Sotto attacco?
L’intelligenza artificiale è passata rapidamente da tecnologia sperimentale a elemento essenziale per il business. In soli tre anni l’IA è stata adottata dal 78% delle organizzazioni per almeno una funzione aziendale, e l’84% dei CEO prevede di aumentare gli investimenti nel 2025. In questo contesto, l’Unione europea ha introdotto il primo quadro normativo completo al mondo per l’IA — l’EU AI Act.
L’Act rappresenta un passo decisivo per bilanciare innovazione e responsabilità e fornisce il fondamento legale per lo sviluppo, la messa sul mercato e la governance dei sistemi di IA, sostenendo direttamente la fiducia organizzativa e l’uso responsabile. Per le aziende è al tempo stesso una sfida e un’opportunità: chi si allinea ora ai requisiti può trasformare la conformità in un vantaggio competitivo, mentre chi non lo fa rischia sanzioni fino a 35 milioni di euro o al 7% del fatturato globale.
Che cos’è l’EU AI Act e perché conta
L’EU AI Act regola come i sistemi di IA sono progettati, immessi sul mercato e utilizzati nell’UE, con portata extraterritoriale ogni volta che i loro output sono usati all’interno dell’Unione. Si affianca al GDPR: il GDPR disciplina il trattamento lecito dei dati personali; l’AI Act disciplina il ciclo di vita dei sistemi di IA — qualità dei dati, documentazione, supervisione umana, robustezza, trasparenza e monitoraggio post-market. In pratica, la maggior parte delle organizzazioni dovrà dimostrare la conformità a entrambi quando l’IA elabora dati personali.
«L’EU AI Act richiede alle organizzazioni di assicurare che il personale disponga di un livello sufficiente di alfabetizzazione sull’IA, tenendo conto delle conoscenze tecniche, dell’esperienza e del contesto d’uso. Ciò significa comprendere che cos’è l’IA, come funzionano i sistemi specifici utilizzati, le opportunità e i rischi, e le implicazioni legali ed etiche», afferma Richard Ford, CTO di Integrity360.
Per operativizzare questo principio, erogate programmi di alfabetizzazione sull’IA basati sui ruoli a tutti gli stakeholder, garantendo una chiara comprensione dei rischi etici, legali e operativi.
L’AI Act è entrato in vigore il 1 agosto 2024. I divieti sugli usi a rischio inaccettabile sono iniziati il 2 febbraio 2025; obblighi più ampi entreranno in vigore dal 2 agosto 2026 e alcuni requisiti per l’alta rischiosità si estenderanno verso il 2027. Usate la finestra attuale per costruire inventari, controlli, test ed evidenze, così da essere pronti agli audit man mano che l’applicazione si intensifica.
Rischio inaccettabile e alto: cosa rientra nell’ambito
Rischio inaccettabile (proibito in modo assoluto)
Sono vietate le applicazioni che includono:
• manipolazione cognitivo-comportamentale di persone o gruppi vulnerabili, ad esempio un giocattolo attivato dalla voce che incoraggia comportamenti pericolosi nei bambini
• social scoring, cioè classificare le persone in base a comportamento, status socio-economico o caratteristiche personali
• identificazione e categorizzazione biometrica delle persone
• sistemi di identificazione biometrica in tempo reale e da remoto in spazi pubblici, come il riconoscimento facciale
Le eccezioni per l’applicazione della legge sono limitate. L’identificazione biometrica da remoto in tempo reale può essere consentita solo per un numero ristretto di casi gravi. L’identificazione da remoto post-evento può essere usata per perseguire reati gravi e solo previa autorizzazione giudiziaria.
strategia digitale
Un esempio: un sistema di rilevamento in tempo reale delle emozioni dei dipendenti che monitora volti, voci, messaggi e dati biometrici per dedurre lo stato emotivo durante il lavoro, sollevando notevoli preoccupazioni su privacy, accuratezza e bias.
Rischio alto (rigorosamente regolato)
I sistemi ad alto rischio sono quelli che possono incidere negativamente sulla sicurezza o sui diritti fondamentali. Rientrano in due categorie:
- IA utilizzata in prodotti coperti dalla normativa UE sulla sicurezza dei prodotti (ad es. giocattoli, aviazione, automotive, dispositivi medici, ascensori)
- IA impiegata in aree specifiche che devono essere registrate in un database UE: gestione e funzionamento di infrastrutture critiche; istruzione e formazione professionale; occupazione, gestione dei lavoratori e accesso al lavoro autonomo; accesso a servizi privati e pubblici essenziali e benefici; forze dell’ordine; migrazione, asilo e controllo delle frontiere; assistenza nell’interpretazione e applicazione della legge
Tutti i sistemi ad alto rischio richiedono controlli lungo il ciclo di vita e devono essere valutati prima dell’immissione sul mercato e per tutta la loro vita operativa. Le persone potranno presentare reclami alle autorità nazionali competenti.
Le altre categorie di rischio sono:
rischio limitato: IA che attiva obblighi di trasparenza di base — ad esempio informare gli utenti che stanno interagendo con un’IA e etichettare i contenuti generati o manipolati dall’IA (come chatbot e deepfake) — senza obblighi più onerosi di conformità o registrazione.
rischio minimo: IA con impatto trascurabile — come filtri antispam o semplici sistemi di raccomandazione — non è soggetta a ulteriori obblighi legali ai sensi dell’Act, sebbene ai fornitori sia raccomandato di seguire codici di condotta e buone pratiche volontarie.
Confronto con gli approcci globali
A livello globale, l’UE sta fissando il punto di riferimento mentre altre giurisdizioni si muovono verso l’interoperabilità più che verso l’equivalenza. Il Regno Unito privilegia per ora un modello basato su principi guidato dai regolatori; gli Stati Uniti restano un mosaico di indirizzi federali, azioni delle agenzie e leggi statali. Per le multinazionali che trattano dati di cittadini UE, convergere su controlli allineati all’AI Act è il modo più semplice per restare avanti.
Preparare l’organizzazione alla conformità
La prontezza parte dalla visibilità. Le organizzazioni devono identificare dove l’IA è utilizzata nei dipartimenti, mappare i flussi di dati e valutare l’esposizione al rischio. Saranno essenziali solide pratiche di data governance — inclusa classificazione dei dati, tracciamento del ciclo di vita e assurance sui terzi.
Ugualmente importante è dimostrare spiegabilità e responsabilità. Ciò richiede investimenti in strumenti di osservabilità dell’IA in grado di tracciare le prestazioni dei modelli, rilevare bias e registrare i processi decisionali. Queste misure supportano la conformità e stimolano l’innovazione aiutando i team a comprendere come e perché i sistemi di IA si comportano in un certo modo.
La conformità va integrata nella strategia di sicurezza più ampia. Gestione delle identità, controllo degli accessi e sicurezza della supply chain contribuiscono alla salvaguardia dell’integrità delle operazioni di IA. Collaborare con esperti per condurre assessment di prontezza può aiutare ad allineare i modelli di governance a un panorama regolatorio in evoluzione.
Il ruolo della fiducia, della data governance e della sicurezza delle identità
La fiducia è la licenza per operare su larga scala. L’Act la incorpora tramite trasparenza, supervisione e sorveglianza del mercato. In pratica significa:
• data governance: fonti lecite e licensing, regole di qualità, controlli di bias, lineage dall’ingestione all’inferenza e politiche di conservazione coerenti con lo scopo
• identità e accessi: forte autenticazione, principio del minimo privilegio per modelli, dataset e pipeline, e piste di controllo a prova di manomissione
• supervisione umana: punti di intervento chiari, percorsi di escalation e autorità per sospendere o ripristinare i modelli quando si superano le soglie di rischio
Dove si inserisce iso/iec 42001
ISO/IEC 42001 è lo standard di sistema di gestione per l’IA. Trasforma le policy in pratica definendo ambito, ruoli e controlli, in modo analogo a ISO 27001 per la sicurezza delle informazioni. ISO 42001 fornisce un quadro per la gestione dei rischi dell’IA, aiutando le organizzazioni a soddisfare i requisiti dell’EU AI Act creando l’infrastruttura necessaria per documentazione, valutazione del rischio e trasparenza.
In termini pratici, un sistema di gestione dell’IA allineato a 42001 offre: inventario degli usi dell’IA mappati per rischio; lineage e controlli di qualità dei dati documentati; model card e release gate; piani di supervisione umana; monitoraggio post-market; registri verificabili di incidenti e azioni correttive.
Ottenere un vantaggio competitivo
Sebbene la conformità possa apparire inizialmente come un costo, la prontezza rispetto all’EU AI Act offre un vantaggio strategico. Le aziende che dimostrano pratiche di IA responsabile guadagneranno un chiaro differenziatore, soprattutto nei settori in cui trasparenza e standard etici sono critici.
Costruire una cultura della responsabilità non solo ridurrà il rischio di sanzioni, ma favorirà anche l’innovazione. Governance adattiva, osservabilità in tempo reale e cicli di miglioramento continuo consentiranno alle organizzazioni di scalare l’IA in modo sicuro e fiducioso.
In un’epoca in cui l’IA guida la competitività, chi è preparato alla regolamentazione avrà un vantaggio. L’EU Data and AI Act non è solo un obbligo legale; è un quadro per fiducia, innovazione ed evoluzione responsabile dell’intelligenza artificiale.
Come può aiutare integrity360
Assessment di prontezza all’IA
Valutiamo il vostro parco IA rispetto all’AI Act, mappiamo i rischi e creiamo un piano di remediation prioritizzato con responsabilità chiare.
Governance, rischio e conformità
Progettiamo e implementiamo un framework di gestione del rischio IA, armonizzato con i processi esistenti di sicurezza, privacy e SDLC. Include policy, controlli, piani di evidenza e playbook.
Data governance e sicurezza delle identità
Classifichiamo i dati, definiamo lineage e retention e rafforziamo gli accessi a modelli, dataset, strumenti e pipeline con controlli di identità robusti.
Assurance di terze parti e supply chain
Cataloghiamo fornitori e modelli, inseriamo clausole contrattuali allineate all’Act e impostiamo un’assurance continuativa.
Se la vostra organizzazione necessita di supporto per difendersi dalle minacce legate all’IA e per conformarsi all’EU AI Act, contattate gli esperti di Integrity360.
