L’AI Act è ormai realtà: le prime scadenze sono operative e l’uso dell’AI in azienda comporta obblighi precisi e sanzioni, anche per chi non sviluppa ma semplicemente utilizza queste tecnologie.
L’AI Act non rappresenta più un orizzonte normativo futuro: le prime disposizioni sono già entrate in vigore e l’utilizzo dell’AI in ambito aziendale comporta oggi obblighi concreti, verificabili e sanzionabili, che riguardano non solo chi sviluppa sistemi di AI, ma anche chi li utilizza operativamente.
Le tempistiche di applicazione del Regolamento impongono alle organizzazioni un approccio consapevole e strutturato. Tuttavia, molte imprese si confrontano con l’AI Act senza disporre di una visione completa dei sistemi di IA effettivamente in uso, con evidenti criticità in termini di governance e di gestione del rischio. Ne consegue che per CISO e IT manager diventa prioritario comprendere come l’AI Act qualifica i sistemi di AI “ad alto rischio” e valutare concretamente il livello di esposizione dell’organizzazione, al fine di individuare responsabilità, aree critiche e priorità di intervento.
L’AI Act si applica ad un una pluralità di soggetti, tra cui: provider, deployer (ossia chi implementa e utilizza i sistemi di AI in contesti operativi), importatori e distributori. Per la maggior parte delle aziende, il ruolo più rilevante è quello di deployer, considerando che, in tale veste, l’organizzazione è responsabile di:
Le organizzazioni, per comprendere il perimetro degli obblighi più stringenti introdotti dall’AI Act devono innanzitutto chiarire che cosa si intenda per sistema di AI “ad alto rischio”.
L’AI Act adotta un approccio basato sul rischio, classificando i sistemi di AI in funzione del loro potenziale impatto sulla salute, sulla sicurezza e sui diritti fondamentali delle persone ed individua quattro livelli di rischio: rischio inaccettabile, alto rischio, rischio limitato e rischio minimo.
I sistemi di AI “ad alto rischio” per la loro finalità o per il contesto di utilizzo, possono incidere in modo significativo sull’esercizio dei diritti fondamentali o su aspetti critici della vita delle persone. Proprio in ragione di tale impatto potenziale, l’AI Act li assoggetta a un regime regolatorio particolarmente rigoroso. Rientrano in questa categoria, tra gli altri, i seguenti casi d’uso:
I sistemi di AI “ad alto rischio”, prima di poter essere immessi sul mercato o messi in servizio, devono rispettare una serie di obblighi stringenti, che incidono direttamente sulle responsabilità di CISO e IT manager e che possono essere ricondotti a cinque macro‑aree principali, quali:
Il mancato rispetto di tali obblighi non rappresenta solo una criticità tecnica o organizzativa, ma può tradursi in esposizione diretta a sanzioni e misure correttive, soprattutto nei casi in cui l’assenza di controlli, documentazione o supervisione emerga a seguito di incidenti o verifiche ispettive.
Il primo passo imprescindibile è la mappatura completa dei sistemi di AI in uso, inclusi quelli adottati in modo non formalizzato (i.e.: shadow AI). Di fatto, in assenza di un inventario strutturato, risulta impossibile dimostrare la conformità normativa e governare il rischio sanzionatorio.
L’inventario dei sistemi di AI dovrebbe includere, per ciascun sistema, almeno i seguenti elementi:
È importante sottolineare che tale inventario non costituisce un’attività una tantum, ma deve essere mantenuto aggiornato e integrato nei processi di procurement, onboarding tecnologico e gestione dei fornitori. L’assenza di una mappatura e di una tracciabilità dei sistemi di AI in uso può esporre l’organizzazione a rischi significativi, inclusa l’impossibilità di gestire adeguatamente controlli o ispezioni delle autorità di vigilanza.
L’adozione di soluzioni di AI in modalità on‑premise (in locale) rappresenta, per molte organizzazioni, una scelta strategica per l’impiego dell’AI in contesti caratterizzati da un’elevata sensibilità dei dati. Di fatto, l’AI – inclusi i Large Language Model (LLM) – può essere utilizzata mantenendo la gestione e il trattamento delle informazioni all’interno dell’infrastruttura aziendale, rafforzando il controllo sui dati e sui processi decisionali supportati dall’AI.
Inoltre, l’integrazione con soluzioni di Data Loss Prevention (DLP), supportate dall’AI, consente di rafforzare la governance operativa dei dati, attraverso il monitoraggio delle interazioni degli utenti e la mitigazione del rischio di utilizzi impropri o di perdite informative. L’AI on‑premise può, così, essere riservata all’elaborazione di dati ad alto rischio, mentre le soluzioni DLP contribuiscono a governare i flussi informativi e a documentare le attività rilevanti ai fini dei controlli e della conformità.
Nel loro insieme, l’adozione di AI on‑premise e di soluzioni DLP basate sull’AI configura un assetto pienamente coerente con i requisiti dell’AI Act, in particolare nei contesti in cui sono richiesti elevati livelli di sicurezza, tracciabilità e supervisione. Un approccio che, per molte organizzazioni, rappresenta la modalità più efficace per coniugare l’innovazione tecnologica con una gestione responsabile e conforme dei dati.
Di seguito una proposta di check list pratica, che può essere di supporto per una prima autovalutazione del livello di esposizione all'AI Act. Non sostituisce una gap analysis formale, ma consente di avere una visione delle aree prioritarie di intervento.
|
# |
Domanda |
Sì / No / Parziale |
Note / Azioni |
|
1 |
Avete un inventario aggiornato di tutti i sistemi AI in uso in azienda (inclusi quelli adottati autonomamente dai reparti)? |
|
|
|
2 |
Sapete quali di questi sistemi rientrano nella categoria ad alto rischio ai sensi dell'AI Act? |
|
|
|
3 |
Esiste una procedura formale di valutazione del rischio AI prima del deployment di nuovi sistemi? |
|
|
|
4 |
Avete effettuato una ricognizione della shadow AI nelle vostre infrastrutture? |
|
|
|
5 |
Sono stati definiti ruoli e responsabilità per la governance AI (i.e. AI Officer, referente compliance)? |
|
|
|
6 |
Disponete di documentazione tecnica e log di audit per i sistemi AI critici? |
|
|
|
7 |
I vostri fornitori di AI hanno fornito la documentazione di conformità richiesta dall'AI Act? |
|
|
|
8 |
Il personale che utilizza sistemi AI ad alto rischio ha ricevuto formazione adeguata? |
|
|
|
9 |
Avete integrato la valutazione dell'AI Act nei processi di vendor assessment e procurement? |
|
|
|
10 |
Esiste un piano di remediation per i sistemi AI non conformi già in uso? |
|
|
Ogni risposta, negativa o parziale, corrisponde a un'area di intervento prioritaria. Ne consegue che una valutazione onesta su questi dieci punti può fornire già buon punto di partenza del percorso verso la AI Act compliance.
La compliance all’AI Act si traduce sempre più in scelte concrete di governance, architettura tecnologica e controllo dei dati. Per CISO e IT manager non si tratta soltanto di interpretare un quadro normativo complesso, ma di assumere decisioni consapevoli su quali sistemi di AI adottare, come integrarli nei processi aziendali e quali misure di sicurezza e supervisione implementare lungo l’intero ciclo di vita dell’AI.
Pertanto, in questo contesto, la capacità di identificare, classificare e governare i sistemi di AI, valutandone il livello di rischio e assicurando adeguati presidi di tracciabilità, documentazione e controllo, diventa un elemento centrale della strategia di compliance.
Un approccio strutturato e orientato al rischio consente alle organizzazioni non solo di ridurre l’esposizione sanzionatoria, ma anche di rafforzare la fiducia nei processi decisionali supportati dall’AI. Inoltre, scelte architetturali mirate, come l’adozione di soluzioni AI on premise e l’integrazione di strumenti di DLP basati sull’AI rappresentano, in tal senso, leve fondamentali per coniugare innovazione, protezione dei dati e responsabilità, ponendo le basi per un utilizzo sostenibile, sicuro e conforme di questa tecnologia.