Intelligenza Artificiale Tutto su AI e machine learning
Il percorso di implementazione dell’AI Act europeo compie un passaggio cruciale: la Commissione Europea ha formalizzato i primi standard tecnici armonizzati per i sistemi AI classificati ad alto rischio. Dopo l’entrata in vigore del regolamento nell’agosto 2024 e il progressivo dispiegarsi delle sue disposizioni sui 24 mesi successivi, le aziende devono ora confrontarsi con requisiti tecnici precisi e vincolanti che definiscono cosa significa “conformità” nella pratica. Per le organizzazioni italiane e europee che sviluppano o usano sistemi AI in settori regolati, questo non è un aggiornamento normativo astratto: ha implicazioni concrete sul design dei sistemi, sulla governance dei dati e sui processi di testing.
I sistemi AI ad alto rischio: chi è coinvolto
L’AI Act classifica i sistemi AI in base al rischio che presentano. I sistemi ad alto rischio sono quelli con maggiore impatto potenziale su diritti fondamentali, sicurezza e accesso a servizi essenziali. Le categorie incluse sono ampie e toccano settori chiave dell’economia italiana: infrastrutture critiche (energia, acqua, trasporti), istruzione e formazione professionale, occupazione (sistemi di selezione del personale e gestione dei lavoratori), servizi essenziali come il credito bancario e le assicurazioni, forze dell’ordine, controllo delle frontiere, giustizia e sistemi democratici, e dispositivi medici.
Un sistema di scoring del credito usato da una banca, un algoritmo di selezione dei CV usato da un’azienda, un sistema di riconoscimento delle emozioni usato in un contesto lavorativo, o un modello che supporta decisioni mediche: tutti rientrano nella categoria ad alto rischio e devono rispettare i requisiti tecnici formalizzati.
I requisiti tecnici chiave degli standard armonizzati
Gli standard tecnici armonizzati tradizono i principi generali dell’AI Act in requisiti misurabili. Cinque aree sono particolarmente rilevanti per chi sviluppa o acquista sistemi AI ad alto rischio.
Il primo riguarda la gestione dei rischi: ogni sistema deve essere accompagnato da un sistema documentato di gestione del rischio che identifica, valuta e mitiga i rischi lungo tutto il ciclo di vita del sistema, dall’addestramento al deployment fino al ritiro. Non basta avere un sistema funzionante: occorre documentare cosa può andare storto e come viene gestito.
Il secondo riguarda la qualità dei dati: i dataset di addestramento, validazione e test devono soddisfare standard di qualità documentati, con procedure specifiche per l’identificazione di bias, lacune e inappropriatezze. Questo si applica sia ai dati usati internamente sia a quelli acquistati da terze parti.
Il terzo riguarda la documentazione tecnica: deve essere prodotta documentazione che descriva in modo sufficiente il sistema da permettere alle autorità di valutarne la conformità. Questo include la descrizione dell’architettura, le metriche di performance, i test condotti, le limitazioni note e le istruzioni per l’uso sicuro.
Il quarto riguarda la trasparenza verso gli utenti: le persone che interagiscono con sistemi AI ad alto rischio devono essere informate che stanno usando un sistema AI, devono avere accesso a informazioni sufficienti per comprenderne il funzionamento, e deve essere garantita la possibilità di supervisione umana sulle decisioni critiche.
Il quinto riguarda la robustezza e la cybersicurezza: i sistemi devono essere progettati per resistere a errori, guasti e attacchi informatici, con procedure di testing che verifichino le prestazioni in condizioni di distribuzione dei dati diverse da quelle di training.
Il calendario delle scadenze per le aziende
L’AI Act ha un calendario di implementazione differenziato che è importante avere chiaro. I sistemi AI proibiti (come i sistemi di social scoring generalizzato o la manipolazione subliminale) sono fuori legge dall’agosto 2024. I requisiti per i modelli di AI di uso generale con capacità sistemiche si applicano dall’agosto 2025. I requisiti per i sistemi ad alto rischio nei settori regolati (sanità, credito, selezione del personale, ecc.) si applicano dall’agosto 2026. I requisiti per i sistemi ad alto rischio nei settori non regolati si applicano dall’agosto 2027.
Per le aziende italiane, il punto critico è l’agosto 2026: è la scadenza entro cui i sistemi AI ad alto rischio già in uso nei settori regolati devono essere conformi. Chi sta sviluppando o acquistando sistemi AI in questo periodo ha ancora tempo per adeguarsi, ma la finestra si sta chiudendo. Le nostre guide sull’AI Act europeo e sul GDPR e intelligenza artificiale offrono il quadro normativo completo per iniziare a orientarsi.
Come prepararsi: le azioni prioritarie
Per le aziende che sviluppano o usano sistemi AI ad alto rischio, il lavoro di conformità richiede un approccio strutturato. Il primo passo è la mappatura: identificare tutti i sistemi AI in uso o in sviluppo e classificarli rispetto alle categorie dell’AI Act. Molte organizzazioni si scopriranno a usare più sistemi ad alto rischio di quanto pensassero, specialmente nei processi HR, nel credito e nella gestione dei clienti.
Il secondo passo è il gap analysis: confrontare lo stato attuale di documentazione, testing e governance di ogni sistema con i requisiti degli standard tecnici. Quasi certamente emergeranno lacune nella documentazione dei dati di addestramento e nei processi di testing per bias.
Il terzo passo è la costruzione di un sistema di gestione del rischio AI specifico per l’organizzazione, distinto ma integrato con i sistemi di risk management esistenti. Questo non è un documento da scrivere una volta: è un processo continuo che deve adattarsi all’evoluzione dei sistemi AI nel tempo.
Conclusioni
La pubblicazione degli standard tecnici armonizzati trasforma l’AI Act da principi generali a obblighi concreti e verificabili. Per le aziende italiane nei settori regolati, la scadenza dell’agosto 2026 è vicina e il lavoro di conformità non si fa in poche settimane. Il momento per iniziare la mappatura e il gap analysis è adesso. Per un orientamento dettagliato sulle implicazioni dell’AI Act per la tua azienda specifica, il Garante Privacy italiano e l’AGID hanno pubblicato risorse di accompagnamento che vale la pena consultare insieme alla documentazione ufficiale della Commissione Europea.
