AI Act europeo 2024: cosa cambia per le aziende

L'AI Act europeo 2024, formalmente Regolamento UE 2024/1689, è il primo grande quadro normativo europeo dedicato all'intelligenza artificiale. Per le aziende italiane il messaggio principale non è "smettere di usare l'AI", ma iniziare a governarla con metodo. Il regolamento distingue gli usi in base al rischio e introduce obblighi diversi a seconda del ruolo dell'organizzazione e del tipo di sistema.

Molte imprese oggi usano AI in modo frammentato. C'è chi usa assistenti generativi per testi e email, chi prova OCR su fatture, chi sperimenta chatbot interni, chi usa strumenti di analisi documentale o soluzioni integrate in software cloud. L'AI Act spinge a fare una domanda semplice: che tipo di sistema stiamo usando e con quale impatto su persone, diritti, sicurezza o processi aziendali?

La Commissione Europea descrive l'AI Act come un regolamento basato sul rischio. Alcuni usi sono vietati perché considerati inaccettabili, altri sono classificati ad alto rischio e richiedono obblighi più stringenti, altri ancora prevedono obblighi di trasparenza o requisiti più leggeri. Per un'azienda, la classificazione non deve essere lasciata al caso o al reparto IT da solo: coinvolge direzione, legale, privacy, sicurezza e responsabili di processo.

Il regolamento è entrato in vigore nel 2024 e prevede applicazione graduale di diverse disposizioni. Questo significa che le imprese hanno tempo per prepararsi, ma non dovrebbero aspettare l'ultimo momento. Lavorare ora su inventario degli strumenti AI, policy interne, formazione e valutazione dei casi d'uso è più semplice che rincorrere obblighi quando i sistemi sono già diffusi in modo disordinato.

Per molte PMI, il primo passo pratico è censire gli usi dell'AI. Quali strumenti sono autorizzati? Quali sono usati informalmente? Quali reparti trattano dati personali o documenti sensibili con AI? Ci sono sistemi che influenzano selezione del personale, credito, sicurezza, sanità, istruzione o accesso a servizi? Ci sono chatbot rivolti a clienti o solo strumenti interni?

Il secondo passo è collegare AI Act e GDPR. I due quadri non sono la stessa cosa, ma spesso si incontrano. Se un sistema AI tratta dati personali, restano applicabili i principi GDPR. L'EDPB ha pubblicato indicazioni sui modelli AI e protezione dati, mentre le autorità nazionali continuano a occuparsi di privacy e intelligenza artificiale. Un progetto AI serio deve quindi valutare sia rischio AI Act sia trattamento dati.

Il terzo passo è decidere l'architettura. Un tool cloud può essere adeguato per alcuni usi, ma l'azienda deve conoscere fornitore, ruoli, dati, conservazione e condizioni. Un'infrastruttura on-premise o privata può essere preferibile quando i dati aziendali sono sensibili, quando serve integrazione con archivi interni o quando la direzione vuole ridurre la dipendenza da piattaforme esterne.

L'AI Act rende ancora più importante la formazione. Non basta comprare una piattaforma. Le persone devono capire quando usare l'AI, come verificare gli output, quali dati non inserire, come riconoscere limiti e allucinazioni, quando chiedere supervisione umana. La governance reale si misura nel comportamento quotidiano dei team.

Le aziende dovrebbero inoltre distinguere tra essere fornitrici di sistemi AI e semplici utilizzatrici. Una PMI che usa un assistente interno per riassumere documenti non ha lo stesso ruolo di un'azienda che sviluppa e vende un sistema AI a terzi. Tuttavia anche chi usa sistemi di altri deve sapere quali obblighi ricadono sul proprio caso d'uso, soprattutto se l'AI entra in processi critici o ad alto impatto.

Un inventario AI può essere semplice ma molto utile. Per ogni strumento si annotano reparto, finalità, dati trattati, fornitore, utenti, output generati, livello di rischio percepito e misure di controllo. Questo documento diventa la base per decidere cosa autorizzare, cosa bloccare, cosa spostare su infrastruttura privata e cosa approfondire con consulenti legali o privacy.

L'AI Act va letto anche come occasione organizzativa. Molte imprese hanno introdotto strumenti digitali senza mai creare una vera governance dei dati. L'AI costringe a farlo perché rende più visibile il valore degli archivi aziendali. Chi organizza bene documenti, permessi e workflow potrà usare l'AI in modo più efficace; chi lascia tutto frammentato rischia di moltiplicare errori e confusione.

Anche per l'AI Act, partire dai casi d'uso è più efficace che partire dalla norma in astratto. Un chatbot interno su procedure aziendali, un OCR per fatture e un sistema che supporta decisioni su persone hanno profili molto diversi. Classificarli separatamente permette di applicare controlli proporzionati. Questa è la logica pratica della governance: non trattare ogni esperimento come identico, ma capire dove il rischio è davvero più alto.

Le imprese che si muovono ora possono trasformare l'AI Act in vantaggio competitivo. Quando clienti, partner o revisori chiederanno come l'azienda usa l'intelligenza artificiale, avere un inventario, una policy, una soluzione autorizzata e persone formate sarà un segnale di maturità. Non serve attendere sanzioni o scadenze per iniziare: l'uso quotidiano dell'AI è già partito.

La preparazione dovrebbe essere proporzionata. Una PMI non deve copiare processi da grande multinazionale, ma deve sapere quali strumenti usa, quali dati tratta e chi controlla i risultati. Questa disciplina minima riduce incertezza e rende più semplice decidere quando serve un approfondimento legale.

Chiedilo a Mirko risolve i pain point legati all'AI Act perché aiuta l'impresa a passare dall'uso spontaneo dell'AI a un'infrastruttura privata e più governabile. Mirko porta server, installazione, OCR, chat, agenti, integrazioni, formazione e assistenza: non promette conformità automatica, ma offre una base concreta per mappare casi d'uso, controllare dati e accompagnare l'adozione. La demo con assessment AI serve proprio a capire dove l'AI può dare valore e quali aspetti normativi vanno verificati.