Home » Tempo Libero » Tecnologia » AI Act, dal 2 agosto scattano i controlli: multe fino a 35 milioni per le aziende non in regola

AI Act, dal 2 agosto scattano i controlli: multe fino a 35 milioni per le aziende non in regola

AI Act, dal 2 agosto scattano i controlli: multe fino a 35 milioni per le aziende non in regola
Robot hand making contact with human finger on dark blue background. Business communication and Innovation technology concept. 3D illustration rendering

Entrano in vigore nuove regole dell’Unione europea sull’intelligenza artificiale. Molte imprese italiane non sono ancora conformi: oltre alle sanzioni, cresce il rischio della “Shadow AI” e della fuga di dati riservati. Come fare per rispettare la scadenza di agosto

Il countdown è agli sgoccioli. Dal 2 agosto entra in vigore gran parte dei regolamenti dell’AI Act, la prima legge al mondo interamente dedicata all’intelligenza artificiale, voluta dall’Unione Europea per governare lo sviluppo e l’utilizzo di queste tecnologie. Da quella data scatteranno i controlli sulle imprese e chi non è conforme rischia sanzioni pesantissime. E a poche settimane dalla scadenza, la maggior parte delle aziende italiane non è pronta secondo un’analisi di AIDAPT (startup italiana specializzata in Agentic AI). Meno del 20% delle imprese ha avviato percorsi di formazione sull’intelligenza artificiale per i propri dipendenti, un obbligo che in realtà è già operativo dal febbraio 2025. Un ritardo che espone le aziende non solo al rischio di multe, ma anche a un pericolo molto più concreto e quotidiano: la diffusione incontrollata di dati riservati.

Cosa cambia dal 2 agosto: obblighi e sanzioni dell’AI Act

L’AI Act non è una novità dell’ultimo minuto: il regolamento europeo è entrato in vigore progressivamente. Dal 2 febbraio 2025 è già attivo l’obbligo di garantire a tutti i dipendenti un livello adeguato di alfabetizzazione sull’intelligenza artificiale. In pratica, non bastano corsi teorici: i lavoratori devono saper riconoscere quali dati sensibili non vanno mai inseriti nei sistemi di AI, verificare le risposte ottenute dagli strumenti, soprattutto su questioni rilevanti per l’azienda o per i clienti, ed evitare di delegare alle macchine decisioni che restano di competenza umana. Con il 2 agosto scatta la fase più delicata: i controlli. Le aziende non conformi rischiano sanzioni fino a 35 milioni di euro o al 7% del fatturato mondiale annuo per le violazioni più gravi, con importi ridotti per PMI e startup. Per le altre inadempienze le soglie sono più basse, ma restano comunque significative.

Il vero rischio si chiama “Shadow AI”

E aldilà delle multe, il pericolo più insidioso per le imprese italiane riguarda la vita di tutti i giorni negli uffici. Si chiama Shadow AI: il fenomeno per cui i dipendenti utilizzano strumenti di intelligenza artificiale di propria iniziativa, senza alcuna approvazione da parte dell’azienda. I numeri raccontano una situazione diffusa: secondo i dati di settore, il 27% dei dipendenti adotta strumenti di AI senza autorizzazione aziendale. Chatbot, assistenti virtuali, funzioni di intelligenza artificiale integrate in software di uso comune: tutto questo, se non gestito, diventa una porta aperta verso possibili fughe di informazioni riservate, dati di clienti, contratti, strategie commerciali. Secondo l’analisi di AIDAPT il 65% delle imprese non ha ancora fornito alcuna direttiva interna sull’uso dell’intelligenza artificiale ai propri dipendenti. Un dato che, unito alla scarsa formazione, disegna un quadro in cui molte aziende italiane si trovano oggi lontane dalla conformità richiesta dall’AI Act.

Cinque passi da far per la conformità all’Ai Act dal 2 agosto

Come mettersi in regola in tempo? Secondo gli esperti di AIDAPT, il primo passo è mappare tutti gli strumenti di AI già in uso in azienda, compresi quelli adottati dai dipendenti senza autorizzazione: è proprio lì che si concentra la parte più consistente del rischio, e l’inventario va aggiornato ogni volta che qualcosa cambia. Il secondo passo è sostituire gli account personali con licenze aziendali, così da avere condizioni d’uso chiare e un controllo trasparente su dove finiscono i dati inseriti. Segue la formazione del personale, l’adempimento più urgente perché già obbligatorio dal febbraio 2025: bastano corsi brevi, mirati ai diversi ruoli e documentati, così da poterli dimostrare in caso di controllo. È utile poi mettere per iscritto un regolamento interno breve e chiaro, che stabilisca quali strumenti sono ammessi, quali dati non devono mai uscire dall’azienda e chi approva nuovi utilizzi. Infine, per ogni strumento adottato va verificato se i dati restano nell’Unione Europea e se possono essere usati per addestrare i modelli di AI: è il punto in cui l’AI Act incrocia il GDPR, ed è anche l’aspetto più delicato quando in gioco ci sono dati di clienti o dipendenti.

© Riproduzione Riservata