L’Intelligenza Artificiale sta trasformando rapidamente il modo in cui lavoriamo, innoviamo e facciamo impresa. Ma quali sono le regole che governano questa rivoluzione tecnologica? E cosa devono sapere le aziende per operare in conformità con le nuove normative? A partire da queste domande le avvocate Claudia Sandei, docente di diritto commerciale e delle nuove tecnologie all’Università di Padova e Laura Liguori, Vicepresidente di Women&Tech® e Partner di Portolano Cavallo hanno presentato una panoramica sulle leggi che regolamentano l’utilizzo dell’intelligenza artificiale, con particolare attenzione sia l’AI Act europeo, il primo regolamento organico al mondo sull’IA, sia alle recenti disposizioni italiane in materia (Legge 132/2025).
Le categorie di rischio
Lo scorso 2 febbraio 2025 sono divenute ufficialmente applicabili le prime disposizioni del Regolamento (UE) 1689/2024 (noto come “AI Act”) che per le aziende si traduce in una serie di obblighi a partire dalla necessità di effettuare un’accurata mappatura e classificazione dei sistemi di AI utilizzati nell’impresa in base alle categorie di rischio previste dalla normativa. Ma cosa si intende per “sistema di AI”? Per il Regolamento europeo che mette al centro salute, sicurezza e diritti fondamentali si tratta di “sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall’input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali”. «Il regolamento ha un approccio basato sul rischio che viene classificato da inaccettabile a minimo o nullo e comporta regole e accorgimenti diversi in termini di informazione e trasparenza a seconda dei diversi ambiti applicativi – ha precisato Laura Liguori – Entrando nel dettaglio sono vietati – tra gli altri – quei sistemi che utilizzano tecniche subliminali, manipolative o ingannevoli o quelli che sfruttano la vulnerabilità delle persone». Sono considerati ad alto rischio quei sistemi di intelligenza artificiale che sono componenti di sicurezza di un prodotto o che sono prodotti soggetti alla normativa di armonizzazione e ad una valutazione della conformità da parte di terzi ai fini dell’immissione sul mercato o della messa in servizio. «Per citare alcuni esempi rientrano in questa categoria i dispositivi medici, i giocattoli, le soluzioni biomediche, le infrastrutture critiche, l’istruzione e la formazione del personale, ecc… – ha continuato Liguori – Ci sono poi dei sistemi ad alto rischio che, però, se non presentano un rischio di danno per salute e sicurezza sono utilizzabili, ad esempio quelli che comportano un compito procedurale limitato o permettono di migliorare i risultati di un’attività umana già completata oppure quelli che consentono di individuare delle deviazioni dagli schemi decisionali, per citarne alcuni». Per quanto riguarda invece i sistemi di intelligenza artificiale a rischio limitato la normativa fa riferimento a quelli destinati a interagire direttamente con le persone fisiche, a quelli che generano contenuti audio immagini, video o testi sintetici e alle soluzioni per il riconoscimento delle emozioni o della categorizzazione biometrica, che in realtà nel contesto lavorativo sono vietati. Infine, rientrano in questa categoria di rischio limitato i sistemi che creano un “deep fake” o manipolano testi dedicati allo scopo di informare il pubblico su questioni di interesse pubblico. «In tutti questi casi appena elencati il maggiore obbligo è quello di rendere chiaro che si sta utilizzando un sistema di intelligenza artificiale» ha puntualizzato l’avvocata. Il regolamento individua poi i sistemi a rischio minimo, ovvero quelli che non hanno nessun impatto sui diritti fondamentali o sulla sicurezza delle persone, consentono ampi margini di scelta e controllo e prevedono un’interazione infinitesimale con gli utenti. «Bisogna tenere conto che quando si è iniziato a discutere di questo regolamento non si prevedeva l’evoluzione verso l’intelligenza artificiale generativa per cui sono stati fatti poi ulteriori adeguamenti. Nel concreto l’impatto dell’IA ACT varierà a seconda dei settori e delle applicazioni» ha aggiunto Claudia Sandei.
I soggetti interessati
La normativa europea entra nel dettaglio dei soggetti interessati dall’applicazione dell’IA Act che sono: il fornitore, il deployer, l’importatore, il distributore e il rappresentante autorizzato. Per ogni figura professionale sono previsti diversi livelli di obblighi, responsabilità e garanzie e il rispetto di numerose pratiche burocratiche. «Ad esempio per i sistemi ad alto rischio i fornitori devono disporre di un sistema di gestione della qualità documentato in modo sistematico e ordinato sotto forma di politiche, procedure e istruzioni scritte. Inoltre devono segnalare immediatamente qualsiasi incidente grave all’autorità di vigilanza del mercato degli Stati membri e svolgere le indagini necessarie entro 15 giorni dalla data in cui vengono a conoscenza del fatto. Invece i deployer devono monitorare il funzionamento del sistema sulla base delle istruzioni per l’uso e qualora si verifichino degli incidenti gravi devono informare i fornitori, poi gli importatori e i distributori e le autorità di vigilanza pertinenti – hanno precisato le avvocate – Teniamo conto che si tratta di concetti nuovi di cui non abbiamo uno storico a cui fare riferimento e l’entrata in vigore sarà graduale».
L’alfabetizzazione
In questa fase uno degli elementi a cui le aziende dovrebbe prestare maggiore attenzione è l’obbligo di alfabetizzazione: si tratta di una regola, sancita dall’articolo 4, già in vigore dal 2 febbraio 2025 e che interessa tutti coloro che usano un sistema per fini non personali, quindi anche i liberi professionisti e le organizzazioni pubbliche e riguarda tutti i sistemi di IA, anche quelli a basso rischio. «Fornitori e deployer devono adottare per qualunque tipo di sistema di IA, quindi anche quelli con rischio minimo, misure per garantire un’adeguata alfabetizzazione del personale e di chiunque utilizzi tali sistemi per loro conto, formando su rischi, funzionamento, bias, etica e normative, con un approccio personalizzato al contesto e al ruolo specifico – ha spiegato Claudia Sandei – Concretamente dunque serve un piano formativo che fornisca un livello sufficiente di alfabetizzazione intesa come conoscenza, competenza e comprensione e deve essere previsto anche un momento di verifica di quanto appreso». Qualche mese fa la commissione europea ha diffuso delle linee guida in cui ha stabilito che la formazione deve occuparsi di tre elementi: la parte tecnica, quella giuridica e quella etica. «Per agevolare in questo percorso di alfabetizzazione la commissione europea ha creato una banca dati che raccoglie l’esperienza delle imprese che si sono già mosse in questa direzione e hanno pubblicato le loro procedure con piani di formazione e verifica diversificati per ruoli» ha raccontato Sandei.
Cosa prevede la normativa in Italia
Il 10 ottobre del 2025 è entrata in vigore nel nostro Paese una legge sull’intelligenza artificiale che non dovrebbe introdurre nuovi obblighi e stabilisce quali sono le autorità competenti a svolgere le funzioni che la normativa europea prevede, ovvero l’Agenzia per l’Italia Digitale (AgID) deputata alla promozione e l’ Agenzia per la Cybersicurezza Nazionale (ACN) per la vigilanza e con poteri sanzionatori. Nelle disposizioni italiane ci sono due norme che hanno una valenza più operativa, una è quella sul lavoro e l’altra è quella sulle professioni intellettuali. «In sostanza la prima stabilisce l’obbligo di informare nel caso in cui l’IA venga utilizzata sui luoghi di lavoro – ha puntualizzato Claudia Sandei – Nel caso invece delle professioni intellettuali l’uso dell’intelligenza artificiale è previsto per l’attività strumentali e di supporto, pertanto i fini sostitutivi non sono ammessi e il cliente deve essere informato sull’impiego di questi sistemi con un linguaggio chiaro, semplice ed esaustivo». La conferenza digitale si è chiusa con alcuni dati concreti: «Secondo le elaborazioni di Confindustria solo l’8% delle aziende italiane ha un progetto di IA o comunque è consapevole di utilizzare l’intelligenza artificiale all’interno della propria organizzazione. Si tratta di un dato che però non mappa l’utilizzo sommerso. La nostra esperienza ci suggerisce che c’è un utilizzo non regolato dell’intelligenza artificiale. Per evitare criticità la prima cosa che le imprese dovrebbero fare è mappare quali strumenti di IA vengono usati in azienda e da chi per avere un insieme di informazioni condivise e mettere a fattor comune le conoscenze sulla digitalizzazione e l’IA. Sulla base di questa panoramica si può poi costruire dei percorsi formativi e una regolamentazione in cui si stabiliscono quali mezzi per quali usi e con quali accortezze» hanno concluso le avvocate.
