AI Act: cosa cambia per le aziende che usano modelli generativi

Il quadro normativo dell’AI Act e le prime scadenze operative

Per imprese ed enti è ormai fondamentale comprendere se l’impiego di strumenti come ChatGPT, Claude, Gemini e altri sistemi di intelligenza artificiale generativa comporti obblighi specifici in qualità di soggetti che li utilizzano.

Il 2 agosto 2025 rappresenta una data chiave: da quel momento, infatti, sono entrate in vigore le prime norme vincolanti previste dal Regolamento europeo sull’IA applicabili ai modelli di intelligenza artificiale a uso generale, segnando l’inizio concreto dell’applicazione dell’AI Act anche per chi adotta queste tecnologie all’interno dei processi aziendali, pur non essendone sviluppatore.

Il ruolo cruciale del soggetto utilizzatore nell’ecosistema IA

Per le aziende che impiegano sistemi di intelligenza artificiale integrati in software utilizzati dai dipendenti – ad esempio applicativi di selezione del personale, sistemi di valutazione delle performance, strumenti di pianificazione automatizzata o CRM dotati di funzionalità predittive – diventa determinante comprendere il ruolo di soggetto utilizzatore, ossia entità giuridica o organizzazione che impiega un sistema di IA e ne assume la responsabilità ai sensi del Regolamento. Questo è un punto centrale, poiché la normativa attribuisce precise responsabilità proprio a chi utilizza l’IA, e non soltanto a chi la sviluppa o la commercializza, con particolare riferimento a quei sistemi considerati ad alto rischio.

Sistemi proibiti: le tecnologie a rischio inaccettabile

In primo luogo, le imprese utilizzatrici devono verificare che i sistemi in uso non rientrino tra le tecnologie proibite, ovvero quelle applicazioni definite a rischio inaccettabile. Rientrano in questa categoria il social scoring, le tecniche subliminali finalizzate a condizionare il comportamento, il riconoscimento biometrico in tempo reale negli spazi pubblici e la classificazione automatica di caratteristiche sensibili quali etnia, convinzioni religiose o orientamento politico. Il loro impiego sarà vietato sei mesi dopo l’entrata in vigore del Regolamento.

Obblighi per i sistemi ad alto rischio: conformità e supervisione

Nel caso in cui i sistemi in uso siano classificati ad alto rischio, perché utilizzati per decisioni che impattano diritti, sicurezza o condizioni lavorative – come nel caso della selezione del personale, della pianificazione dei turni, della valutazione automatica delle performance o dell’analisi comportamentale – l’impresa utilizzatrice è soggetta a un insieme di obblighi dettagliati, disciplinati principalmente dall’articolo 26 del Regolamento.

Formazione del personale e misure organizzative

Uno dei primi obblighi consiste nell’assicurare che il sistema di intelligenza artificiale sia impiegato in conformità alle istruzioni del fornitore e che siano adottate misure tecniche e organizzative adeguate per un utilizzo conforme. L’impresa deve assicurarsi che i propri dipendenti o collaboratori incaricati di operare o supervisionare il sistema abbiano ricevuto una formazione specifica e siano dotati dell’autorità e degli strumenti necessari per intervenire qualora si verifichino anomalie o criticità.

La supervisione umana come garanzia di controllo

Altro punto fondamentale riguarda la supervisione umana: il soggetto utilizzatore ha il dovere di designare figure competenti e formate che siano in grado di monitorare costantemente il funzionamento del sistema IA, intervenire in modo appropriato, interrompere l’uso in caso di rischio e gestire le eventuali azioni correttive. Questo requisito si applica con particolare rigore in ambiti nei quali l’output dell’IA incide su decisioni che hanno un impatto diretto su individui, come nel caso della gestione delle risorse umane.

Qualità dei dati di input e prevenzione dei bias algoritmici

Nel caso in cui l’impresa utilizzatrice sia responsabile anche dei dati di input immessi nel sistema, essa deve garantire che tali dati siano pertinenti, rappresentativi, privi di pregiudizi e idonei rispetto allo scopo previsto. Questo adempimento è cruciale per prevenire risultati distorti, discriminatori o erronei, e costituisce una misura preventiva di equità algoritmica.

Monitoraggio continuo e gestione degli incidenti

A ciò si aggiunge l’obbligo di monitoraggio continuo: l’organizzazione utilizzatrice deve monitorare e controllare il corretto funzionamento del sistema, assicurarsi che esso operi secondo i parametri stabiliti dal fornitore, rilevare eventuali scostamenti o problemi operativi e, in caso di rischi per la sicurezza o i diritti fondamentali, interrompere immediatamente l’uso, segnalando l’evento sia al fornitore sia alle autorità competenti. Qualora si verifichi un incidente grave, l’impresa ha l’obbligo di effettuare una segnalazione tempestiva in conformità agli articoli 72 e 73 del Regolamento.

Tracciabilità e conservazione dei log di sistema

Un altro adempimento importante concerne la tracciabilità: l’azienda utilizzatrice è tenuta a conservare i registri di funzionamento del sistema IA, i cosiddetti log, per un periodo minimo di sei mesi. Tali registri devono contenere informazioni sulle interazioni significative, le decisioni automatizzate, le anomalie riscontrate e gli interventi correttivi effettuati, al fine di assicurare trasparenza.

Informativa ai lavoratori e coinvolgimento delle rappresentanze

Nel contesto lavorativo, l’AI Act (articolo 26) impone al soggetto utilizzatore (impresa o ente) l’obbligo di fornire un’informazione preventiva e trasparente ai lavoratori e, se presenti, alle loro rappresentanze sindacali, prima dell’adozione o dell’utilizzo di un sistema di intelligenza artificiale ad alto rischio in grado di incidere direttamente o indirettamente su aspetti rilevanti del rapporto di lavoro, come la valutazione delle prestazioni, l’accesso all’occupazione, l’assegnazione di compiti, l’organizzazione dei turni o altre condizioni contrattuali.

Contenuti dell’informativa e integrazione con il GDPR

Questa informazione deve essere chiara, accessibile, specifica e documentata, e deve descrivere almeno:

• la natura e le finalità del sistema di intelligenza artificiale;
• le modalità operative e i dati utilizzati o generati dal sistema;
• il grado di automazione e l’eventuale possibilità di intervento umano;
• i possibili effetti diretti o indiretti sul lavoratore o sul suo ruolo;
• i criteri decisionali su cui si basa l’output o il risultato prodotto dal sistema.

Tale obbligo si integra con quanto già previsto dal Regolamento Generale sulla Protezione dei Dati (GDPR) agli articoli 13 e 14, che impongono al titolare del trattamento di fornire agli interessati, prima dell’inizio del trattamento, un’informativa completa e trasparente. Se il sistema IA implica anche decisioni automatizzate che producono effetti giuridici o incidono significativamente sull’interessato, entra in gioco anche l’art. 22 del GDPR, che prevede garanzie rafforzate, incluso il diritto alla revisione umana e alla contestazione della decisione.

Valutazione d’impatto sui diritti fondamentali

In determinati casi, in particolare per soggetti pubblici, enti erogatori di servizi essenziali o imprese che impiegano l’IA per finalità di valutazione del merito creditizio o assicurativo, è richiesto lo svolgimento di una valutazione d’impatto sui diritti fondamentali (Fundamental Rights Impact Assessment – FRIA). Tale valutazione è analoga alla valutazione d’impatto sulla protezione dei dati prevista dal GDPR (DPIA) e deve essere condotta in via preventiva, documentata e aggiornata in caso di modifiche al sistema o al suo utilizzo.

Trasparenza per i sistemi a rischio limitato

Anche per sistemi considerati a rischio limitato, come ad esempio chatbot o strumenti di generazione automatica di contenuti, l’impresa utilizzatrice ha responsabilità specifiche, soprattutto in termini di trasparenza verso utenti e dipendenti. È infatti obbligatorio informare le persone che stanno interagendo con un sistema di intelligenza artificiale e rendere evidente se un contenuto (testo, immagine, audio o video) è stato generato artificialmente. Questo aspetto è particolarmente rilevante in relazione all’uso di contenuti sintetici (deepfake) e strumenti di profilazione comportamentale.

Formazione e alfabetizzazione all’intelligenza artificiale

Infine, l’organizzazione che adotta sistemi IA deve garantire l’adeguata formazione del personale coinvolto. Il Regolamento richiede che i soggetti preposti alla gestione o al controllo di tali sistemi siano adeguatamente preparati sotto il profilo tecnico, normativo ed etico, e che siano in grado di riconoscere i limiti dell’IA, identificare situazioni critiche e agire in modo responsabile. La cosiddetta “alfabetizzazione all’IA” rappresenta una componente essenziale del modello di compliance.

Scadenze, sanzioni e gestione del rischio normativo

Le scadenze temporali sono chiare: dal 2 febbraio 2025 sono in vigore i divieti relativi ai sistemi proibiti e alcuni obblighi di trasparenza, mentre entro il 2 agosto 2026 tutte le aziende utilizzatrici dovranno conformarsi integralmente agli obblighi previsti per i sistemi ad alto rischio. Le sanzioni in caso di violazioni possono arrivare fino a 35 milioni di euro o al 7% del fatturato annuo globale, con aggravanti per l’utilizzo consapevole di sistemi vietati o per la mancata adozione di misure correttive.

Verso un nuovo paradigma di governance dell’IA

Alla luce di quanto sopra, è evidente che l’AI Act impone un cambio di paradigma anche per chi non sviluppa direttamente l’intelligenza artificiale, ma la integra nei propri flussi di lavoro. Le imprese che utilizzano sistemi IA devono adottare un approccio strutturato alla governance, fondato sulla trasparenza, sulla responsabilità e sulla tutela dei diritti. Solo attraverso una gestione proattiva, consapevole e documentata dell’uso dell’intelligenza artificiale sarà possibile coniugare l’innovazione con la conformità normativa, evitando rischi legali e reputazionali.