Venerdì 20 marzo DITEDI ha ospitato un corso di formazione dedicato alle nuove regole sull’intelligenza artificiale. Ecco cosa c’è da sapere.

L’intelligenza artificiale è entrata nelle aziende. Nei processi, negli strumenti quotidiani, nelle decisioni. Ma mentre la tecnologia avanzava, avanzava anche il quadro normativo che la regola. E oggi non conoscerlo è un rischio concreto.

Venerdì 20 marzo, nella sede di DITEDI a Feletto Umberto, si è tenuto il corso “AI Act e Legge sull’AI 132/2025: Cosa cambia. Scadenze, obblighi e responsabilità”, organizzato in collaborazione con SMACT Competence Center e condotto dall’Avv. Claudia Sandei, Professoressa Ordinaria di Diritto Commerciale all’Università di Padova e tra le maggiori esperte italiane di diritto delle nuove tecnologie.

Quattro ore di formazione pratica, quindici partecipanti, un obiettivo chiaro: trasformare la normativa in operatività aziendale.

Cosa prevede l’AI Act — e perché riguarda anche la tua impresa

Il Regolamento (UE) 2024/1689, noto come AI Act, è il primo quadro normativo completo al mondo sull’intelligenza artificiale. È in vigore dal 1° agosto 2024 e introduce obblighi che si applicano a chiunque sviluppi, distribuisca o utilizzi sistemi di IA nel mercato europeo — non solo ai grandi player tecnologici.

In Italia, la Legge 132/2025 (in vigore dal 10 ottobre 2025) ha aggiunto disposizioni specifiche per sanità, lavoro, professioni intellettuali e pubblica amministrazione, anticipando per alcuni aspetti le previsioni europee.

Il calendario degli obblighi è già partito:

• Febbraio 2025 — obbligo di AI literacy per tutto il personale che utilizza sistemi di IA
• Agosto 2025 — governance e obblighi per i modelli di IA per uso generale (GPAI)
• Agosto 2026 — piena applicazione per i sistemi ad alto rischio

Come funziona la classificazione dei sistemi di IA

L’AI Act classifica i sistemi di IA in quattro livelli di rischio, ciascuno con obblighi diversi.

I sistemi a rischio inaccettabile sono vietati: rientrano in questa categoria, ad esempio, i sistemi di sorveglianza di massa o di manipolazione comportamentale.

I sistemi ad alto rischio — come quelli usati per la selezione del personale, la valutazione del credito o il supporto diagnostico in ambito sanitario — devono rispettare requisiti precisi: valutazione del rischio, gestione dei dati, documentazione tecnica, trasparenza verso gli utenti, supervisione umana effettiva e monitoraggio continuo nel tempo.

I sistemi a rischio limitato, come chatbot e deepfake, sono soggetti principalmente a obblighi di trasparenza: l’utente deve sapere che sta interagendo con una macchina.

La maggioranza dei sistemi attualmente in uso — filtri spam, strumenti di raccomandazione, applicazioni di base — rientra nella categoria a rischio minimo, con obblighi ridotti al solo dovere di alfabetizzazione.

L’obbligo di AI literacy: già in vigore, spesso ignorato

Uno degli aspetti più sottovalutati dell’AI Act è l’articolo 4, che impone a fornitori e utilizzatori di garantire che il proprio personale possieda competenze adeguate per lavorare con i sistemi di IA. L’obbligo è scattato a febbraio 2025 e riguarda tutte le organizzazioni, indipendentemente dal tipo di sistema utilizzato.

Non si tratta di formare tutti a livello tecnico. Si tratta di garantire che chi usa l’IA — a qualsiasi livello — comprenda cosa sta usando, quali rischi comporta e come comportarsi in modo responsabile.

Governance dei dati: attenzione all’equivoco della “proprietà”

Un tema ricorrente nelle aziende riguarda la titolarità dei dati. La risposta del diritto europeo è netta: non esiste un diritto di proprietà sui dati. Esistono invece diritti di accesso, utilizzo e condivisione, da definire attraverso contratti chiari e conformi al GDPR e al Data Act.

Per le imprese che trattano dati di terzi — o che utilizzano sistemi di IA addestrati su dati aziendali — le clausole contrattuali su accesso, riuso e condivisione non sono un dettaglio. Sono lo strumento principale di tutela.

Attenzione anche all’anonimizzazione: la giurisprudenza europea ha confermato che un dato può essere considerato personale per chi possiede la chiave di re-identificazione, anche se appare anonimo per altri. E i casi reali dimostrano che dataset apparentemente anonimi possono essere re-identificati incrociando informazioni pubbliche.

Supervisione umana: non basta la firma

Un principio chiave dell’AI Act — e della giurisprudenza europea più recente — è quello della supervisione umana significativa. Non è sufficiente che un essere umano “approvi” formalmente l’output di un sistema di IA. La supervisione deve essere reale: il responsabile deve essere in grado di valutare autonomamente, documentare le discrepanze e correggere le decisioni del sistema.

Quando questo non avviene — quando è di fatto la macchina a decidere — si rischia di ricadere nel divieto di decisione automatizzata previsto dall’art. 22 del GDPR, con conseguenze legali rilevanti.

Cosa fare concretamente: dalla normativa alla policy aziendale

Il corso di DITEDI ha affrontato proprio questo passaggio: dalla comprensione delle norme all’azione operativa. I partecipanti hanno lavorato su come costruire una AI Policy interna, come aggiornare contratti e processi di procurement, come distribuire correttamente le responsabilità lungo la catena del valore dell’IA.

Perché aspettare non è una strategia neutrale. Le aziende che non dotano i propri dipendenti di strumenti e regole chiare non si proteggono dai rischi: li amplificano, favorendo usi non controllati e creando esposizioni legali e reputazionali difficili da gestire a posteriori.

Il messaggio del corso è stato chiaro: non occorre aspettare la certezza normativa totale per iniziare. Occorre adottare un approccio progressivo, documentare le scelte fatte, formare il personale e costruire una cultura aziendale consapevole dell’IA.