L'Intelligenza Artificiale non è più una tecnologia del futuro, ma uno strumento operativo già presente in molte realtà aziendali: dai software per la selezione del personale ai chatbot per l'assistenza clienti, fino ai sistemi per l'ottimizzazione della produzione. Questa rapida diffusione ha reso necessario un intervento normativo per garantirne un uso sicuro, etico e trasparente.

Oggi le aziende si trovano di fronte a un duplice impianto normativo: il Regolamento UE AI Act, in parte entrato in vigore lo scorso agosto (e interamente applicabile il 2 agosto 2026), e la nuova legge italiana sull'IA, recentemente approvata. Sebbene possano sembrare complessi, questi provvedimenti rappresentano una guida essenziale per innovare in sicurezza.

***

Il Quadro Europeo: Un Approccio Basato sul Rischio

L'AI Act europeo introduce un principio semplice ma incisivo: più alto è il rischio che un sistema di IA comporta per i diritti e la sicurezza delle persone, più stringenti sono le regole da rispettare. Per un'azienda il primo passo è capire in quale categoria rientrano gli strumenti IA che utilizza o sviluppa.

• Rischio Inaccettabile (VIETATI): Sono i sistemi che rappresentano una chiara minaccia per le persone, come quelli per il "punteggio sociale" o le tecniche manipolatorie subliminali. L'uso di questi sistemi è semplicemente vietato.
• Rischio Alto (ATTENZIONE MASSIMA): Questa è la categoria più importante per le aziende. Vi rientrano i sistemi IA impiegati in settori critici. Esempi pratici includono:
• Risorse Umane: Software per lo screening dei CV, la valutazione delle performance o il monitoraggio dei lavoratori.
• Credito: Sistemi per la valutazione dell'affidabilità creditizia di persone fisiche.
• Infrastrutture critiche: Sistemi per la gestione di reti energetiche o di trasporto.
• Sicurezza dei prodotti: Componenti di IA in macchinari, dispositivi medici o giocattoli.

Se la vostra azienda utilizza sistemi di questo tipo, dovrà rispettare obblighi rigorosi: valutazione di conformità, documentazione tecnica dettagliata, trasparenza verso gli utenti e, soprattutto, una supervisione umana efficace.

• Rischio Limitato (OBBLIGO DI TRASPARENZA): Rientrano qui sistemi i chatbot o i generatori di contenuti (es. deepfake). L'obbligo principale è la trasparenza: l'utente deve essere chiaramente informato che sta interagendo con una macchina o che il contenuto che vede è stato generato artificialmente.
• Rischio Minimo (VIA LIBERA): La maggior parte dei sistemi di IA oggi in uso, come i filtri anti-spam, i sistemi di raccomandazione o i videogiochi, rientra in questa categoria e non è soggetta a obblighi specifici.

La Legge Italiana: Concretezza e Regole Specifiche per il Mercato Nazionale

Il 17 settembre scorso è stato approvato dal Senato il testo definitivo della Legge Delega 23 settembre 2025, n. 132, con disposizioni e deleghe al Governo in materia di intelligenza artificiale. La legge italiana non sostituisce quella europea, ma la integra, fornendo dettagli e regole specifiche per il nostro Paese. Si concentra in particolare sui principi di centralità della persona e di responsabilità, con effetti diretti su aree aziendali fondamentali.

Dal punto di vista della governance nazionale, le autorità di riferimento saranno l’Agenzia per la Cybersicurezza Nazionale (ACN) e l’Agenzia per l’Italia Digitale (AgID), chiamate a vigilare e a gestire le segnalazioni.

Un aspetto di particolare rilievo riguarda il lavoro: quando vengono impiegati sistemi di intelligenza artificiale per la gestione del rapporto di lavoro, le aziende hanno l’obbligo di informare dipendenti e sindacati. Inoltre, viene garantito il diritto del lavoratore a una revisione umana di qualsiasi decisione automatizzata che lo riguardi, come ad esempio una valutazione negativa o la mancata assegnazione di un turno, poiché la decisione finale non può mai essere affidata unicamente a una macchina.

La normativa interviene anche in materia di diritto d’autore e contenuti generati dall’IA. Le imprese che sviluppano o utilizzano sistemi generativi devono dichiarare se, per l’addestramento degli algoritmi, siano state utilizzate opere protette da copyright e, in aggiunta, devono apporre una marcatura per identificare testi, immagini o video prodotti dall’intelligenza artificiale.

Infine, sul piano penale, vengono introdotte aggravanti e un nuovo reato specifico per la diffusione illecita di contenuti falsi generati dall’IA, come i cosiddetti deepfake. Questa scelta legislativa comporta un innalzamento dei rischi legali e reputazionali legati a un uso improprio delle nuove tecnologie, imponendo dunque alle aziende un approccio ancora più consapevole e responsabile.

Piano d’azione: come agire per essere conformi alla disciplina sull’IA

Affrontare la nuova normativa sull’intelligenza artificiale non deve essere visto soltanto come un adempimento burocratico, ma come un’occasione per rafforzare la fiducia di clienti e dipendenti e per distinguersi come un’azienda responsabile e all’avanguardia.

Il primo passo consiste nel mappare e classificare i propri strumenti di IA: è necessario fare un vero e proprio inventario delle soluzioni utilizzate in azienda e chiedersi a quale categoria di rischio appartengano secondo l’AI Act. Per esempio, il software impiegato nella selezione del personale rientra tra quelli ad alto rischio? Comprendere questo aspetto è essenziale per individuare gli obblighi specifici da rispettare.

Un secondo aspetto riguarda la definizione di una governance interna. È fondamentale stabilire chi, all’interno dell’azienda, avrà il compito di supervisionare l’uso dell’IA: si può nominare un referente dedicato o costituire un gruppo di lavoro che coinvolga diverse funzioni aziendali, dall’IT al legale, dalle risorse umane alla compliance. L’importante è che vi sia sempre un presidio attivo che monitori l’adozione e l’utilizzo delle tecnologie.

Accanto a questo occorre garantire la supervisione umana. Ogni decisione rilevante, soprattutto quelle che incidono direttamente sulle persone, come dipendenti o clienti, deve poter essere rivista e validata da un individuo. L’automazione, infatti, deve restare un supporto e non un sostituto del giudizio umano.

Un ulteriore elemento di attenzione è l’aggiornamento dei contratti e delle informative. È opportuno rivedere i rapporti con i fornitori di soluzioni di IA per chiarire con precisione le responsabilità di ciascuno e, parallelamente, aggiornare informative privacy e policy interne per garantire la massima trasparenza sull’uso degli algoritmi e tutelare i diritti degli interessati.

Infine, la formazione dei team riveste un ruolo centrale. La tecnologia evolve rapidamente e lo stesso vale per le regole che la disciplinano. Investire nella crescita delle competenze dei dipendenti significa renderli consapevoli dei rischi, delle procedure da seguire e delle opportunità che una gestione responsabile dell’IA può offrire.

In sintesi, il nuovo quadro normativo rappresenta una svolta verso un’innovazione digitale più sicura e affidabile. Prepararsi con attenzione e consapevolezza consente non solo di evitare sanzioni, ma anche di trasformare gli obblighi di legge in un reale vantaggio competitivo per l’azienda.