La Commissione Europea ha avviato un nuovo sistema di segnalazione riservata dedicato all’AI Act, con l’obiettivo di consentire a cittadini, lavoratori e operatori del settore di riportare eventuali violazioni della normativa europea sull’intelligenza artificiale, in modo sicuro, riservato e tracciabile.

Le segnalazioni confluiscono direttamente all’European AI Office, l’organo di competenza centrale per la governance dell’AI a livello UE, con protezione legale prevista dal 2 agosto 2026.

Questo nuovo strumento rappresenta un tassello essenziale di un sistema multilivello di tutela dei whistleblower, che integra norme europee e nazionali, garantendo sicurezza, riservatezza e supporto legale ai segnalanti.

Whistleblowing: cos’è e come funziona

Il whistleblowing, disciplinato in ambito europeo dalla Direttiva 2019/1937, consente di denunciare comportamenti illeciti o violazioni normative, assicurando riservatezza, sicurezza e protezione contro eventuali ritorsioni di chi segnala.

Nel contesto dell’AI Act, lo strumento dell’European AI Office offre un canale sicuro e bidirezionale con crittografia avanzata, permettendo di trasmettere informazioni sensibili anche senza rivelare l’identità del whistleblower.

Comprendere il funzionamento del whistleblowing è fondamentale per apprezzare come questo sistema interagisca con le norme europee e nazionali, introducendo meccanismi concreti di tutela multilivello che collegano l’AI Office e le autorità nazionali.

Per tradurre i principi generali del whistleblowing in azioni concrete nell’ambito dell’AI, l’European AI Office funge da punto centrale, garantendo riservatezza, eventuale anonimato, sicurezza dei dati e tracciabilità delle segnalazioni.

Il ruolo e la missione dell’European AI Office

L’European AI Office è l’organo centrale dell’Unione Europea responsabile della governance e della supervisione dell’intelligenza artificiale a livello comunitario.

La sua missione è garantire che lo sviluppo e l’impiego dei sistemi di AI avvengano nel rispetto dei diritti fondamentali, della sicurezza e della trasparenza, supportando l’attuazione dell’AI Act.

L’ufficio coordina le attività di monitoraggio, valutazione dei rischi e consulenza tecnica, fornisce orientamenti agli Stati membri e alle istituzioni europee, e promuove standard e best practice per un ecosistema AI affidabile e responsabile.

Funziona come punto di riferimento per le questioni regolatorie, etiche e operative legate all’AI, facilitando la cooperazione tra autorità nazionali, sviluppatori, operatori del settore e cittadini.

AI Act e la gestione del rischio

La protezione dei segnalanti trova una naturale applicazione all’interno dell’AI Act, la prima normativa europea dedicata all’intelligenza artificiale.

La legge distingue tra sistemi proibiti, sistemi ad alto rischio e sistemi a rischio limitato o minimo, stabilendo obblighi specifici di valutazione e mitigazione del rischio.

La piattaforma di whistleblowing consente di monitorare il rispetto di queste regole, intercettando potenziali violazioni di sicurezza, privacy o diritti fondamentali.

La tempestiva individuazione delle violazioni dipende anche da una protezione efficace dei whistleblower, come garantito dalla Direttiva UE 2019/1937.

Protezione dei whistleblower secondo la Direttiva UE

Il sistema europeo di whistleblowing per l’AI Act si inserisce nel più ampio quadro normativo volto a tutelare chi segnala violazioni.

La Direttiva UE 2019/1937 si applica anche alle segnalazioni relative al regolamento AI Act, come previsto dall’articolo 87, garantendo ai whistleblower di comunicare potenziali infrazioni senza rischio di ritorsioni.

La piattaforma dell’European AI Office integra pienamente questi principi, assicurando anonimato, riservatezza e misure di sicurezza avanzate. In tal modo, si rafforza la governance europea dell’AI, rendendola più trasparente, affidabile e conforme alle normative sulla protezione dei segnalanti.

Logica della struttura multilivello

La normativa europea e italiana sul whistleblowing in ambito intelligenza artificiale si fonda su una logica multilivello, che integra strumenti interni, nazionali ed europei per garantire protezione, anonimato e tracciabilità al segnalante.

Garantire che le violazioni dell’AI Act vengano intercettate tempestivamente rappresenta una sfida complessa, data la natura spesso nascosta dei comportamenti illeciti e la complessità dei sistemi coinvolti.

La struttura multilivello permette al segnalante di scegliere il percorso più adeguato, assicurando che la segnalazione sia gestita da autorità competenti senza compromettere la riservatezza.

Il percorso multilivello si articola su tre livelli complementari, ciascuno con un ruolo specifico nella protezione del whistleblower e nella gestione delle segnalazioni.

Canale interno

In generale, le organizzazioni sono tenute a predisporre un canale interno conforme alla Direttiva UE 2019/1937, che consenta di segnalare violazioni o comportamenti aziendali rischiosi.

Questo strumento garantisce riservatezza e tutela da ritorsioni, anche se la sua efficacia può essere limitata da fattori culturali o dalla complessità dei processi aziendali interni.

Canale esterno nazionale

A livello nazionale, il D.Lgs. 24/2023 istituisce un canale esterno gestito dall’Autorità Nazionale Anticorruzione (ANAC).

Il canale è accessibile tramite piattaforma digitale e prevede criteri rigorosi di riservatezza e tracciabilità, aumentando la probabilità di intercettare tempestivamente violazioni significative.

Canale esterno europeo

L’European AI Office rappresenta un ulteriore livello di tutela, dedicato esclusivamente alle segnalazioni relative all’AI Act.

Questo organismo centrale dell’UE non solo offre un canale sicuro e bidirezionale con crittografia avanzata e anonimato volontario, ma consente anche di centralizzare le informazioni raccolte, supportando l’analisi e la governance a livello europeo.

Pur non sostituendo i canali interni o nazionali, l’AI Office aumenta la capacità complessiva di rilevare tempestivamente comportamenti non conformi, rafforzando così il modello multilivello, che coniuga flessibilità, sicurezza e responsabilità nell’uso dell’intelligenza artificiale.

In questo modo, il whistleblower può scegliere il percorso più adeguato alle proprie esigenze, avendo la certezza che la segnalazione sia gestita da autorità competenti, senza compromettere la riservatezza e contribuendo a una maggiore trasparenza e affidabilità nell’ecosistema AI.

Tipologie di segnalazioni e destinatari

La piattaforma è particolarmente utile per chi è professionalmente collegato a un fornitore di modelli AI, come dipendenti, collaboratori autonomi, azionisti o membri degli organi direttivi, che sono spesso i primi a rilevare violazioni o pratiche rischiose.

Le segnalazioni all’interno del sistema di whistleblowing dell’AI Act non riguardano solo violazioni astratte della normativa, ma toccano situazioni concrete che possono avere un impatto diretto sui diritti dei cittadini o sulla fiducia pubblica nell’uso dell’intelligenza artificiale.

Un dipendente di un’azienda che sviluppa sistemi AI ad alto rischio, ad esempio, potrebbe notare che i dati utilizzati per addestrare un modello non rispettano i requisiti di privacy o contengono bias che generano discriminazioni.

Oppure, un collaboratore esterno potrebbe scoprire che la documentazione tecnica richiesta dalla legge non viene aggiornata correttamente, compromettendo la trasparenza dei processi.

Tra i casi più rilevanti rientrano, ad esempio, la gestione impropria dei dati di addestramento dei modelli, l’assenza o l’inefficacia di misure di mitigazione dei rischi per sistemi ad alto impatto, la violazione dei requisiti di trasparenza nella documentazione tecnica o nelle politiche di copyright, così come pratiche discriminatorie o manipolative.

Le segnalazioni possono includere documenti, analisi interne, memo, scambi di e-mail o qualsiasi altra prova utile a comprendere la natura del comportamento segnalato, sempre nel rispetto dell’anonimato del segnalante e delle persone coinvolte.

Crittografia e anonimato: garanzie fondamentali

Per tutelare il segnalante, il sistema utilizza meccanismi di crittografia certificata, inclusa una casella di posta sicura per ricevere aggiornamenti, rispondere a richieste di chiarimento e seguire l’evoluzione dell’indagine, senza rivelare l’identità del whistleblower.

Le segnalazioni sono gestite secondo la Confidentiality Policy del Whistleblower Tool, che prevede:

1. l’uso di una piattaforma certificata ISO 27001 per l’invio di report, con crittografia avanzata;
2. l’accesso limitato a solo tre membri autorizzati dell’AI Office;
3. la non raccolta di dati personali, IP o informazioni di dispositivo, e l’invito ai whistleblower di non fornire dati identificativi propri o di terzi;
4. la gestione dei documenti secondo la classificazione Sensitive-non-Classified (SNC);
5. la protezione sia dei dati elettronici sia dei documenti cartacei, con backup, cifratura, tracciamento e gestione controllata dei supporti.

La combinazione di protezione tecnica e tutela legale garantisce un approccio integrato alla sicurezza e alla riservatezza del whistleblower.

Tutela legale e limiti della protezione

La riservatezza è garantita fin da subito, mentre la protezione legale contro ritorsioni prevista dalla Direttiva UE sul whistleblowing si applicherà alle violazioni dell’AI Act a partire dal 2 agosto 2026.

Tuttavia, segnalazioni relative a sicurezza dei prodotti, tutela dei consumatori, privacy e cybersecurity possono già beneficiare delle tutele della direttiva.

Per concretizzare queste garanzie, il portale dedicato offre una procedura strutturata che guida passo passo l’invio sicuro delle segnalazioni.

Come inviare una segnalazione

Il portale mette a disposizione una procedura strutturata che consente di trasmettere una segnalazione in modo sicuro e, se necessario, completamente anonimo:

1. Invio della segnalazione. Dalla home page è possibile avviare il processo cliccando sul pulsante “Submit a report”.
2. Descrizione dei fatti. È richiesto un resoconto chiaro e circostanziato, corredato da eventuali evidenze. Il sistema consente di allegare fino a cinque file, ciascuno con dimensione massima pari a 100 MB.
3. Anonimato. Se si desidera rimanere anonimi, è sufficiente selezionare l’opzione “Stay anonymous” e assicurarsi di eliminare ogni riferimento diretto o indiretto alla propria identità o a quella di terzi.
4. Secure inbox. Al termine dell’invio viene generata una casella di comunicazione protetta, accessibile tramite password e Case ID, attraverso la quale è possibile interagire con il team incaricato senza rivelare la propria identità.

Gestione della segnalazione

Il processo di trattamento del report segue tempistiche e garanzie definite:

1. Ricezione e conferma. Entro sette giorni lavorativi l’organizzazione fornisce un riscontro di avvenuta presa in carico.
2. Valutazione. L’analisi della segnalazione è riservata esclusivamente a personale autorizzato e dotato delle competenze necessarie.
3. Follow-up. Il whistleblower riceve un primo feedback entro 14 giorni, mentre gli aggiornamenti avvengono tramite secure inbox. La risposta conclusiva è fornita, di norma, entro 3-6 mesi.
4. Ulteriori misure. Se necessario, il caso può essere trasmesso ad autorità competenti o ad altre agenzie rilevanti, garantendo sempre la massima tutela della riservatezza del segnalante.