AI Act, via a divieti e formazione interna. Guida sintetica per general counsel
Sono quattro le aree di attività in cui sono impegnati i legali in house: monitoraggio normativo, revisione dei contratti, supporto alla formazione, audit interni
QUESTO ARTICOLO COMPARE NELL’ULTIMO NUMERO DI MAG. CLICCA QUI PER SCARICARE LA TUA COPIA
Lo scorso 2 febbraio sono entrati ufficialmente in vigore i primi divieti previsti dall’AI Act. La direttiva segna un punto di svolta nel panorama normativo europeo. A partire da questa data, che proibisce di fatto alcune pratiche precise e richiede, al contempo, un impegno concreto nella formazione del personale sull’uso responsabile della tecnologia, le aziende che forniscono o utilizzano sistemi di intelligenza artificiale (AI) devono prestare massima attenzione.
Questo cosa significa nel concreto? E in che modo i dipartimenti legali interni possono supportare le l’organizzazione nel percorso di adeguamento? La redazione di MAG si è confrontata con Daniele Ciccolo (in foto al centro), general counsel di Telepass, Simone Davini (a destra), head of legal & corporate affairs di Crédit Agricole Cib, e Ombretta Faggiano (a sinistra), chief legal, compliance, corporate tenders & sustainability officer di Esaote, per capire come hanno deciso di procedere finora e quale sarà l’impatto della direttiva sul loro lavoro.
Le pratiche vietate
Uno degli aspetti più delicati dell’entrata in vigore dell’AI Act riguarda l’articolo 5, che sancisce il divieto di alcune pratiche considerate particolarmente pericolose per i diritti fondamentali. Tra queste troviamo non solo l’interdizione all’utilizzo di strumenti di AI manipolativa, ossia sistemi che influenzano il comportamento delle persone senza il loro pieno consenso sfruttando tecniche subliminali e ingannevoli (come le app di shopping online che inducono agli acquisti compulsivi), ma anche di dispositivi che sfruttano vulnerabilità legate a disabilità, età e condizione socioeconomica (è il caso delle app di servizi finanziari che prendono di mira gli anziani o le persone con deficit cognitivi).
Stop anche all’identificazione biometrica in tempo reale in spazi pubblici, ai sistemi di social scoring che classificano i cittadini sulla base di comportamenti sociali o caratteristiche personali per determinare il loro accesso a servizi essenziali o per valutare il rischio che commettano un reato, così come a sistemi di categorizzazione biometrica per dedurre caratteristiche sensibili come orientamento sessuale, convinzioni religiose o opinioni politiche. Vietato, infine, anche l’uso di strumenti di analisi emotiva nei luoghi di lavoro e a scuola, come i software che rivelano i livelli di attenzione di lavoratori e studenti.
«Gli operatori del settore finanziario saranno impattati dall’AI Act a più livelli. È possibile, ad esempio, che in futuro gli algoritmi saranno sempre più utilizzati per le analisi del merito di credito che le banche svolgono sui propri clienti. Questa consapevolezza mi porta a rimanere con i radar sempre accesi sull’evoluzione sia delle norme sia della prassi di mercato che contornano l’attuazione della direttiva in Italia», racconta Simone Davini, che non a torto mantiene alti i livelli di attenzione: le aziende che non dovessero interrompere l’uso dei sistemi di AI citati sopra, infatti, potrebbero incorrere in multe fino a 35 milioni o al 7% del fatturato annuo dal 2 agosto 2026, quando entrerà in vigore il regime sanzionatorio dell’AI Act. «Ma, come sempre, il diavolo, a livello legale, continuerà a nascondersi nei dettagli: per i giuristi di impresa sarà fondamentale capire il perimetro, l’apporto e lo stile di azione delle agenzie europee che avranno in compito di emanare e vigilare le regole operative per l’attuazione dell’AI Act, nonché le interazioni tra quest’ultimo e altre normative europee come il DORA, il GDPR e la futura regolamentazione sugli accessi ai dati finanziari».
La formazione obbligatoria sull’AI
Dal 2 febbraio, oltre ai divieti, è operativo anche un altro obbligo non poco rilevante: quello della formazione sul corretto utilizzo dell’AI. Nello specifico, l’articolo 4 della direttiva impone alle aziende di garantire ai dipendenti che interagiscono con questa tecnologia un livello adeguato di “alfabetizzazione”. L’obiettivo è chiaro: ridurre il rischio di usi impropri e assicurare che i dipendenti siano consapevoli delle implicazioni legali ed etiche dei sistemi adottati.
Peccato però che la normativa non imponga modelli formativi precisi, limitandosi ad affermare che le aziende devono, nell’ordine: 1) analizzare il livello di conoscenza attuale dell’AI tra i dipendenti; 2) definire un piano di formazione che copra gli aspetti essenziali della normativa; 3) adottare un approccio a più livelli, con corsi base per tutti e approfondimenti per le funzioni più coinvolte; 4) documentare le attività formative, per dimostrare la compliance in caso di verifiche da parte delle autorità.
Per il momento non sono previste sanzioni dirette per le organizzazioni che non forniscono una adeguata formazione, ma le cose potrebbero cambiare dal 2 agosto 2026, quando le aziende saranno effettivamente esposte a contestazioni da parte dei regolatori. Il che, comunque, comporta approcci diversi tra le imprese. Per esempio: «In Crédit Agricole CIB sono allo studio varie, possibili, iniziative di formazione, che passano inizialmente dall’auto-formazione ma potranno poi trasformarsi in percorsi strutturati e pensati ad hoc per le funzioni che lavorano insieme», spiega Davini. Altre realtà, invece, si sono già messe al lavoro. Afferma Daniele Ciccolo: «Telepass ha considerato con grande interesse la formazione su questa tematica, tanto che già nel 2024 sono state effettuate diverse sessioni di formazione in presenza per diversi dipartimenti aziendali. Un’altra sessione è prevista nel mese di febbraio ed è specificamente indirizzata a chi opera nelle aree più potenzialmente impattate dall’uso di IA. Inoltre, è stato previsto un percorso di formazione dedicato all’intera popolazione aziendale finalizzato a un uso consapevole e corretto dell’AI». Sulla stessa lunghezza d’onda anche Ombretta Faggiano: «In Esaote abbiamo predisposto un piano di formazione interno che possa consentire l’efficace utilizzo dell’AI nei nostri flussi di lavoro. La tecnologia ci serve per trasformare i nostri processi e i modelli operativi legali e di compliance al fine di aprire nuove prospettive e offrire un servizio legale sempre più efficace. Per questo motivo, abbiamo previsto anche sessioni periodiche con esperti di intelligenza artificiale e compliance, in cui viene esplorato come sfruttare al meglio i principi fondamentali di funzionamento degli algoritmi nel rispetto del trattamento dei dati personali e considerando le implicazioni etiche legate all’uso della tecnologia nel settore medicale».
Il ruolo chiave dei dipartimenti legali aziendali
I dipartimenti legali interni hanno un ruolo cruciale nel guidare il processo di adeguamento aziendale all’AI Act. Non semplicemente perché sono chiamati a garantire la compliance normativa, ma anche perché affiancano le altre funzioni di business nella gestione operativa del cambiamento. «Il team Legal e Compliance di Esaote – fa presente Faggiano a questo proposito – fa parte del gruppo di lavoro che presidia l’attuazione dell’AI Act attraverso un lavoro sinergico con vari dipartimenti, analizzando in modo organico fattori tecnologici, logiche di generazione del valore aziendale, aspetti organizzativi e quadro regolatorio in un piano strutturato e pragmatico di assesment e adozione, per la migliore implementazione in azienda. Collaboriamo in particolar modo con il team di ricerca e sviluppo al fine di assicurare che i progetti relativi ai sistemi medicali e alle soluzioni software integrino fin dall’inizio valutazioni di rischio e di compliance, con specifica attenzione al rispetto delle norme sulla protezione dei dati».
Parlando con i nostri intervistati, abbiamo capito che sono principalmente quattro le aree di attività che tengono impegnati i general counsel quando si tratta di AI Act:
- Monitoraggio normativo, per eventuali aggiornamenti della normativa e sue interpretazioni da parte delle autorità competenti;
- […]
