1. Introduzione. L’intelligenza artificiale entra nell’impresa, nella pubblica amministrazione e nella vita quotidiana

Per molti anni l’intelligenza artificiale è stata percepita come una materia da laboratori universitari, centri di ricerca, grandi multinazionali tecnologiche e scenari quasi fantascientifici. Oggi non è più così. L’intelligenza artificiale è entrata nella vita quotidiana delle persone e, soprattutto, nei processi decisionali delle organizzazioni. È nei chatbot che rispondono ai clienti, nei sistemi che selezionano curriculum, nei software che supportano diagnosi mediche, negli strumenti che valutano il rischio creditizio, nelle piattaforme che generano testi, immagini, video, codice informatico, analisi predittive e contenuti personalizzati.

La svolta è stata resa ancora più evidente dalla diffusione dell’intelligenza artificiale generativa. Strumenti come ChatGPT hanno mostrato al grande pubblico ciò che fino a poco tempo prima era patrimonio di pochi addetti ai lavori: una macchina può produrre testi coerenti, simulare conversazioni complesse, assistere nella scrittura di contratti, generare immagini, elaborare dati, costruire sintesi e perfino affiancare professionisti qualificati nello svolgimento di attività intellettuali.

Questo scenario ha prodotto entusiasmo, ma anche inquietudine. L’AI promette efficienza, automazione, riduzione dei costi, migliore allocazione delle risorse, maggiore capacità predittiva. Allo stesso tempo, può generare discriminazioni, errori opachi, decisioni non controllabili, violazioni della privacy, manipolazione informativa, dipendenza tecnologica, rischi per il lavoro e compressione dei diritti fondamentali.

È dentro questa tensione che nasce il Regolamento (UE) 2024/1689, comunemente noto come AI Act, pubblicato nella Gazzetta Ufficiale dell’Unione Europea il 12 luglio 2024 ed entrato in vigore il 1° agosto 2024. Si tratta del primo regolamento europeo organico sull’intelligenza artificiale e, sul piano sistemico, di uno dei più ambiziosi interventi normativi mai adottati in materia di tecnologie emergenti. Il testo ufficiale chiarisce che il Regolamento mira a stabilire regole armonizzate per lo sviluppo, l’immissione sul mercato, la messa in servizio e l’uso dei sistemi di AI nell’Unione europea, nel rispetto dei valori dell’Unione e dei diritti fondamentali.

La scelta europea non è stata quella di vietare l’intelligenza artificiale, né quella di lasciarla interamente al mercato. L’Unione Europea ha imboccato una terza via: regolare l’AI in base al rischio, distinguendo gli utilizzi innocui da quelli potenzialmente pericolosi, e imponendo obblighi crescenti all’aumentare dell’impatto sui diritti, sulla sicurezza e sulla vita delle persone.

In questa prospettiva l’AI Act non deve essere letto soltanto come una normativa tecnica. È, piuttosto, una norma di governance. Dice alle imprese, ai professionisti e alle pubbliche amministrazioni una cosa molto chiara: l’intelligenza artificiale può essere utilizzata, ma non può essere adottata senza consapevolezza, senza controllo, senza responsabilità e senza presidio umano.

2. Dall’idea alla norma: la genesi dell’AI Act

L’AI Act non nasce improvvisamente. È il risultato di un percorso istituzionale lungo, costruito nel tempo, che parte dalla consapevolezza europea di dover conciliare due esigenze apparentemente contrapposte: da un lato, promuovere l’innovazione tecnologica e la competitività del mercato europeo; dall’altro, evitare che tecnologie ad alto impatto sociale siano sviluppate e utilizzate senza un quadro di responsabilità.

Un passaggio fondamentale è rappresentato dal Libro Bianco sull’Intelligenza Artificiale pubblicato dalla Commissione europea nel 2020, nel quale l’Europa inizia a delineare un modello fondato su due pilastri: eccellenza e fiducia. L’idea di fondo era già chiara: l’AI non può essere soltanto potente; deve essere affidabile. La fiducia diventa così una condizione di mercato, non un lusso etico.

Nel 2021 la Commissione europea presenta la proposta di regolamento sull’intelligenza artificiale. È in quella fase che prende corpo l’impianto oggi noto come risk-based approach, cioè approccio basato sul rischio. Dopo un negoziato complesso, segnato anche dall’accelerazione impressa dall’esplosione dell’AI generativa, nel dicembre 2023 viene raggiunto l’accordo politico tra Parlamento europeo e Consiglio.

Il Parlamento europeo approva il testo nel marzo 2024. Il Consiglio dell’Unione Europea lo approva definitivamente nel maggio 2024. Il Regolamento viene pubblicato il 12 luglio 2024 ed entra in vigore il 1° agosto 2024.

Un aspetto importante, spesso sottovalutato nelle prime letture aziendali, riguarda il calendario applicativo. L’AI Act non diventa operativo tutto in una volta. La sua applicazione è progressiva. Alcune disposizioni, come i divieti relativi alle pratiche considerate inaccettabili e gli obblighi di alfabetizzazione sull’AI, sono già divenute applicabili dal 2 febbraio 2025. Le regole sui modelli di AI per finalità generali, i cosiddetti GPAI, sono entrate in applicazione dal 2 agosto 2025. La piena applicazione generale del Regolamento è fissata al 2 agosto 2026, salvo specifiche previsioni transitorie per determinate categorie di sistemi ad alto rischio. La Commissione europea evidenzia proprio questa applicazione progressiva, anche per consentire agli operatori di adeguarsi gradualmente.

Questo dato è decisivo sul piano operativo. Le imprese e le pubbliche amministrazioni non possono attendere il 2026 per iniziare a occuparsi di AI governance. La compliance non nasce il giorno della scadenza. Richiede mappatura, analisi, policy, formazione, contratti, ruoli interni e controlli. Chi arriva alla data applicativa senza avere costruito un presidio organizzativo rischia di subire la norma, invece di governarla.

3. La filosofia del Regolamento: non tutta l’AI è uguale

La filosofia dell’AI Act è semplice da spiegare, ma complessa da applicare: non tutti i sistemi di intelligenza artificiale producono lo stesso livello di rischio. Un filtro antispam, un videogioco o uno strumento che suggerisce la correzione grammaticale di un testo non hanno lo stesso impatto di un algoritmo che decide se una persona può ottenere un mutuo, accedere a un lavoro, ricevere una prestazione pubblica o essere sottoposta a un controllo di polizia.

Il Regolamento costruisce quindi un sistema a gradini. Più il rischio è elevato, più aumentano gli obblighi. Meno il rischio è significativo, minore è l’intervento normativo. La Commissione europea descrive l’AI Act proprio come un quadro fondato su quattro livelli di rischio, pensato per dare chiarezza a sviluppatori, utilizzatori e operatori economici.

Il primo livello è quello del rischio inaccettabile. Qui l’ordinamento non si limita a regolare: vieta. Ci sono applicazioni dell’intelligenza artificiale che l’Unione Europea considera incompatibili con la dignità umana, con la libertà della persona o con il modello democratico europeo. Si pensi ai sistemi di social scoring, nei quali le persone vengono classificate sulla base dei loro comportamenti sociali, economici o personali, con conseguenze sfavorevoli sul piano dell’accesso a servizi o opportunità. Si pensi ancora alle tecniche subliminali o manipolative, idonee ad alterare il comportamento delle persone senza che queste ne siano pienamente consapevoli. Oppure allo sfruttamento delle vulnerabilità di minori, anziani o soggetti fragili.

Il punto non è meramente tecnologico. È costituzionale. Una tecnologia che manipola il comportamento umano, che classifica le persone in modo pervasivo o che sfrutta fragilità personali non è semplicemente “innovativa”: è una minaccia alla libertà individuale.

Il secondo livello è quello dei sistemi ad alto rischio. Qui non siamo davanti a sistemi vietati, ma a sistemi che possono incidere in modo rilevante sulla vita delle persone. Per questo motivo, il legislatore europeo consente il loro utilizzo, ma lo circonda di garanzie. Rientrano in questa categoria, ad esempio, sistemi impiegati nell’occupazione, nella selezione del personale, nell’istruzione, nella formazione professionale, nelle infrastrutture critiche, nella sanità, nella migrazione, nell’accesso a servizi essenziali, nell’amministrazione della giustizia e in alcune attività di law enforcement.

Facciamo un esempio semplice. Un’azienda utilizza un software per filtrare automaticamente i curriculum dei candidati. Il sistema attribuisce un punteggio ai profili, scarta alcune candidature e ne valorizza altre. A prima vista può sembrare uno strumento efficiente. Ma se il modello è stato addestrato su dati storici discriminatori, potrebbe penalizzare sistematicamente donne, persone straniere, lavoratori più anziani o candidati provenienti da determinati percorsi formativi. In questo caso il problema non è solo privacy. È accesso al lavoro. È uguaglianza sostanziale. È non discriminazione.

Per i sistemi ad alto rischio l’AI Act richiede un sistema di gestione del rischio, qualità dei dati, documentazione tecnica, tracciabilità, registrazione degli eventi, trasparenza, supervisione umana, accuratezza, robustezza e cybersicurezza. In termini aziendali, significa che non basta comprare un software da un fornitore e metterlo in produzione. Occorre sapere come funziona, a cosa serve, quali dati utilizza, quali rischi genera, chi lo controlla, chi interviene in caso di errore e quale documentazione dimostra la conformità.

Il terzo livello è quello del rischio limitato. Qui il Regolamento non impone un apparato pesante di adempimenti, ma valorizza soprattutto la trasparenza. L’esempio classico è il chatbot. Se un utente interagisce con un assistente virtuale, deve sapere che sta parlando con una macchina. Non perché ciò sia necessariamente pericoloso, ma perché la persona deve poter comprendere il contesto dell’interazione. La trasparenza, in questo caso, serve a preservare autonomia e consapevolezza.

Il quarto livello è quello del rischio minimo. Qui rientrano molte applicazioni ordinarie: filtri antispam, strumenti di intrattenimento, sistemi di supporto alla produttività, funzioni accessorie integrate in software di uso comune. Per tali sistemi il Regolamento non prevede obblighi rilevanti. Questa scelta è importante perché smentisce una lettura caricaturale dell’AI Act come norma anti-innovazione. L’Europa non disciplina tutto allo stesso modo. Interviene dove il rischio merita presidio.

4. L’AI generativa e i modelli di uso generale

Uno dei punti più delicati dell’AI Act riguarda i modelli di AI per finalità generali, noti come General Purpose AI Models o GPAI. Si tratta di modelli addestrati su grandi quantità di dati e capaci di essere utilizzati in una pluralità di contesti. Non sono progettati per una sola funzione specifica. Possono generare testo, codice, immagini, analisi, sintesi, traduzioni, classificazioni, risposte e contenuti complessi.

La difficoltà regolatoria nasce proprio da questa versatilità. Un modello di uso generale può essere integrato in un chatbot, in un motore di ricerca, in un software aziendale, in un sistema di supporto decisionale, in un’applicazione didattica, in uno strumento legale o in una piattaforma sanitaria. Il rischio non dipende soltanto dal modello in sé, ma anche dagli usi successivi.

L’esplosione di strumenti come ChatGPT ha reso evidente questa complessità. Da un lato, tali sistemi offrono opportunità enormi. Possono aumentare la produttività, democratizzare l’accesso alla conoscenza, supportare attività professionali, migliorare l’assistenza clienti, velocizzare analisi e documentazione. Dall’altro lato, pongono questioni giuridiche rilevantissime: accuratezza delle risposte, allucinazioni, bias, protezione dei dati personali, utilizzo di contenuti protetti da copyright, responsabilità per output errati, sicurezza informatica e rischio di disinformazione.

L’AI Act introduce obblighi specifici per i fornitori di GPAI. Essi devono predisporre documentazione tecnica, fornire informazioni agli operatori a valle, rispettare obblighi in materia di diritto d’autore e rendere disponibili sintesi sufficientemente dettagliate dei contenuti utilizzati per l’addestramento. Per i modelli con rischio sistemico, cioè quelli particolarmente avanzati e potenzialmente capaci di produrre effetti significativi su larga scala, sono previsti obblighi ulteriori in termini di valutazione e mitigazione dei rischi, test, gestione degli incidenti e cybersicurezza.

Su questo fronte si sta sviluppando anche una fase attuativa importante. La Commissione europea ha pubblicato materiali e strumenti relativi al Codice di condotta per i modelli GPAI, pensato come strumento volontario per aiutare l’industria a conformarsi agli obblighi dell’AI Act in materia di trasparenza, diritto d’autore, sicurezza e security. Inoltre, le linee guida della Commissione sui fornitori di modelli GPAI chiariscono il perimetro soggettivo e oggettivo degli obblighi, in particolare rispetto alle regole applicabili dal 2 agosto 2025.

Per le organizzazioni utilizzatrici il messaggio è chiaro: l’AI generativa non può più essere trattata come un giocattolo digitale lasciato all’iniziativa individuale del singolo dipendente. Serve una policy. Serve decidere se e come questi strumenti possono essere usati. Serve stabilire quali dati non devono essere inseriti nei prompt, quali attività richiedono verifica umana, quali output non possono essere utilizzati senza controllo, quali strumenti sono autorizzati e quali no.

Un dipendente che inserisce in un sistema generativo dati personali, segreti aziendali, documenti riservati, informazioni su clienti o strategie commerciali non sta semplicemente “usando l’innovazione”. Sta creando un rischio legale, organizzativo e reputazionale. La compliance AI, quindi, comincia spesso da una domanda molto pratica: chi in azienda usa strumenti di AI e per fare cosa?

5. Gli obblighi di compliance per imprese e pubbliche amministrazioni

La vera sfida dell’AI Act non è solo comprenderne il contenuto giuridico. È tradurlo in processi aziendali. Una norma di questo tipo non si applica con una circolare interna generica. Richiede governance.

Il primo passo è la mappatura. Ogni organizzazione dovrebbe costruire un inventario dei sistemi di intelligenza artificiale utilizzati, sviluppati, acquistati, integrati o messi a disposizione di terzi. In molte realtà questo lavoro produrrà una sorpresa: l’AI è già presente, anche dove nessuno l’ha formalmente autorizzata. Può essere integrata in software HR, CRM, strumenti di marketing, cybersecurity, produttività, customer care, gestione documentale, analisi dati o piattaforme cloud.

Dopo la mappatura occorre classificare il rischio. Non tutti gli strumenti richiedono lo stesso livello di presidio. Un assistente alla scrittura interna ha un profilo diverso da un sistema che seleziona candidati o assegna priorità nell’accesso a servizi pubblici. La classificazione deve essere documentata e motivata, perché in un contesto di controllo non basta affermare che un sistema “non è ad alto rischio”: bisogna dimostrare di averlo valutato.

Il terzo passaggio riguarda la governance interna. L’AI non è un tema esclusivamente informatico. È un tema legale, privacy, compliance, HR, cybersecurity, procurement, risk management e organizzazione aziendale. Per questo, nelle imprese più strutturate, sarà opportuno costituire un gruppo di lavoro interdisciplinare o un comitato AI governance. Nelle PMI, dove le risorse sono più contenute, potrà essere sufficiente individuare responsabilità chiare, procedure snelle e presidi documentali proporzionati.

Un elemento centrale è la formazione. L’AI Act introduce il concetto di AI literacy, cioè alfabetizzazione sull’intelligenza artificiale. Non significa trasformare ogni dipendente in un data scientist. Significa però garantire che chi utilizza sistemi AI comprenda i rischi essenziali: errori, bias, allucinazioni, dati personali, riservatezza, dipendenza dall’output automatico, necessità di controllo umano. La formazione diventa così un presidio di responsabilità organizzativa.

Altro tema fondamentale è il rapporto con i fornitori. Molte organizzazioni non svilupperanno sistemi AI internamente, ma li acquisteranno o li utilizzeranno tramite piattaforme di terzi. Questo non elimina il problema. Al contrario, lo sposta sul piano contrattuale e documentale. Sarà necessario chiedere informazioni, garanzie, documentazione tecnica, misure di sicurezza, clausole sulla conformità normativa, audit, responsabilità, assistenza in caso di incidenti o richieste delle autorità.

Per la pubblica amministrazione il tema è ancora più sensibile. Quando un’amministrazione utilizza AI per erogare servizi, gestire graduatorie, valutare istanze, orientare controlli o supportare decisioni che incidono sui cittadini, deve garantire legalità, trasparenza, imparzialità, motivazione e controllo umano. L’AI non può diventare una scatola nera amministrativa. La decisione pubblica non può nascondersi dietro l’algoritmo.

In concreto, un modello efficace di compliance AI dovrebbe prevedere almeno: inventario dei sistemi, classificazione del rischio, policy interna sull’uso dell’AI, procedura di approvazione dei nuovi strumenti, regole sull’uso dell’AI generativa, formazione del personale, valutazioni privacy, controlli sui fornitori, monitoraggio periodico, gestione degli incidenti e revisione documentale.

Il punto di caduta è culturale: l’AI deve entrare nei processi aziendali non come moda, ma come asset governato.

6. AI Act e GDPR: due normative diverse, ma destinate a lavorare insieme

Uno degli equivoci più frequenti è pensare che l’AI Act sostituisca il GDPR. Non è così. Le due normative hanno oggetti diversi e funzioni diverse.

Il GDPR disciplina il trattamento dei dati personali. Il suo baricentro è la protezione della persona rispetto all’uso delle informazioni che la riguardano. L’AI Act, invece, disciplina i sistemi di intelligenza artificiale, la loro immissione sul mercato, la messa in servizio, l’utilizzo e i rischi che tali sistemi possono generare per sicurezza, salute e diritti fondamentali.

Tuttavia, nella pratica, i due regolamenti si incontrano continuamente. Molti sistemi AI trattano dati personali. Un sistema HR che valuta candidati tratta dati personali. Un sistema sanitario che supporta una diagnosi tratta dati personali, spesso appartenenti a categorie particolari. Un sistema di scoring creditizio tratta dati economici e identificativi. Un sistema di videosorveglianza intelligente può trattare immagini, dati biometrici o informazioni comportamentali.

In questi casi l’organizzazione dovrà rispettare sia il GDPR sia l’AI Act. Dovrà quindi individuare una base giuridica del trattamento, rispettare i principi di minimizzazione, trasparenza, limitazione della finalità, esattezza e sicurezza, fornire informative adeguate, gestire i diritti degli interessati e, quando necessario, svolgere una valutazione d’impatto privacy.

La DPIA prevista dall’art. 35 GDPR assume un ruolo particolarmente rilevante nei sistemi AI ad alto impatto. Ma l’AI Act introduce anche logiche ulteriori di valutazione, in particolare rispetto ai diritti fondamentali. Il risultato auspicabile non è duplicare adempimenti, ma costruire una governance integrata. La valutazione privacy, la valutazione del rischio AI, la verifica cybersecurity e l’analisi dei diritti fondamentali dovrebbero dialogare tra loro.

Il DPO, in questa prospettiva, assume una funzione strategica, ma non può essere lasciato solo. La compliance AI non è soltanto privacy. Richiede il coinvolgimento dell’ufficio legale, dell’IT, della sicurezza informatica, delle risorse umane, della compliance, del procurement e del management.

La parola chiave è accountability. L’organizzazione deve essere in grado non solo di rispettare le regole, ma di dimostrare come le ha rispettate. È la stessa logica già nota nel GDPR, ma proiettata in un contesto tecnologico più complesso.

7. Sanzioni, responsabilità e rischio reputazionale

L’AI Act prevede un sistema sanzionatorio significativo. Le violazioni relative alle pratiche vietate possono arrivare fino a 35 milioni di euro o, per le imprese, fino al 7% del fatturato mondiale annuo totale dell’esercizio precedente, se superiore. Per altre violazioni, le sanzioni possono arrivare fino a 15 milioni di euro o al 3% del fatturato mondiale annuo. Per la fornitura di informazioni inesatte, incomplete o fuorvianti alle autorità, le sanzioni possono arrivare fino a 7,5 milioni di euro o all’1,5% del fatturato. Questi importi confermano che il legislatore europeo considera la materia strategica e non meramente formale.

Il confronto con il GDPR è inevitabile. Anche qui ritroviamo sanzioni amministrative elevate, criteri di proporzionalità, attenzione alla gravità della violazione, alla durata, alla cooperazione con le autorità e alle dimensioni dell’organizzazione. Tuttavia, l’AI Act presenta massimali ancora più incisivi in relazione alle pratiche vietate.

Ma il rischio non è solo sanzionatorio. Vi è un rischio reputazionale enorme. In un mercato in cui la fiducia diventa un fattore competitivo, essere percepiti come un’organizzazione che utilizza AI in modo opaco, discriminatorio o irresponsabile può produrre danni commerciali superiori alla sanzione stessa.

Vi sono poi possibili profili di responsabilità civile. Se un sistema AI produce un danno, ad esempio escludendo illegittimamente un candidato, negando un servizio, generando una valutazione discriminatoria o contribuendo a una decisione errata, il problema non resta confinato al piano amministrativo. Possono emergere responsabilità contrattuali, extracontrattuali, lavoristiche, consumeristiche e, in determinati scenari, anche profili penalistici indiretti connessi all’organizzazione e al controllo.

La compliance, quindi, non serve solo a “non prendere multe”. Serve a prevenire danni, contenziosi, perdita di fiducia e crisi organizzative.

8. Opportunità e criticità: la compliance come vantaggio competitivo

Ogni grande regolazione tecnologica porta con sé una domanda: siamo davanti a un freno o a un abilitatore dell’innovazione?

La risposta, nel caso dell’AI Act, dipenderà molto da come imprese, pubbliche amministrazioni e autorità sapranno applicarlo.

Le opportunità sono evidenti. Un quadro normativo chiaro può aumentare la fiducia nell’intelligenza artificiale. Clienti, cittadini, lavoratori e partner commerciali saranno più disponibili ad accettare sistemi AI se sapranno che esistono regole, controlli, responsabilità e rimedi. La fiducia, in questo senso, diventa infrastruttura del mercato.

La compliance può diventare anche un vantaggio competitivo. Un’impresa capace di dimostrare che i propri sistemi AI sono controllati, documentati, sicuri e rispettosi dei diritti fondamentali potrà presentarsi sul mercato come soggetto affidabile. Questo varrà soprattutto nei rapporti B2B, negli appalti, nei servizi regolati, nei settori finanziari, sanitari, assicurativi, HR e pubblici.

Vi sono però criticità reali. L’AI Act è complesso. La classificazione dei sistemi non sarà sempre agevole. I confini tra rischio limitato e alto rischio potranno generare dubbi. Le PMI potrebbero percepire gli obblighi come onerosi. Il coordinamento con GDPR, cybersecurity, normativa di prodotto, diritto del lavoro, proprietà intellettuale e responsabilità civile richiederà competenze interdisciplinari.

C’è anche un rischio burocratico. Se la compliance AI diventa soltanto una raccolta di moduli, dichiarazioni e policy copiate, fallisce il suo obiettivo. La vera compliance non è carta. È governo effettivo del rischio.

Il punto manageriale è questo: l’AI Act non chiede alle organizzazioni di smettere di innovare. Chiede loro di sapere cosa stanno facendo.

9. Il ruolo delle istituzioni europee e dei sandbox regolamentari

Un elemento decisivo sarà il ruolo delle istituzioni europee e nazionali nella fase attuativa. L’AI Act prevede un sistema di governance multilivello, nel quale assumono rilievo l’European AI Office, l’AI Board e le autorità nazionali competenti. L’AI Office, istituito dalla Commissione europea, è destinato ad avere un ruolo centrale soprattutto in materia di modelli GPAI, coordinamento, orientamenti e supporto all’attuazione. Il testo del Regolamento richiama espressamente la decisione della Commissione del 24 gennaio 2024 che ha istituito l’European Artificial Intelligence Office.

Di particolare interesse sono anche i regulatory sandboxes. L’idea del sandbox è semplice: creare ambienti controllati nei quali imprese, startup, pubbliche amministrazioni e autorità possano sperimentare sistemi AI innovativi con un dialogo preventivo con i regolatori. Non è una zona franca, ma uno spazio protetto di sperimentazione.

Per l’Europa questa è una leva strategica. Se ben utilizzati, i sandbox possono evitare che la compliance diventi solo un vincolo e trasformarla in un percorso guidato di innovazione responsabile. Possono aiutare soprattutto le PMI, che spesso hanno buone idee ma poche risorse per interpretare quadri normativi complessi.

Anche qui, però, molto dipenderà dalla qualità dell’attuazione nazionale. Una governance frammentata, lenta o eccessivamente formalistica rischierebbe di indebolire l’efficacia del Regolamento. Al contrario, autorità competenti capaci di dialogare con il mercato, pubblicare linee guida chiare e favorire approcci proporzionati potrebbero rendere l’AI Act uno strumento di crescita.

10. Il nuovo ruolo dell’avvocato e del professionista della compliance

L’intelligenza artificiale cambierà anche il lavoro dei giuristi. Non perché li sostituirà integralmente, come spesso si racconta con eccessiva semplificazione, ma perché modificherà il modo in cui il diritto viene interpretato, applicato e tradotto nei processi organizzativi.

L’avvocato e il professionista della compliance non potranno più limitarsi a leggere la norma in astratto. Dovranno comprendere almeno le logiche essenziali dei sistemi AI: cosa significa addestramento, quali sono i dati di input, cosa sono i bias, come si produce un output, quali rischi derivano dall’automazione, quali controlli possono essere introdotti, quali limiti ha la supervisione umana.

La nuova consulenza giuridica sarà sempre più interdisciplinare. Il legale dovrà parlare con data scientist, sviluppatori, responsabili IT, DPO, HR, risk manager, responsabili acquisti e vertici aziendali. Dovrà tradurre norme complesse in policy utilizzabili, clausole contrattuali, procedure interne, informative, valutazioni di rischio, modelli di audit e percorsi formativi.

In questo scenario acquista valore il legal design, inteso non come estetica del documento, ma come capacità di rendere comprensibili processi normativi complessi. Una policy AI scritta in modo incomprensibile non serve all’organizzazione. Una procedura che nessuno applica è solo apparenza documentale.

Il professionista della compliance diventa quindi una figura di raccordo. Non è il soggetto che dice semplicemente “si può” o “non si può”. È colui che aiuta l’organizzazione a capire a quali condizioni un’innovazione può essere adottata in modo sostenibile.

Il passaggio culturale è decisivo: dal diritto come freno al diritto come architettura della fiducia.

11. Conclusioni. L’AI Act è un freno o un presupposto dell’innovazione?

L’AI Act rappresenta una delle più importanti sfide regolatorie del nostro tempo. È una norma ambiziosa, complessa, inevitabilmente perfettibile. Non eliminerà tutti i rischi dell’intelligenza artificiale e non risolverà da sola i problemi etici, sociali ed economici prodotti dall’automazione. Tuttavia, segna un punto di svolta.

Per la prima volta un grande ordinamento giuridico prova a dire che l’intelligenza artificiale non è soltanto una tecnologia da sviluppare, ma un fenomeno da governare. Non basta chiedersi cosa l’AI può fare. Occorre chiedersi cosa deve poter fare, a quali condizioni, con quali garanzie e sotto quale responsabilità.

Definire l’AI Act un freno all’innovazione sarebbe una lettura parziale. È vero: il Regolamento introduce obblighi, costi, adempimenti e complessità. Ma l’innovazione senza fiducia non è sostenibile. Una tecnologia percepita come opaca, discriminatoria o incontrollabile genera resistenza sociale, contenzioso, paura e delegittimazione.

La vera innovazione, soprattutto in ambito aziendale e pubblico, non è quella che corre più veloce senza regole. È quella che riesce a durare, a essere accettata, a produrre valore senza sacrificare la persona.

L’AI Act prova a costruire questo equilibrio. Non sempre ci riuscirà in modo lineare. Molto dipenderà dalle linee guida, dalle autorità, dai giudici, dalle imprese, dai consulenti e dalla capacità degli operatori di trasformare la norma in cultura organizzativa.

La vera sfida, allora, non è scegliere tra innovazione e diritti. È costruire un modello di sviluppo tecnologico capace di coniugare entrambe le esigenze. Un’intelligenza artificiale potente, ma non arbitraria. Efficiente, ma non disumana. Predittiva, ma non discriminatoria. Generativa, ma non irresponsabile. Automatizzata, ma sempre governata da una responsabilità umana riconoscibile.

In questo senso l’AI Act non è il punto di arrivo della regolazione europea sull’intelligenza artificiale. È il punto di partenza di una nuova stagione della compliance digitale.