Per una volta il problema non sembra essere la mancanza di regole. L’AI Act è in vigore e alcune disposizioni sono già applicabili. Le linee guida della Commissione Europea iniziano ad arrivare. Le autorità pubblicano interpretazioni sempre più dettagliate. Eppure, ascoltando imprese, professionisti e istituzioni, emerge una sensazione diversa: la difficoltà non nasce dall’assenza di un quadro normativo, ma dalla velocità con cui la realtà sta cambiando rispetto alle categorie utilizzate per descriverla.
È forse questo il messaggio più interessante emerso dal confronto tra istituzioni, imprese e professionisti durante il panel “AI Act in pratica: tra obblighi, agenti e realtà operativa”, ospitato nell’ambito dell’evento organizzato lo scorso 21 maggio da P4I – Digital360 Advisory e ComplianceDesign.it con il patrocinio di AIGI. Un confronto che ha visto la partecipazione di Anna Cataleta, Senior Partner di P4I – Digital360 Advisory, Miriam D’Arrigo, Legal and Policy Officer dell’EU AI Office della Commissione Europea, Carmelo Fontana, Presidente di AIRIA, e Matteo Sironi, DPO e Head of Anti-Fraud di Edenred Italia, con la moderazione di Andrea Reghelin, Partner di P4I – Digital360 Advisory.
Nel dibattito non si è parlato soltanto di compliance. Anzi. Il tema ricorrente è stato un altro: cosa accade quando la tecnologia evolve più rapidamente delle categorie giuridiche e organizzative utilizzate per governarla?
Da una parte la Commissione Europea continua ad affinare il proprio approccio attraverso linee guida sempre più operative, esempi pratici, consultazioni pubbliche e strumenti di supporto destinati alle imprese. Dall’altra, le organizzazioni stanno già sperimentando casi d’uso che mettono sotto pressione alcuni dei presupposti su cui è costruita la stessa regolazione. È un passaggio quasi inevitabile. Il legislatore definisce principi destinati a durare nel tempo; la tecnologia, al contrario, si trasforma continuamente, genera nuovi scenari e apre interrogativi che fino a pochi mesi prima semplicemente non esistevano.
In questo contesto, uno dei temi più discussi è stato quello degli agenti AI. Se la prima stagione dell’intelligenza artificiale generativa ci ha abituati a strumenti capaci di produrre testi, immagini o codice a partire da una richiesta, la fase che si sta aprendo appare profondamente diversa. Gli agenti non si limitano a generare contenuti ma leggono informazioni, interagiscono con applicativi, eseguono attività, coordinano azioni e, sempre più spesso, operano all’interno di processi articolati con livelli crescenti di autonomia.
È qui che molte delle categorie tradizionali iniziano a mostrare i propri limiti.
Gran parte della regolazione è stata infatti costruita immaginando sistemi relativamente lineari: un input, un’elaborazione, un output. Ma cosa accade quando un agente consulta una casella di posta, interpreta il contenuto di un messaggio, recupera informazioni da un CRM, predispone una risposta e organizza un appuntamento in agenda? Oppure quando più agenti collaborano tra loro per raggiungere un determinato obiettivo operativo? In questi casi la questione non è soltanto classificare il rischio o verificare il rispetto di un requisito normativo. Diventa necessario comprendere quale processo viene influenzato, quali decisioni vengono condizionate e chi mantiene la responsabilità ultima dell’azione svolta.
Da questa prospettiva emerge anche una lettura diversa del concetto di governance. Una parola utilizzata spesso nei dibattiti sull’AI ma che rischia di trasformarsi in un contenitore vuoto se non viene collegata alla realtà operativa delle organizzazioni. Nel confronto è emersa invece un’idea molto concreta: la governance non coincide con un comitato, una policy o una checklist. Coincide con la capacità di comprendere dove l’intelligenza artificiale interviene realmente nei processi aziendali, quali effetti produce e quali responsabilità genera. In altre parole, la domanda non è tanto quale tecnologia utilizzare, ma quale processo si sta trasformando attraverso quella tecnologia.
È un cambio di prospettiva che coinvolge inevitabilmente anche le funzioni di controllo. Per anni compliance, legal e data protection hanno lavorato prevalentemente sulla verifica della conformità di attività e progetti. Oggi si trovano sempre più spesso a operare in una fase precedente, contribuendo alla definizione delle regole di adozione, alla valutazione dei rischi e alla costruzione di modelli decisionali sostenibili. Non è un caso che molte organizzazioni stiano sperimentando nuove figure professionali dedicate all’intelligenza artificiale o modelli di governance multidisciplinari nei quali competenze giuridiche, tecnologiche e organizzative si intrecciano sempre più strettamente.
Anche il tema dell’alfabetizzazione assume, in questo scenario, un significato più ampio rispetto a quello di semplice adempimento normativo. L’AI literacy rappresenta certamente uno dei primi obblighi introdotti dall’AI Act, ma il suo valore va oltre la compliance. Significa costruire all’interno delle organizzazioni la capacità di comprendere come queste tecnologie funzionano, quali limiti presentano e quali conseguenze possono produrre. Perché nessuna governance può essere realmente efficace se chi è chiamato a decidere non possiede gli strumenti per comprendere ciò che sta governando.
Sul fondo del dibattito resta poi una questione che riguarda il futuro stesso delle professioni. L’intelligenza artificiale sta modificando il lavoro di giuristi, compliance officer, DPO e consulenti, ma forse non nel modo in cui spesso viene raccontato. Più che sostituire competenze, sembra spostarne il baricentro. Automatizzare attività, generare contenuti o accelerare analisi non elimina infatti la necessità di interpretare contesti, gestire ambiguità e assumere decisioni in situazioni complesse. Anzi, rende queste capacità ancora più rilevanti.
L’AI Act rappresenta un passaggio fondamentale nel percorso di regolazione dell’intelligenza artificiale, ma la partita che si sta giocando nelle organizzazioni è più ampia. Riguarda la capacità di costruire modelli di governance sufficientemente solidi da garantire controllo e responsabilità, ma anche sufficientemente flessibili da accompagnare una tecnologia che continua a ridefinire, giorno dopo giorno, i propri confini.