L’AI EU Act è ormai una realtà: le aziende devono agire subito, adottando misure concrete per garantire la compliance ed evitare sanzioni e rischi reputazionali.
Le parole chiave per affrontare questa sfida sono tre: trasversalità, governance e monitoraggio continuo.
Solo un modello integrato, che coinvolga legal, IT, compliance e business, può assicurare una gestione efficace e sostenibile dell’intelligenza artificiale.
Questi temi sono stati al centro del talk “AI Compliance, è tempo di agire“, organizzato da ComplianceDesign.it in collaborazione con EY Forensic & Integrity services. L’evento ha visto il contributo di Daniele Acito (Gruppo BCC Iccrea), Laura Ferrando (Adecco Italia) e Matteo Herin (Carrefour Italia), con la moderazione di Piero Di Michele (EY).
>>> Clicca per rivedere il video integrale dell'incontro
Il perimetro di applicazione: da dove partire?
Il primo passo per garantire la conformità all’AI Act è individuare i sistemi di intelligenza artificiale in uso e sottoporli a un’analisi preliminare. Una delle principali difficoltà è la diffusione spesso poco visibile dell’AI nei processi aziendali (shadow AI), con soluzioni integrate in prodotti esistenti senza una chiara mappatura, aumentando così il rischio di non conformità.
Per affrontare questa sfida, le aziende devono avviare un processo di censimento, coinvolgendo team tecnici e di business per identificare tutte le applicazioni AI operative. Una volta completata questa fase, diventa essenziale valutare il livello di rischio di ciascuna soluzione in base ai criteri dell’AI Act, garantendo così un adeguato controllo e una gestione conforme alle normative.
Governance e responsabilità: come strutturare un sistema efficace
Un aspetto cruciale riguarda la governance interna e la distribuzione delle responsabilità per garantire la compliance. Un modello efficace è la creazione di centri di eccellenza dedicati alla gestione dell’AI, che fungono da punto di riferimento per tutte le entità del gruppo. Questo approccio centralizzato consente di evitare la proliferazione incontrollata di iniziative AI e garantisce un monitoraggio strutturato.
Indipendentemente dal modello adottato, è essenziale un coinvolgimento trasversale delle diverse funzioni aziendali, tra cui compliance, legal, IT, risk management e data protection. L’AI Act, in linea con il GDPR, promuove un approccio basato sulla collaborazione interfunzionale, in cui business, IT e legal lavorano in sinergia per garantire una gestione strutturata ed efficace della conformità normativa.
Dalla valutazione del rischio all’implementazione
Dopo aver definito il perimetro di applicazione e le responsabilità interne, è essenziale impostare piani d’azione per mitigare i rischi. L’AI Act classifica le applicazioni di intelligenza artificiale in quattro livelli di rischio: basso, limitato, alto e inaccettabile. I sistemi ad alto rischio richiedono misure rigorose di trasparenza, sicurezza e supervisione umana, mentre quelli considerati inaccettabili devono essere dismessi.
Per garantire un controllo efficace, molte aziende stanno adottando framework tecnici che consentono di effettuare test ripetibili sulle applicazioni AI, verificando nel tempo la conformità ai requisiti normativi.
Un altro elemento chiave è l’integrazione tra AI Act e GDPR. Poiché molti sistemi AI trattano dati personali, è fondamentale garantire un adeguato livello di protezione, applicando laddove possibile il principio di privacy by design e implementando meccanismi per la gestione del consenso e dell’autoregolamentazione.
Le principali preoccupazioni delle aziende
no degli aspetti più critici riguarda l’effettiva applicabilità dell’AI Act. Le prime scadenze normative, a partire dal 2 febbraio 2025, hanno già imposto l’interruzione dell’uso di sistemi AI vietati. Tuttavia, molte realtà si trovano ancora a dover interpretare correttamente i requisiti e a colmare le lacune nella propria governance.
Tra i principali rischi vi è la mancanza di coordinamento interno: nelle realtà con molte entità operative, le singole business unit potrebbero adottare strumenti AI senza un controllo centralizzato, aumentando così il rischio di non conformità.
A questo si aggiunge l’inevitabile evoluzione tecnologica, che impone alle aziende di adattare continuamente le proprie strategie di gestione del rischio. L’AI si sviluppa a un ritmo sempre più rapido e, per garantire una compliance efficace nel tempo, è essenziale adottare un approccio dinamico e flessibile, capace di rispondere alle nuove sfide regolatorie e operative.
Cosa ci si aspetta dal regolatore?
Le aziende sollecitano il regolatore affinché fornisca linee guida più pratiche e operative per tradurre la normativa in azioni concrete. Il timore è che l’Europa abbia imposto un modello di accountability rigoroso senza offrire strumenti chiari per la sua attuazione, rischiando di creare un divario con altre potenze tecnologiche come Stati Uniti e Cina.
Un altro punto critico riguarda la definizione di concetti chiave, come il ruolo del deployer e le responsabilità operative delle imprese nell’adozione dell’AI. Con sanzioni che possono raggiungere il 7% del fatturato annuo, è fondamentale garantire maggiore chiarezza sugli obblighi e sulle modalità di conformità.
Le aziende non possono più rimandare: l’AI Act è una realtà e la compliance deve diventare una priorità strategica. Adottare un approccio strutturato e collaborativo non solo facilita l’adeguamento normativo, ma può trasformarsi in un vantaggio competitivo, favorendo innovazione responsabile e fiducia nel mercato.
L’intelligenza artificiale sta ridefinendo i modelli di business e i processi aziendali, ma perché questa trasformazione sia sostenibile ed etica, è fondamentale agire ora. Solo attraverso regole chiare, una governance solida e un impegno condiviso sarà possibile sfruttare appieno le potenzialità dell’AI, garantendo trasparenza, sicurezza e valore per tutti gli stakeholder.
