Lo scorso 2 agosto 2025 è entrata in vigore l’AI Act, una nuova normativa europea che regola l’utilizzo dell’intelligenza artificiale.

Chi lavora in una PMI e usa ChaptGPT, ad esempio per scrivere le e-mail, si chiede cosa deve fare per mettersi in regola. Vediamo l’impatto dell’AI Act su PMI e microimprese, tenendo comunque conto che la Commissione UE starebbe valutando una moratoria/pausa su alcune disposizioni dell’AI Act con lo scopo di concedere alle imprese più tempo per adeguarsi.

AI Act e date critiche: chi lo deve applicare

L’AI Act (Artificial Intelligence Act) è un nuovo Regolamento approvato e pubblicato dall’Unione europea il 12 luglio 2024, che si pone come obiettivo principale la regolamentazione e l’applicazione di principi etici e di sicurezza all’utilizzo e allo sfruttamento degli strumenti e delle tecnologie digitali basate sull’intelligenza artificiale.

Si tratta in realtà della prima normativa a livello mondale che ha come obiettivo la regolamentazione dell’AI e, come tale, non si poteva certo avere la pretesa che il testo fosse preciso, esaustivo e delineasse dei confini chiari e inequivocabili.

In realtà, il contesto in cui si troveranno a muovere i primi passi le aziende per l’applicazione di questa normativa è molto nebuloso per non dire vago. Probabilmente ancora meno preciso e dettagliato del GDPR che, però, almeno poteva contare su basi normative precedenti e consolidate (Direttiva UE 95/46).

Chi deve applicare l’AI Act

A conferma di quanto appena detto, il Regolamento non fa distinzioni nette fra chi è soggetto e chi non è soggetto, lasciando l’interpretazione in base all’utilizzo che se ne fa di questa tecnologia, distinguendo fondamentalmente in due principali categorie di soggetti:

• provider e user dove per Provider si può, semplificando la definizione l’Art. 3 del regolamento, definire chi utilizza, modifica, sviluppa e vende propri modelli AI traendone un profitto;
• per User possiamo ancora più semplicemente individuare il semplice utilizzatore che, banalizzando, potrebbe essere il classico dipendente di una qualsiasi azienda, quindi anche una Pmi o una micro-azienda, che si fa aiutare da ChapGpt per comporre il testo di una mail.

Innanzitutto, i compiti più gravosi spettavano ai vari Stati membri, che avrebbero dovuto mettere in atto alcune azioni indispensabili, tra cui individuare e nominare gli enti e le autorità preposte all’applicazione e al controllo della normativa.

In Italia è stato nominato l’Acn (Agenzia Cybersecurity Nazionale), che già si occupa della supervisione e del supporto per altre normative come la NIS 2.

Gli obblighi per i Provider o fornitori di tecnologie AI

Ricordiamo che, in base all’art.3 dell’AI Act, sono definiti provider coloro che sviluppano e/o modificano modelli di GPAI allo scopo di trarne un profitto.

Su questa definizione si può aprire un mondo di interpretazioni, ma, tutti ci aspettiamo maggiore chiarezza nei decreti attuativi che sono in discussione nei tavoli tecnici governativi e che dovrebbero uscire nel mese di settembre 2025.

In ogni caso i Provider AI devono fornire, a partire dal 2 agosto ed entro il 2 agosto 2027:

• documentazione tecnica sul modello AI tra cui: dati sul tipo di architettura utilizzata, come avviene l’addestramento del modello AI;
• elenco delle fonti utilizzate per l’addestramento;
• obbligo di trasparenza, fornendo istruzioni d’uso chiare, informazioni sui rischi cui si può andare incontro utilizzando i modelli forniti o quali soggetti terzi potrebbero venire a conoscenza delle informazioni utilizzate;
• regole sui diritti d’autore – copyright: dichiarando come si valutano i diritti d’autore, per esempio, in merito ai dati utilizzati per l’addestramento;
• eventuale adesione al codice di condotta: una volta stabilito e approvato il provider potrà decidere se aderire ad un codice di condotta per dimostrare il suo grado di conformità.

Gli obblighi per tutti

La data del 2 agosto ha stabilito anche uno spartiacque fondamentale per tutti, Provider ed aziende utilizzatrici di modelli GPAI sugli obblighi di base da adottare entro il 2 febbraio 2026, che sono fondamentalmente due:

• alfabetizzazione e formazione: probabilmente è questa l’attività prioritaria su cui si dovranno concentrare tutte le aziende, grandi, medie pmi e microimprese. È necessario fornire a chiunque utilizza dei modelli GPAI in azienda le cognizioni minime per un utilizzo corretto e senza rischi dell’Intelligenza Artificiale. Inoltre è importante che questa formazione non sia generica, uguale per tutti gli utenti, bensì differenziata e personalizzata in funzione degli utilizzatori (per esempio, reparto commerciale, amministrativo, marketing, ufficio tecnico eccetera);
• trasparenza: dal 2 Agosto, per le aziende sarà obbligatorio dichiarare anche solo se si utilizzano modelli GPAI, quindi non esclusivamente sviluppatori. Se per esempio si utilizzano documenti, presentazioni, report o mail elaborate con l’ausilio dell’intelligenza artificiale è necessario indicare al destinatario, per esempio, nel disclaimer o in una informativa che sta interagendo con un documento prodotto con l’AI, nonché fornire dettagli su come vengono utilizzati i dati per l’addestramento dell’AI stessa, le fonti ma, anche se questi dati possono venire a conoscenza di terzi e se ci sono diritti sui copyright.

Per capire comunque meglio in che misura occorre rispettare questo obbligo, è meglio aspettare il prossimo decreto attuativo che, almeno ci auguriamo, dovrebbe indicare con maggiore chiarezza gli ambiti operativi e pratici.

Casi particolari

Se un semplice utilizzatore modifica sostanzialmente un modello AI e lo rende disponibile ad altri, potrebbe rientrare a far parte della categoria dei Provider, con obblighi più estesi e stringenti.

Inoltre, particolare attenzione dovrà essere posta per i “sistemi ad alto rischio” (ad esempio sistemi che possono generare comportamenti pericolosi, tipo valutazioni sanitarie eccetera) per i quali bisogna già cominciare a prepararsi fin da ora.

Come procedere per far fronte ai primi obblighi

Al fine di non disperdere inutilmente energie e risorse è fondamentale, ancor prima di avviare la formazione, partire da un’analisi in azienda delle reali esigenze di strumenti AI, individuando reparti, funzioni, utenti, gruppi di utenti e relative responsabilità nonché le piattaforme e i fornitori più idonei, sia per livello di conformità/sicurezza che per costi e prestazioni, a soddisfare le esigenze emerse dall’analisi.

Livelli di rischio

È altresì importantissimo strutturare l’analisi in modo tale da mappare i modelli di AI ad alto rischio, elencati nel Regolamento e suddivisi in 6 categorie: proibiti, alto rischio, limitati, GPAI, zero risk.

Altra attività strategica da mettere in atto per rendersi conformi è sicuramente quella di stabilire un piano di azione che preveda, oltre all’analisi preliminare, una serie di attività di governance e monitoraggio atte a tenere tutto sotto controllo quali, per esempio: test e audit, documentazione e procedure da tenere costantemente aggiornati adottando un approccio by design e by default simile a quanto richiesto dal Gdpr.

Cosa intende l’AI Act per sistema GPAI

Fino a qui ci siamo imbattuti più volte in un acronimo senza mai darne una definizione precisa. Ma è importante conoscerlo in quanto è probabilmente il tipo di strumento AI più comune che ci troveremo ad usare e ad affrontare: il GPAI.

L’AI Act definisce un sistema GPAI o General Purpose Artificial Intelligence: “Un modello di intelligenza artificiale che può essere utilizzato per una vasta gamma di compiti, non specificamente progettato o limitato a un’applicazione particolare”.

Il GPAI è uno strumento di AI base che può essere usato così com’è (as-is) da un utente finale per creare testi, immagini, video, report, presentazioni, traduzioni eccetera.

Un esempio può essere il classico testo di una mail che viene elaborato da piattaforme AI quali ChatGPT, CoPilot o altro per essere corretto, migliorato, integrato, arricchito eccetera con ulteriori informazioni tecniche, storiche o statistiche o altro.

Oppure lo stesso modello GPAI potrebbe essere customizzato o personalizzato da sviluppatori, quindi provider, per essere utilizzato in determinati ambiti specifici (marketing, finanza, amministrazione, medicina, sport eccetera).

L’impatto dell’AI Act sulle Pmi e sulle microimprese

La diffusione che l’AI sta avendo, e che avrà in misura sempre maggiore, implica profonde riflessioni e ripercussioni in tutti gli ambiti, lavorativo e privato, in particolare per i rischi che l’utilizzo indiscriminato di questa potentissima tecnologia può comportare, sia a livello di sicurezza che di etica.

Ben vengano quindi regolamentazioni che mirino a stabilire dei confini da non superare per non essere vittime della tecnologia, bensì per essere in grado di pilotarla e governarla senza infrangere leggi scritte e non scritte.

Non c’è limite dimensionale o settoriale

Questo primo tassello normativo costituisce una pietra miliare con cui ci dovremmo rapportare tutti.

Non può costituire un alibi il fatto di essere una piccola azienda, e cadere nel madornale errore di considerarla immune dal subire o causare rischi legati all’intelligenza artificiale.

L’AI Act non pone nessun tipo di limite dimensionale o settoriale per cui anche le Pmi e le microimprese dovranno, nolenti o dolenti, affrontare con serenità un percorso di compliance che sarà ovviamente proporzionato in base all’effettivo impatto che avrà l’AI nel business dell’azienda.

Priorità alla formazione

La primissima cosa che comunque ci sentiamo di consigliare da mettere in atto è sicuramente la formazione a dipendenti e dirigenti (CDA compreso), senza sottovalutare nessuna mansione: anche il semplice magazziniere potrebbe essere tentato di farsi aiutare da ChapGPT per scrivere il testo di una mail che magari contiene anche dati importanti e vitali per l’azienda.

È vitale che tutti i dipendenti, anche solo minimamente, ricevano informazione, istruzione e siano consapevoli sui rischi dell’intelligenza artificiale e sul modo migliore di utilizzarla per non compromettere il business dell’azienda e i diritti altrui.