La compliance sull’intelligenza artificiale sta uscendo dalla fase delle policy volontarie e delle dichiarazioni di principio. Con l’applicazione progressiva dell’AI Act europeo, la responsabilità algoritmica entra in un terreno più concreto, fatto di ruoli, obblighi, documentazione, controlli tecnici e scelte architetturali. Per le imprese, il cambiamento non riguarda solo il rapporto con le autorità. Incide sul modo in cui i sistemi vengono progettati, acquistati, integrati nei processi e difesi quando un output produce un effetto inatteso.

I nuovi obblighi e le nuove sfide

L’impatto non si limita alle applicazioni classificate come ad alto rischio. Anche quando un progetto non rientra nelle categorie più sensibili, il regolamento contribuisce a modificare le aspettative del mercato. Trasparenza, supervisione umana, gestione del rischio, qualità dei dati, registrazione degli eventi e monitoraggio non sono requisiti identici per ogni sistema AI, ma stanno diventando criteri ordinari di affidabilità nelle valutazioni enterprise.

Le aziende che acquistano o sviluppano AI devono quindi abituarsi a una domanda più precisa di quanto accadesse in passato. Non basta chiedere se un sistema funzioni. Bisogna capire chi controlla cosa, chi documenta cosa e chi risponde quando il comportamento del sistema produce un danno, una discriminazione, una decisione opaca o un incidente di compliance.

Calendario e tempistiche dell’applicazione

Il regolamento è entrato in vigore il 1 agosto 2024 e segue un’applicazione graduale. Le regole sulle pratiche vietate e gli obblighi di AI literacy sono applicabili dal 2 febbraio 2025. Le regole di governance e gli obblighi per i modelli di general-purpose AI sono diventati applicabili dal 2 agosto 2025. La piena applicazione del regolamento è prevista dal 2 agosto 2026, mentre alcune disposizioni relative ai sistemi ad alto rischio incorporati in prodotti regolati hanno una transizione più lunga, fino al 2 agosto 2027.

Questa gradualità non riduce l’urgenza. Al contrario, costringe le imprese a pianificare l’adeguamento prima che la compliance diventi una rincorsa.

Responsabilità operativa e non solo morale

Per anni la responsabilità algoritmica è stata discussa soprattutto attraverso parole come bias, equità, trasparenza e spiegabilità. Sono concetti essenziali, ma spesso sono rimasti confinati in documenti programmatici o in linee guida interne. L’AI Act porta la discussione su un piano più operativo. Responsabilità significa poter dimostrare chi ha preso una decisione di progettazione, quali controlli sono stati adottati, come sono stati valutati i rischi, quali dati sono stati usati e con quali limiti il sistema è stato autorizzato a operare.

Collaborazione interfunzionale e architettura del rischio

Questo cambiamento modifica il lavoro interno. IT, legal, compliance, security, procurement e funzioni di business non possono più procedere come compartimenti separati. Ogni scelta tecnica può avere una ricaduta regolatoria. Ogni clausola contrattuale può influenzare l’attribuzione delle responsabilità. Ogni funzione di monitoraggio può diventare decisiva per prevenire un incidente o ricostruirne le cause.

Passo dalla visione a una prassi verificabile

Molte organizzazioni hanno già prodotto policy sull’uso responsabile dell’AI, codici etici e linee guida per i dipendenti. Sono strumenti utili, ma non bastano quando il sistema entra in processi sensibili o produce effetti rilevanti su persone, clienti, dipendenti o fornitori. Il passaggio richiesto dal nuovo quadro europeo è più esigente. I presidi devono essere verificabili e collegati a pratiche reali.

Responsabilità in un contesto frammentato

Uno dei problemi più delicati nasce dalla frammentazione dello stack AI. Un’organizzazione può usare un modello sviluppato da un fornitore, eseguirlo su infrastrutture cloud di un altro soggetto, applicare guardrail di terzi, integrare dati interni e affidare l’orchestrazione a una piattaforma esterna. In uno scenario simile, attribuire responsabilità non è immediato.

La frammentazione non cancella la responsabilità. La rende più difficile da distribuire e documentare. Per questo diventa essenziale sapere quali componenti sono critiche, chi le controlla, quali garanzie offrono i fornitori e dove si collocano le decisioni sostanziali dell’impresa utilizzatrice. È in questi passaggi che si misura la tenuta reale della compliance, perché una responsabilità formalmente descritta ma tecnicamente non verificabile resta fragile.

L’approccio basato sul rischio dell’AI Act

L’AI Act adotta un approccio basato sul rischio. Non tutti i sistemi AI sono trattati allo stesso modo e non tutti gli operatori hanno gli stessi obblighi. Il regolamento distingue pratiche vietate, sistemi ad alto rischio, sistemi soggetti a specifici obblighi di trasparenza e modelli di general-purpose AI, con requisiti aggiuntivi per i modelli che possono presentare rischi sistemici.

Questa impostazione è importante perché evita una lettura indistinta della compliance. Dire che l’AI Act impone trasparenza, supervisione, o documentazione a ogni sistema nello stesso modo sarebbe impreciso. La chiave della conformità sta nel fatto che il regolamento crea un lessico comune per valutare il rischio e attribuire obblighi in base al ruolo dell’operatore, alla funzione del sistema e al contesto d’uso.

Criteri specifici per sistemi ad alto rischio

    • Gestione del rischio: richiede un piano dettagliatamente pianificato e verificabile;
    • Qualità dei dati: i dati devono essere rappresentativi, pertinenti e aggiornati;
    • Documentazione tecnica: deve illustrare il funzionamento del sistema, le decisioni di progettazione, la qualità dei dati;
    • Trasparenza: richiede informazioni chiare per gli utenti e i destinatari;
    • Supervisione umana: deve garantire il controllo effettivo da parte delle persone;
    • Registrazione degli eventi: è fondamentale per tracciare l’attività del sistema durante l’utilizzo;
    • Accuratezza: il sistema deve produrre risultati attendibili;
    • Robustezza: il sistema deve resistere ad input anomali;
    • Cybersicurezza: richiede meccanismi di protezione per dati, infrastrutture e modelli.

Obblighi specifici per modelli di general-purpose AI

I modelli di general-purpose AI, invece, devono conformarsi a obblighi specifici:

    • Documentazione tecnica: che accompagna ogni modello;
    • Informazioni per downstream provider: per garantire trasparenza e conformità;
    • Policy per il rispetto del diritto d'autore;
  • Tracciabilità dell’addestramento dei mod