L’entrata in vigore del Regolamento (UE) 2024/1689 (AI Act) e della recente Legge italiana 23 settembre 2025, n. 132, ha delineato un quadro giuridico complesso ma essenziale per le imprese italiane, in particolare per quelle che operano nel settore tecnologico. Per le aziende, comprendere le implicazioni pratiche di queste norme non è più solo una questione di compliance, ma un pilastro della strategia di sviluppo e della competitività sul mercato.
L'impianto regolatorio si basa sulla prevalenza del diritto dell'Unione, a cui la legge italiana si adegua e di cui promuove l'applicazione antropocentrica. Mentre l'AI Act stabilisce regole armonizzate per l'immissione sul mercato e l'uso dei sistemi di AI basate sul rischio, la legge italiana interviene con principi specifici in settori chiave come la tutela della salute, il lavoro, le professioni intellettuali e la cybersecurity.
Provider vs. Deployer: chi fa cosa?
La normativa distingue nettamente tra chi sviluppa l'AI (Provider) e chi la utilizza professionalmente (Deployer).
I Provider (fornitori) sono i soggetti che sviluppano un sistema di AI o lo immettono sul mercato con il proprio marchio. I loro obblighi per i sistemi ad "alto rischio" includono:
- Predisposizione di documentazione tecnica dettagliata che dimostri la conformità prima dell'immissione sul mercato, da mantenere aggiornata ed auditabile.
- Logging (registrazione degli eventi) affinché il sistema disponga di registrazioni automatiche utili alla tracciabilità del funzionamento.
- Cooperazione con i deployer perché possano implementare correttamente i sistemi AI forniti.
- Sorveglianza umana per garantire un adeguato controllo umano.
- Cybersecurity, per garantire livelli adeguati di robustezza, precisione e protezione contro attacchi informatici.
- Valutazione di conformità per sottoporre il sistema a una procedura di valutazione (interna o tramite enti terzi) e apporre la marcatura CE prima della vendita.
I fornitori di sistemi a rischio limitato hanno obblighi attenuati, orientati primariamente ad assicurare sufficiente informazione e trasparenza agli utilizzatori e a garantire l’identificazione di contenuti video o testuali artificiali o manipolati.
I Deployer (utilizzatori) sono le imprese che utilizzano sistemi di AI sotto la propria autorità nell'esercizio di attività professionali. Il deployer ha l'obbligo di utilizzare il sistema conformemente alle istruzioni per l'uso, garantire la sorveglianza umana da parte di personale competente e monitorare il funzionamento per rilevare eventuali rischi o incidenti. Deve altresì garantire l’AI literacy del personale che usa sistemi AI.
L'AI sul posto di lavoro: le specificità italiane
La legge italiana pone un accento particolare sull'uso dell'AI nel contesto lavorativo. Secondo l'Art. 11 della Legge 132/2025, l'AI deve essere impiegata per migliorare le condizioni di lavoro, tutelare l'integrità dei lavoratori e accrescere la qualità delle prestazioni.
Obblighi chiave per i datori di lavoro:
- Informativa trasparente: il datore di lavoro deve informare preventivamente il lavoratore e le rappresentanze sindacali sull'utilizzo di sistemi di AI.
- Non discriminazione: è tassativo garantire l'osservanza dei diritti inviolabili dei lavoratori, evitando discriminazioni basate su sesso, età, etnia o convinzioni politiche.
- Divieti specifici: la legge italiana vieta l’uso di sistemi di AI volti a inferire le emozioni dei lavoratori, salvo esigenze di sicurezza o casi medici. L’AI Act, invece, vieta solo le pratiche di emotional inference che sfruttano vulnerabilità o che hanno finalità manipolative.
Chatbot in azienda: precauzioni e rischi pratici
L'uso di chatbot e AI generative in ufficio comporta sfide che vanno oltre la semplice automazione. Ecco gli accorgimenti suggeriti per mitigare i principali rischi:
Privacy e trasparenza: ai sensi delle disposizioni del Titolo IV dell’AI Act sugli obblighi di trasparenza, gli utenti devono essere informati quando interagiscono con un sistema di AI. Le comunicazioni relative al trattamento dei dati devono essere rese in un linguaggio chiaro e semplice. Nell’usare sistemi conversazionali, le aziende devono assicurarsi che non insorgano violazioni del GDPR o di obblighi di confidenzialità.
Proprietà intellettuale: in linea con la normativa italiana sul diritto d’autore, la tutela spetta alle opere dell’ingegno umano, anche quando create con l’ausilio di strumenti di AI, purché vi sia un contributo creativo effettivo dell’autore. L’estrazione di dati (Text and Data Mining) è ammessa nel rispetto delle eccezioni previste dalla Direttiva Copyright: libero per finalità di ricerca scientifica; consentito per usi commerciali salvo che i titolari dei diritti abbiano esercitato l’opt‑out tramite riserva dei diritti. Allo stesso tempo, le aziende devono assicurarsi che i propri dipendenti non utilizzino l’AI come strumento per violare o usurpare diritti di terze parti.
Inaccuratezza e manipolazione: è vietato l'uso di AI che utilizzi tecniche subliminali o manipolative per distorcere il comportamento umano in modo dannoso. Per mitigare l'inaccuratezza (allucinazioni), l'AI Act impone che i sistemi siano progettati per garantire livelli adeguati di accuratezza e robustezza durante tutto il ciclo di vita.
Frode e deep fake: i deployer che utilizzano AI per generare o manipolare contenuti (audio, video, immagini) che appaiono falsamente autentici (deep fake) hanno l'obbligo di dichiarare esplicitamente la natura artificiale del contenuto.
Sfruttare l’AI in conformità alle leggi
Le sanzioni per il mancato rispetto delle leggi in materia di AI sono severe e altrettanto lo sono i rischi per un uso irresponsabile dell’AI. Questo non dovrebbe però frenare lo sviluppo tecnologico e sociale derivante dall’AI.
Le imprese devono quindi muoversi lungo alcune direttrici:
1. Autovalutazione: determinare i propri ruoli ai sensi dell’AI Act (provider, deployer).
2. Auditing dei sistemi: classificare i sistemi in uso in base al livello di rischio (vietato, alto, limitato).
3. Alfabetizzazione AI: formare il personale affinché acquisisca le competenze necessarie per un uso consapevole e sicuro delle tecnologie.
4. Governance dei dati: implementare processi rigorosi per garantire la qualità dei set di dati e la cybersicurezza lungo tutto il ciclo di vita dell'AI.
5. Policy aziendale: integrare le norme aziendali affinché rispettino i vari divieti e le diverse raccomandazioni derivanti dall’intersezione di AI, Privacy e IP in azienda.
