I decreti attuativi della legge italiana sull’AI rappresentano uno spartiacque per la compliance aziendale. Per la prima volta vengono chiariti in modo dettagliato le aspettative delle autorità di vigilanza, le responsabilità che possono derivare dall’utilizzo dei sistemi di intelligenza artificiale (AI) e le evidenze documentali che le aziende dovranno essere in grado di produrre in caso di controlli o contenziosi. Questo spostamento non coinvolge solo le grandi organizzazioni tecnologiche, ma ha largo impatto su molte aziende che utilizzano in modo diffuso strumenti di AI nei propri processi.
Quadro normativo e responsabilità
I decreti legislativi attuativi della legge n. 132/2025 sull’AI rappresentano un'importante evoluzione del quadro normativo in Italia, in linea con la Direttiva europea AI Act. Essa prevede la classificazione del rischio ai sistemi di intelligenza artificiale e specifica degli obblighi per gli sviluppatori, gli utilizzatori, gli importatori e i distributori di tali sistemi. La novità rispetto alla normativa esistente sta nei dettagli sull’applicazione pratica: si chiariscono le aspettative di vigilanza, i requisiti documentali e le responsabilità in diversi contesti operativi.
Compliance come governance permanente
La compliance sull’intelligenza artificiale non è più solo un normativo di breve termine, ma un sistema da integrare nel corredo della governance aziendale. L’applicazione dei decreti seguirà modelli simili a quelli del GDPR, del NIS2 e del D.Lgs. 231/2001. Questo richiederà un’organizzazione strutturata, con ruoli ben definiti, controlli interni, revisioni costanti e una comunicazione chiara sia interna che esterna.
Sistemi in uso e mappatura aziendale
Per molte aziende, il punto iniziale consiste in una mappatura completa dei sistemi di intelligenza artificiale effettivamente presenti e utilizzati. Non basta chiedersi se si utilizza AI, ma dove, in cosa, e con quali effetti sui processi aziendali e sulla gestione delle persone. Tra i sistemi comuni figurano:
- Software di Human Resources che valutano le candidature;
- Piattaforme CRM con suggerimenti di vendita;
- Sistemi antifrode e di cybersecurity;
- Strumenti di analytics e gestione documentale;
- Assistenti generativi;
- Strumenti di automazione.
La mappatura aiuta le aziende a individuare dove l’intelligenza artificiale ha un impatto diretto, per poter valutare e gestire rischi in modo proattivo.
Responsabilità estesa anche all’utente
I decreti chiariscono una volta per tutte che utilizzare sistemi AI comporta, in alcuni casi, la stessa responsabilità degli sviluppatori. L’azienda deve dimostrare di aver adottato mezzi di controllo, di gestione e supervisione adeguati. Questo richiede quindi una revisione anche del processo di procurement tecnologico, al fine di garantire che i fornitori siano allineati con i requisiti dell’AI Act.
Vigilanza multipia e integrazione di governance
Il sistema di vigilanza si complica notevolmente, coinvolgendo diverse agenzie governative e autorevoli istituzioni. Ecco un elenco delle autorità coinvolte e dei loro ruoli principali:
- Agenzia per l'Italia Digitale (AGID): Funzioni di notifica e coordinamento;
- Agenzia Nazionale per la Cybersicurezza (ENISA Italia): Vigilanza centrale sul mercato;
- Garante per la Privacy: Sorveggiare l'utilizzo rispetto ai dati personali;
- Banca d'Italia: Monitoraggio delle attività finanziarie;
- CONSOB: Controllo per i settori finanziari;
- IVASS: Vigilanza sull’assicurazione.
Questo multiplo controllo non riguarda solo singoli sistemi AI, ma l’intera capacità dell’organizzazione di governare gli strumenti che adotta.
Modello di governance unificato
La risposta richiesta da parte delle organizzazioni non è solo normativa, ma comporta l’adozione di un sistema di governance per l’intelligenza artificiale, strutturato come già adottato in tema di privacy e Cybersecurity. Tra i pilastri di tale sistema ci sono:
- Definizione dei ruoli e attribuzione della responsabilità;
- Processi di approvazione;
- Controllo interno;
- Ruolo e supervisione dei fornitori;
- Monitoraggio permanente;
- Gestione degli incidenti;
- Comunicazione con le autorità di vigilanza.
Vulnerabilità legate al mercato del lavoro
Una delle normative più rilevanti introduce restrizioni sull’uso dell’intelligenza artificiale nel ciclo di assunzione e nell’ambito dei rapporti con i lavoratori. I decreti chiariscono che decisioni critiche, come il licenziamento, l’assunzione, e qualsiasi provvedimento disciplinare, non possono basarsi su algoritmi. La decisione finale deve essere presa da un soggetto umano.
Con riferimento alle aziende, la violazione di questa norma porterà ad una nullità del licenziamento. Questo non limita il problema all’ambito del licenziamento: include qualsiasi decisione che sia influenzata in modo sostanziale da sistemi automatizzati. Le aziende sono quindi invitate a verificare fin da subito i sistemi AI utilizzati nel contesto HR e a documentare chiaramente l’effettivo intervento umano.
Area di vigilanza: cybersicurezza e AI Act
Il sistema prevede inoltre una stretta collaborazione tra il D.Lgs. 132/2025 e il NIS2 (Norme sull’Information Security for Institutions). La Sicurezza dei Modelli e la Resilienza Digitale sono considerati elementi centrali. L’Agenzia per la Cybersicurezza Nazionale assumerà un ruolo centrale in questo ambito, per cui l’approccio aziendale dovrà integrare la gestione dell’AI non solo da un punto di vista legale, ma anche informatico e di sicurezza.
Evidenze e strumenti giudiziari
I decreti introducono importanti novità in termini di strumenti probatori nei contenziosi legati all’utilizzo di AI. I giudicati potranno disporre l’esibizione di:
- Documentazione tecnica;
- Log e registri;
- Dati relativi al funzionamento;
- Documenti di controllo e supervisione;
- Rapporti di verifica.
Inoltre, se i requisiti richiesti dall’AI Act sono violati, il collegamento tra la mancan