad alto rischio” dovranno soddisfare requisiti di conformità estremamente rigorosi e di ampia portata. La definizione di alto rischio è più estesa di quanto molti si aspettino, includendo sistemi utilizzati in settori di impatto fondamentale sulla vita delle persone. Rientrano in questa categoria gli strumenti impiegati per la selezione e l’assunzione di personale, la valutazione del merito creditizio, l’ammissione a programmi educativi, la diagnosi medica, la gestione di infrastrutture critiche per la sicurezza e le applicazioni per le forze dell’ordine.
Per le aziende che operano in questi ambiti, la conformità non è un semplice disclaimer da inserire in un sito web. Essa impone la creazione di sistemi completi di gestione del rischio con un monitoraggio costante, l’adesione a standard di qualità dei dati con prove verificabili dell’integrità dei dati di addestramento, la registrazione automatica e verificabile di tutte le decisioni e operazioni del sistema, una vigilanza umana significativa con la capacità di intervenire in tempo reale e, infine, l’ottenimento della marcatura CE attraverso una valutazione di conformità effettuata da una terza parte indipendente. Si tratta di un onere che richiede lo stesso livello di accuratezza e i medesimi sistemi di gestione della qualità tipicamente riscontrabili nella produzione di dispositivi medici o nei sistemi di sicurezza automobilistica.
Il nucleo centrale dell’AI Act risiede nel suo approccio pragmatico e modulato in base al rischio. La legge classifica i sistemi di intelligenza artificiale su una scala di quattro livelli, a cui corrispondono obblighi via via crescenti.
Al livello più elevato si trova il Rischio Inaccettabile, che comprende tutte le applicazioni di AI totalmente proibite, come i sistemi di social scoring di tipo governativo, l’AI manipolativa che mira a sfruttare le vulnerabilità di gruppi fragili, il riconoscimento biometrico in tempo reale negli spazi pubblici (salvo rare eccezioni per le forze dell’ordine) e il riconoscimento delle emozioni in contesti sensibili come i luoghi di lavoro o le scuole.
Subito sotto si colloca l’Alto Rischio, come descritto, che è pesantemente regolamentato ma permesso, includendo strumenti per il recruitment, la gestione del credito e i dispositivi diagnostici medici.
Un gradino più in basso troviamo il Rischio Limitato, dove il requisito principale è la trasparenza. Questa categoria riguarda i sistemi che interagiscono direttamente con gli esseri umani o che generano contenuti che potrebbero essere scambiati per creazioni umane. L’obbligo è semplice ma fondamentale: gli utenti devono essere chiaramente informati quando stanno conversando con un chatbot o un assistente virtuale, o quando il contenuto che stanno visualizzando è un deepfake o un’altra forma di media generato artificialmente.
Infine, la maggior parte delle applicazioni di intelligenza artificiale rientra nella categoria del Rischio Minimo, la quale include strumenti aziendali comuni come i filtri antispam, i sistemi di gestione dell’inventario, le piattaforme di analisi di base o i motori di raccomandazione per i prodotti. Per questi sistemi, al di là dei requisiti generali come l’alfabetizzazione del personale, non sono previsti obblighi normativi specifici che pesino sulle aziende.