NOTIZIE

Guida all’EU AI Act: cosa deve fare la tua azienda (e cosa cambia per il tuo sito web)

eu ai act, un martelletto vicino un robot e un chip che simbolizzano l'ia

EU AI Act: Cosa deve fare la tua azienda per essere in regola

L’EU AI Act (il Regolamento europeo sull’Intelligenza Artificiale) è entrato pienamente in vigore. Non si tratta di una semplice dichiarazione di intenti: la legge definisce obblighi precisi e scadenze tassative per tutte le imprese che utilizzano o sviluppano tecnologie basate sull’IA.

L’approccio del regolamento si basa su due elementi chiave:

  • Il livello di rischio dell’applicazione di IA.

  • Il ruolo dell’azienda (se sviluppa l’IA o se la utilizza semplicemente “da utente”, ruolo definito come deployer).

Se la tua azienda utilizza o sviluppa strumenti di intelligenza artificiale, ecco una sintesi pratica di ciò che devi fare per essere conforme ed evitare sanzioni che possono toccare il 7% del fatturato globale annuo (o fino a 35 milioni di euro).

1. Mappare e classificare i sistemi di IA (La “Matrice del Rischio”)

Il primo passo fondamentale è mappare tutti i software basati su IA utilizzati in azienda per capire in quale delle quattro categorie di rischio rientrano:

  • Rischio inaccettabile (VIETATI): Sistemi come il social scoring, il riconoscimento delle emozioni sul posto di lavoro (salvo specifici motivi di sicurezza), o il riconoscimento facciale indiscriminato tramite scraping. Questi sistemi devono essere dismessi immediatamente.

  • Alto rischio: Sistemi utilizzati per la selezione del personale (es. screening automatico dei CV), la valutazione delle prestazioni dei dipendenti, l’accesso a servizi essenziali o la gestione di infrastrutture critiche. Prevedono gli adempimenti più severi.

  • Rischio limitato (Trasparenza): Chatbot, sistemi di generazione di immagini, testi o video (Deepfake). Qui l’obbligo principale è la trasparenza: l’utente deve sapere che sta interagendo con un’IA.

  • Rischio minimo: Filtri antispam, IA nei videogiochi. Nessun obbligo specifico, se non l’invito a seguire codici di condotta volontari.

2. Cosa fare se l’azienda è un “Deployer” (Utilizzatore di IA)

La maggior parte delle aziende non sviluppa IA da zero, ma utilizza strumenti di terze parti (come ChatGPT, Microsoft Copilot, Canva AI, o software HR integrati). In questo caso, l’azienda è classificata come Deployer e deve:

  1. Obbligo di Alfabetizzazione (AI Literacy): È un pilastro del regolamento. Le aziende devono formare il proprio personale sull’uso dell’IA. I dipendenti devono comprendere come funziona lo strumento, i suoi limiti, il rischio di “allucinazioni” (risposte false generate dall’IA) e come evitare fughe di dati aziendali o bias (pregiudizi degli algoritmi).

  2. Rispettare le istruzioni d’uso: Utilizzare i sistemi seguendo rigorosamente le linee guida tecniche fornite dal produttore.

  3. Garantire la supervisione umana: Nessuna decisione importante (es. un’assunzione o un licenziamento) può essere presa in autonomia da un algoritmo senza un controllo umano finale.

  4. Valutazione d’impatto sui diritti fondamentali (FRIA): Obbligatoria prima di mettere in funzione un sistema classificato ad “alto rischio”.

 

3. Cosa fare se l’azienda è un “Provider” (Sviluppatore di IA)

Se la tua azienda sviluppa software di IA per venderli o distribuirli sul mercato, gli obblighi (soprattutto per i sistemi ad alto rischio) sono decisamente massicci:

  • Sistema di gestione dei rischi: Un processo continuo per identificare e mitigare i rischi del sistema durante tutto il suo ciclo di vita.

  • Governance dei dati: Assicurarsi che i dataset di addestramento siano di alta qualità, privi di bias discriminatori e rispettosi della privacy.

  • Documentazione tecnica e Logging: Creare e tenere aggiornata la documentazione tecnica e prevedere una registrazione automatica degli eventi (log) per garantire la tracciabilità.

  • Valutazione di conformità: Sottoporre il sistema a controlli per ottenere la marcatura CE prima dell’immissione sul mercato.

 

Checklist operativa per le aziende

Per affrontare la conformità senza farsi travolgere, la tua azienda può seguire questa sequenza di azioni:

1.Creare un inventario dell’IA: Mappatura interna.

Censisci tutti i software in uso in azienda che sfruttano algoritmi di IA (inclusi quelli “ombra” usati dai dipendenti senza autorizzazione formale, come versioni gratuite di generatori di testo o immagini).

2.Classificare il livello di rischio: Risk Assessment.

Assegna a ogni sistema la sua classe di rischio (Inaccettabile, Alto, Limitato, Minimo) per capire quali obblighi legali scattano effettivamente.

3.Avviare l’AI Literacy dei dipendenti: Formazione obbligatoria.

Organizza sessioni di formazione e redigi una AI Policy aziendale che spieghi chiaramente cosa si può e non si può fare (es. il divieto assoluto di inserire dati sensibili dei clienti o codice proprietario nei prompt pubblici).

4.Adeguare la contrattualistica: Legal & Compliance.

Rivedi i contratti con i fornitori di software per accertarti che garantiscano la conformità all’EU AI Act e definiscano chiaramente le responsabilità in caso di violazioni.

 

Focus Web: Cosa bisogna pubblicare sul sito internet?

Una delle domande più frequenti è: “Devo pubblicare i miei documenti di conformità interni sul sito?” La risposta è no. Documenti come l’AI Policy aziendale o le valutazioni dei rischi contengono informazioni riservate e non vanno online.

Sul sito web vanno inserite solo specifiche informazioni di trasparenza per gli utenti (regolate dall’Art. 50 dell’EU AI Act).

Ecco i 3 casi principali:

Scenario sul tuo sito Cosa prevede la legge (Art. 50) Come adempiere in pratica
Usi un Chatbot di assistenza Segnalare chiaramente all’utente che sta interagendo con una macchina e non con un umano. Inserire un messaggio di benvenuto chiaro: “Ciao! Sono l’assistente virtuale basato su Intelligenza Artificiale di [Nome Azienda]…”
Pubblichi immagini, video o audio sintetici (Deepfake) Contenuti multimediali generati o alterati dall’IA che sembrano reali devono essere chiaramente etichettati. Inserire un avviso visibile sulla pagina o una filigrana digitale che dichiari l’origine sintetica del contenuto.
Pubblichi testi generati da IA su temi di pubblico interesse Se pubblichi articoli o notizie d’attualità scritti interamente dall’IA, devi dichiararlo apertamente. Nota: L’obbligo non si applica se il testo è stato ampiamente revisionato, modificato e validato da una persona (controllo redazionale umano) prima della pubblicazione.

Il nostro consiglio

L’adeguamento all’EU AI Act non è solo un obbligo legale, ma un’opportunità per ottimizzare i processi aziendali e aumentare la fiducia dei clienti. Gestire l’IA in modo trasparente sul proprio sito web e formare il team sono i primi passi per una transizione digitale sicura ed etica.

Se hai bisogno di integrare sistemi di IA sul tuo sito web (come chatbot intelligenti) in modo conforme e sicuro, o desideri una consulenza sulla tua presenza digitale, contatta il nostro Team.