L'EU AI Act introduce obblighi concreti per sviluppatori e deployer di sistemi AI che operano nell'Unione Europea. Le organizzazioni basate nell'UE sono soggette alla normativa in modo diretto; quelle che operano nel mercato europeo pur avendo sede altrove lo sono altrettanto. Le sanzioni seguono una scala progressiva che arriva fino al 7% del fatturato mondiale annuo per le violazioni più gravi, con la possibilità di subire contemporaneamente sanzioni AI Act e GDPR per la stessa violazione.
L'Act si costruisce sul GDPR: molti processi di risk assessment già implementati per la conformità alla normativa privacy si sovrappongono con quanto richiesto dalla nuova legge, il che è un vantaggio per chi ha già una funzione privacy strutturata.
Le attività richieste per la conformità si articolano in quattro aree.
1. Governance e supervisione
Il board e il senior leadership devono essere pienamente informati degli obblighi introdotti dall'Act e devono garantire supervisione rafforzata su due fronti: evitare che vengano implementati usi AI vietati, e assicurare che l'uso dell'AI dell'organizzazione rispetti gli standard dell'Act in materia di trasparenza, fairness, sicurezza e privacy.
Sul piano operativo, questo richiede di integrare l'Act nei framework di risk management e reporting esistenti — legale, enterprise, privacy, sicurezza — e di assegnare in modo chiaro ruoli e responsabilità per l'approvazione o il blocco dei casi d'uso, inclusi criteri di escalation per i casi controversi. Le policy devono essere aggiornate per includere esempi di usi vietati e per definire con precisione cosa l'EU considera use case ad alto rischio, con i relativi obblighi.
Il comitato di governance AI — qualunque sia la sua forma nella struttura specifica dell'organizzazione — è il punto di raccordo tra funzioni legale, compliance, risk, audit e business unit.
2. Risk assessment
L'Act stabilisce categorie di usi ad alto rischio e requisiti specifici di valutazione per chi li adotta o sviluppa. Tra gli obblighi: identificare e tracciare gli usi AI ad alto rischio nell'organizzazione, valutare la conformità dei controlli agli standard dell'Act per ciascun use case ad alto rischio, condurre un Fundamental Rights and Algorithms Impact Assessment (FRAIA) per verificare che i sistemi non compromettano diritti di privacy, non discriminazione e dignità umana dei cittadini europei.
Il punto di partenza è un gap assessment dei framework di risk esistenti rispetto ai requisiti dell'Act, seguito dalla costruzione di un inventario dei casi d'uso AI legato alle dipendenze critiche — applicazioni, processi, dati. Chi ha già un inventario dei modelli ML, un data inventory o un application inventory può adattare risorse esistenti invece di partire da zero.
L'integrazione delle domande richieste dalla FRAIA nelle Data Protection Impact Assessment (DPIA) già in uso per l'AI ad alto rischio è una scelta efficiente: riduce la duplicazione di processi e sfrutta competenze già disponibili nella funzione privacy.
3. Monitoraggio, mitigazione e audit continui
L'Act impone requisiti di controllo continuo per dimostrare che l'organizzazione mantiene il presidio sui sistemi ad alto rischio. Questo include il monitoraggio e la ri-valutazione periodica della conformità dei casi d'uso agli standard dell'Act, la documentazione delle procedure di assessment e testing, e la garanzia di supervisione umana sui sistemi ad alto rischio con test regolari per bias ed errori.
Sul piano pratico: istituire un requisito di "human review" per gli output dei casi d'uso ad alto rischio o ad alta esposizione — in particolare quelli che supportano decisioni in scenari sensibili come la selezione del personale — verificando sia i casi individuali che gli outcome aggregati. Mantenere documentazione aggiornata delle procedure di test e dei relativi risultati. Aggiornare il monitoraggio dei vendor per includere i requisiti dell'Act nelle verifiche periodiche.
4. Policy, procedure e formazione
L'Act richiede che le organizzazioni informino gli utenti quando interagiscono con chatbot, notifichino la provenienza AI dei contenuti generati e aggiornino le policy interne per definire ruoli e responsabilità su usi vietati e ad alto rischio.
Le policy rivolte ai dipendenti devono essere aggiornate per delineare gli usi accettabili, stabilire controlli e obblighi di assessment per i casi ad alto rischio, e includere linee guida chiare su usi vietati e relativi scenari. Le policy verso i consumatori e i sistemi automatizzati devono essere aggiornate per informare gli utenti dell'interazione con AI e offrire l'opzione di parlare con un operatore umano. I materiali di formazione devono riflettere i nuovi requisiti a tutti i livelli dell'organizzazione.
Come distribuire le responsabilità
La trasversalità dei requisiti AI Act è uno dei principali ostacoli operativi: coinvolge legal, compliance, privacy, risk management, audit, IT, data & analytics e le singole business unit contemporaneamente. L'assurance map — uno strumento che definisce chi è responsabile di cosa e dove si sovrappongono le responsabilità — è il modo più efficace per eliminare gap e ridondanze nella gestione del rischio AI.
La scelta non è tra gestire la compliance internamente o esternalizzarla completamente: le organizzazioni più strutturate usano combinazioni di staff interno, law firm e strumenti di regulatory intelligence, bilanciando costi, profondità di analisi e capacità di risposta rapida ai cambiamenti normativi. Il 47% dei responsabili legali prevede di rafforzare i propri processi di tracking normativo nei prossimi 12-18 mesi. Chi inizia prima costruisce un vantaggio strutturale difficile da recuperare.
