L’approvazione dei due schemi di decreto attuativi della legge italiana sull’intelligenza artificiale segna un passaggio importante per il mercato dell’AI nazionale.
I media oggi li hanno commentati per le novità su per la pubblica amministrazione, la scuola e l’utilizzo dei sistemi biometrici da parte delle forze di polizia; ma il vero impatto per il mondo produttivo riguarda un altro aspetto: l’avvio dell’infrastruttura nazionale che dovrà rendere operativo l’AI Act europeo.
Per imprese, startup, software house, system integrator e utilizzatori di soluzioni di IA si apre infatti una nuova fase, nella quale compliance, gestione del rischio, documentazione tecnica e formazione del personale diventano elementi sempre più strategici.
I due provvedimenti intervengono su quattro fronti che interessano direttamente il settore privato:
- governance e vigilanza del mercato;
- formazione e AI literacy;
- sperimentazione regolatoria e innovazione;
- responsabilità e gestione del rischio legale.
Indice degli argomenti:
Decreti attuativi AI: nasce la macchina italiana dell’AI Act
Uno dei problemi più discussi negli ultimi mesi riguardava l’assenza di un assetto nazionale chiaro per l’applicazione dell’AI Act.
Il primo decreto scioglie il nodo.
L’Italia sceglie un modello basato su due soggetti principali:
- AgID, che assume il ruolo di autorità nazionale di notifica;
- ACN, che diventa autorità di vigilanza del mercato e punto di contatto unico verso le istituzioni europee.
Per le imprese il punto non è soltanto amministrativo.
Con l’entrata in funzione delle autorità nazionali diventano più concreti i meccanismi di controllo previsti dal regolamento europeo: verifiche di conformità, attività ispettive, richieste documentali e procedure di vigilanza sui sistemi classificati ad alto rischio.
Per molte organizzazioni significa passare dalla fase sperimentale dell’adozione dell’IA alla costruzione di veri modelli di governance.
La compliance AI diventa una funzione aziendale
Fino a oggi molte imprese hanno gestito l’intelligenza artificiale come un’estensione dei progetti digitali o dell’innovazione IT.
L’AI Act cambia radicalmente la prospettiva.
Le aziende dovranno dimostrare:
- tracciabilità delle decisioni;
- gestione dei rischi;
- supervisione umana;
- qualità dei dati;
- documentazione tecnica;
- monitoraggio delle prestazioni dei sistemi.
I decreti italiani rafforzano ulteriormente questa impostazione.
L’intelligenza artificiale entra infatti nei processi di controllo analogamente a quanto accaduto negli anni con cybersecurity, privacy e resilienza operativa.
Per molte organizzazioni si profila la necessità di strutture permanenti di AI Governance che coinvolgano non solo IT e innovazione, ma anche funzioni legali, HR, compliance e risk management.
Il segnale più forte alle imprese dai decreti AI: la formazione
Tra le novità meno discusse ma probabilmente più importanti per il mercato c’è il capitolo dedicato alle competenze.
L’AI Act introduce infatti un principio innovativo: chi sviluppa o utilizza sistemi di intelligenza artificiale deve garantire adeguati livelli di alfabetizzazione sull’IA alle persone coinvolte.
I decreti italiani traducono questo principio in una strategia nazionale che coinvolge scuola, università, professioni, pubblica amministrazione e mercato del lavoro.
Per il sistema produttivo è un segnale importante.
L’adozione dell’IA non potrà essere considerata soltanto una scelta tecnologica. Diventa anche una questione di competenze organizzative.
Le aziende dovranno dimostrare che le persone chiamate a utilizzare sistemi di IA possiedono capacità adeguate per:
- interpretare correttamente gli output;
- riconoscere errori e allucinazioni;
- identificare bias;
- valutare impatti sui diritti e sulla privacy;
- esercitare una supervisione umana effettiva.
Si tratta di un tema che nei prossimi anni potrebbe avere un peso simile a quello assunto dalla formazione obbligatoria in materia di sicurezza sul lavoro o protezione dei dati personali.
I 200 milioni sulla scuola anticipano il problema delle competenze
Il Governo ha scelto di partire dalla scuola.
Il decreto stanzia 100 milioni di euro aggiuntivi per la formazione dei docenti su IA, social media e ambienti digitali.
Le risorse si aggiungono ai 100 milioni già previsti dai programmi avviati dal Ministero dell’Istruzione per gli snodi formativi territoriali dedicati all’intelligenza artificiale.
Il totale arriva così a 200 milioni di euro.
Dal punto di vista delle imprese il dato è significativo per due ragioni.
La prima è che segnala la volontà di creare una base diffusa di competenze digitali e di IA nel sistema Paese.
La seconda è che conferma come il tema delle competenze sia ormai considerato un fattore di competitività industriale e non più soltanto educativo.
Sandbox regolatorie: opportunità per startup e PMI
Uno degli aspetti più interessanti del decreto riguarda l’istituzione dello Spazio di sperimentazione italiano per l’intelligenza artificiale.
Le cosiddette sandbox regolatorie sono uno degli strumenti più innovativi previsti dall’AI Act.
Consentono alle imprese di testare soluzioni innovative in un ambiente controllato, confrontandosi direttamente con le autorità competenti.
Per startup e PMI si tratta di una potenziale opportunità importante.
Uno dei principali ostacoli all’adozione dell’AI Act riguarda infatti l’incertezza interpretativa. Le sandbox possono ridurre questo problema, consentendo di verificare in anticipo conformità, requisiti e criticità.
Se implementate efficacemente, potrebbero diventare un acceleratore per l’ecosistema italiano dell’IA.
Cambia il rischio legale: accesso alle prove e responsabilità
Il secondo decreto contiene probabilmente la novità più rilevante per i legali d’impresa.
Le nuove disposizioni introducono meccanismi che facilitano l’accesso alle prove nei contenziosi relativi a danni causati da sistemi di IA.
In alcuni casi viene inoltre introdotta una presunzione del nesso causale quando si dimostra la violazione degli obblighi previsti dall’AI Act.
Per le imprese che significa?
Non basterà più dichiarare che un sistema è conforme.
Occorrerà poter dimostrare:
- come è stato progettato;
- quali controlli sono stati effettuati;
- quali dati sono stati utilizzati;
- come è stata garantita la supervisione umana;
- quali procedure di monitoraggio sono state adottate.
La documentazione tecnica diventa quindi uno strumento di tutela legale oltre che un requisito regolatorio.
Nuove implicazioni per assicurazioni e risk management
Il decreto introduce inoltre la possibilità di azione diretta nei confronti dell’assicuratore che copre la responsabilità civile del soggetto coinvolto.
È un dettaglio apparentemente tecnico ma destinato ad avere effetti sul mercato.
Come accaduto con cyber risk e DORA, il settore assicurativo potrebbe diventare uno dei principali motori di diffusione delle buone pratiche di AI governance.
Le compagnie saranno infatti incentivate a valutare qualità dei controlli, processi di supervisione, documentazione e gestione del rischio prima di concedere coperture adeguate.
Dall’AI governance all’AI management
Nel complesso i decreti segnano il passaggio da una fase prevalentemente normativa a una fase operativa.
Per molte aziende il tema non sarà più capire se l’AI Act le riguarda, ma come organizzarsi per rispettarlo.
La vera novità non è l’aumento delle regole, bensì la trasformazione dell’intelligenza artificiale in una disciplina manageriale.
Così come oggi esistono processi strutturati per privacy, cybersecurity, resilienza operativa e compliance, nei prossimi anni vedremo emergere funzioni dedicate alla governance dell’IA, con responsabilità distribuite tra business, tecnologia, legale e risk management.
L’approvazione dei decreti italiani rappresenta il primo passo concreto di questa transizione. Per le imprese significa che il tempo delle sperimentazioni isolate sta finendo: l’intelligenza artificiale entra definitivamente nel perimetro della governance aziendale.
