L’introduzione del Regolamento europeo sull’intelligenza artificiale (AI Act) sta cambiando in modo sostanziale il contesto regolatorio all’interno delle aziende italiane. In particolare, le società che utilizzano sistemi AI nella selezione del personale, nella valutazione dei dipendenti o nello scoring del credito, rientrano nella fascia ad alto rischio come definito nell’Allegato III dell’AI Act. Queste aziende sono oggi sottoposte a un’attenta vigilanza da parte dell’autorità pubblica, con la necessità di registrare, documentare e rendere conto dei propri processi decisionali.
La nuova responsabilità del consiglio di amministrazione
Il Regolamento europeo attribuisce una diretta responsabilità agli organi direttivi delle aziende italiane che utilizzano sistemi di intelligenza artificiale. Questi sistemi, se utilizzati in contesti sensibili come selezione del personale o valutazione finanziaria, possono comportare decisioni che influenzano il futuro professionale e finanziario degli individui. Ora, il consiglio di amministrazione, anziché delegare a terzi, assume una responsabilità diretta per queste decisioni, che devono essere motivate e giustificate a livello legale.
Che cosa prevede la normativa?
L’AI Act, adottato nel 2024 con il Regolamento (UE) 2024/1689, classifica i sistemi di intelligenza artificiale in base al rischio che possono generare. Le attività ad alto rischio devono soddisfare una serie di requisiti di sicurezza, trasparenza e valutazione del rischio. Le aziende coinvolte si trovano quindi a dover:
- Conductire un’analisi delle potenziali implicazioni etiche e legali di ogni sistema AI;
- Garantire la trasparenza e il controllo umano sui processi automatizzati;
- Documentare ogni interazione rilevante tra l’algoritmo e i soggetti coinvolti;
- Cooperare attivamente con le autorità di controllo nazionali.
Il ruolo del potere statale
Con l’AI Act, il potere di controllo sulle attività aziendali non è più soltanto un’espressione della governance interna, ma un’estensione dello Stato regolatore. Gli organi di controllo pubblici, ad esempio, possono oggi verificare e valutare l’uso appropriato o distorto di sistemi AI che influenzano la vita quotidiana dei cittadini. Questo ruolo ha generato, in alcuni settori, una crescente cooperazione tra aziende e enti pubblici, in particolare attraverso la creazione di tavoli tecnici e di centri di compliance dedicati.
La tutela dei diritti individuali
La normativa introduce il concetto di accountability AI: ogni decisione automatica deve poter essere contestata e compresa da colui che la subisce. Ad esempio, un dipendente che venga escluso da un processo di selezione grazie a un algoritmo può chiedere una spiegazione completa del funzionamento del sistema utilizzato. Non più solo un “giudizio di valore”, ma un’effettiva analisi logica e tecnica dei parametri che hanno prodotto un risultato.
I sistemi ad alto rischio nella pratica aziendale
Gli scenari aziendali che rientrano in categorie ad alto rischio sono numerosi. Ecco alcuni esempi concreti:
- Selezione del personale automatizzata con sistemi di scoring basati su dati biometrici;
- Analisi finanziaria per concedere prestiti o finanziamenti a soggetti con bassa credibilità;
- Monitoraggio continuo del comportamento degli employee per la valutazione delle performance;
- Uso di algoritmi in sistemi di prelievo sanitario (ad esempio, per gestire priorità di accesso agli ospedali in condizioni critiche).
In questi contesti, la capacità di spiegare e controllare la decisione del sistema AI diventa un obbligo legale. Non basta, infatti, che un software funzioni; bisogna dimostrare che funziona in modo equo, trasparente e in armonia con i principi di tutela dei dati.
Impatto sull’organizzazione aziendale
La complessità di questa normativa sta spingendo molte aziende a ridefinire la loro organizzazione interna. Si parla sempre più di “Governanza AI”, un insieme di competenze legali, tecnologiche e operazionali che richiede risorse dedicate. Tra queste:
- La figura del Data Protection Officer (DPO) assume un ruolo centrale, integrandosi con il ruolo del CIO (Chief Information Officer) e del Chief Legal Officer.
- Le funzioni di Risk Management devono oggi includere anche il monitoring dei sistemi AI, la gestione di incidenti tecnologici e la verifica del rispetto delle normative.
- I team di IT vengono coinvolti in progetti di auditing tecnico e in formazione specifica sull’uso di strumenti AI.
La sfida dell’innovazione e della compettitività
Sebbene l’onere del controllo e della documentazione sia significativo, c’è un aspetto positivo: per le aziende che sanno gestire questi cambiamenti con anticipazione, il rispetto della normativa può rappresentare un vantaggio competitivo. Molte aziende leader nel settore tecnologico hanno iniziato a implementare processi di “AI Compliance by design” per evitare ritardi o squalifiche nell’adempimento.
Per esempio, aziende come Unifin, una società tecnologica attiva in svariati settori, hanno creato un AI Compliance Hub, dove i sistemi di intelligenza artificiale vengono testati, documentati e registrati in tempo reale. Questo ha permesso loro di ottenere certificazioni volontarie, riconosciute dagli organismi europei e valorizzate nei mercati internazionali.
Conclusione
Il Regolamento sull’AI non solo modifica la governance aziendale, ma ridefinisce il rapporto tra autonomia imprenditoriale e controllo statale. Le aziende che non si preparano adottando strumenti di compliance robusti e trasparenti rischiano di ritrovarsi in una posizione fragile, esposte a sanzioni o a danni reputazionali. Il nuovo contesto normativo, quindi, non è solo uno strumento di regolamentazione, ma anche un motore di innovazione e di maturità tecnologica.