Più di 50 gruppi industriali europei chiedono alla Commissione UE di fermare l’applicazione della legge sull’intelligenza artificiale in attesa che arrivino gli standard e la promessa semplificazione dell’impianto normativo sul digitale. Ma intanto, dal 2 agosto, sono in vigore nuove disposizioni ed ecco che cosa implicano per i CIO di tutte le imprese: attenzione massima ai contratti di fornitura e licenza.
Prosegue il cammino dell’AI Act europeo verso la piena attuazione, con nuove disposizioni cui i CIO dovranno prestare attenzione. Dal 2 agosto, infatti, sono in vigore obblighi specifici per le aziende che sviluppano o utilizzano modelli di General Purpose AI (GPAI), come i Large Language Models (LLM) e, quindi, come ChatGPT. Non sono soltanto obblighi per i colossi che sviluppano e vendono soluzioni di intelligenza artificiale, ma, a cascata, anche per le imprese non IT, grandi o piccole, se implementano questi modelli e li usano nei prodotti interni o verso terzi.
L’AI Act, o Regolamento UE 2024/1689, è il quadro normativo europeo sull’intelligenza artificiale. Dal 2 febbraio sono già scattati gli obblighi di eliminazione delle pratiche vietate (art. 5) e di formazione e aggiornamento delle competenze interne sull’intelligenza artificiale, la cosiddetta AI Literacy o alfabetizzazione in materia di AI (art. 4) – una disposizione che ha già messo al lavoro i CIO, consapevoli che non si può portare questa tecnologia in azienda senza un’adeguata preparazione del personale.
L’entrata in vigore graduale della legge, fino all’attuazione completa ad agosto del 2026, è stata prevista proprio per la sua complessità. Ciò non ha fermato numerose imprese italiane ed europee dal chiedere alla Commissione UE un rinvio dell’entrata in vigore, una dilatazione dei tempi ritenuta necessaria per preservare la capacità delle imprese di fare innovazione.
Intanto, però, si va avanti e “La scadenza del 2 agosto”, come tiene a precisare Alessandro Del Ninno, Partner di FIVERS Studio Legale e Tributario, “rappresenta un passaggio operativo fondamentale per chi lavora con o impiega l’intelligenza artificiale”.
I nuovi obblighi scattati ad agosto
Gli obblighi dell’AI Act applicabili dal 2 agosto hanno, un impatto su tutta la filiera dell’intelligenza artificiale: fornitori di modelli, utilizzatori (deployer) e fornitori a valle (software house, integratori, aziende tech). In particolare, evidenzia Del Ninno, si applicano “le norme in materia di trasparenza, fondamentali per tutti i sistemi di AI che interagiscono con le persone o generano contenuti digitali, anche se non classificati come ad alto rischio”.
Del Ninno porta alcuni esempi: un assistente virtuale integrato in un sito di e-commerce dovrà rendere chiaramente percepibile che l’utente sta interagendo con un sistema automatizzato, a meno che non sia evidente; una software house che genera video pubblicitari tramite AI dovrà adottare misure tecniche – come identificatori digitali, marcatori invisibili o soluzioni di tracciabilità nei file audio/video – per rendere riconoscibile l’origine artificiale dei contenuti prodotti o manipolati dalla tecnologia.
“In parallelo”, prosegue Del Ninno, “i fornitori di modelli di intelligenza artificiale per finalità generali (GPAI) – come GPT, il modello alla base del sistema ChatGPT – sono tenuti a redigere una documentazione tecnica completa, conforme all’Allegato XI dell’AI Act; a pubblicare un riepilogo dei dati di addestramento secondo il template pubblicato dalla Commissione UE; e ad adottare una policy sul rispetto del copyright, per dimostrare la liceità dell’utilizzo dei contenuti nell’addestramento e ridurre il rischio di output lesivi di diritti di terzi. I fornitori di GPAI già presenti sul mercato prima del 2 agosto 2025 potranno adeguarsi entro il 2 agosto 2027”.
La Commissione UE ha anche adottato un GPAI Code of Practice ad adesione volontaria e le Linee guida tecniche di attuazione per assistere i fornitori nell’applicazione degli obblighi documentali, di trasparenza e di sicurezza. Ma le norme applicabili dal 2 agosto 2025 non sono mera compliance.
“È necessaria una ristrutturazione dei rapporti tra fornitori di modelli, fornitori a valle che li adattano, rivendono o distribuiscono e le aziende che li utilizzano (deployer)”, afferma Del Ninno. “Ecco perché i contratti di fornitura, licenza, e così via dovranno riflettere in modo chiaro – mediante adeguamento delle relative clausole alla luce dell’AI Act – gli obblighi di documentazione tecnica e disclosure; le istruzioni per l’uso conforme; i profili di responsabilità; le policy di gestione del copyright; la gestione degli aggiornamenti; la corretta allocazione delle responsabilità lungo la filiera, eccetera”.
Che cosa devono fare i CIO oggi
Dal 2 agosto è entrata anche in funzione l’architettura di governance prevista dall’AI Act, comprendente l’AI Office (Ufficio europeo per l’AI, responsabile del monitoraggio e dell’applicazione delle normative) e le Autorità nazionali di vigilanza (designate da ciascuno Stato membro per garantire l’attuazione del regolamento). Da questo punto di vista l’Italia è un po’ in ritardo: “Si prevede che l’Autorità competente venga identificata con l’approvazione del Disegno di legge sull’intelligenza artificiale attualmente in discussione”, spiega l’Avv. Olindo Genovese, Studio legale Daverio&Florio. “Al momento il ddl designa, quali autorità nazionali per l’intelligenza artificiale, l’Agenzia per l’Italia digitale (AgID) e l’Agenzia per la cybersicurezza nazionale (ACN). Tuttavia, ad oggi nessuna Autorità è stata formalmente istituita. Inoltre, sul sito del Senato, il provvedimento risulta ‘collegato alla legge di Bilancio’; dunque, salvo novità, la sua approvazione dipenderà da quella di quest’ultima (31 dicembre di ciascun anno)”.
Ma intanto che cosa può – e forse dovrebbe – fare un’impresa italiana che utilizza o integra sistemi di intelligenza artificiale? Per Federica Giaquinta, giurista e Consigliere direttivo di Internet Society Italia, concretamente occorre: mappare i sistemi AI in uso, classificandoli in base al livello di rischio previsto dal Regolamento europeo; costruire una governance anche provvisoria, attribuendo ruoli e responsabilità; raccogliere la documentazione tecnica, etica e organizzativa, utile per garantire trasparenza, tracciabilità e accountability; definire policy di gestione del rischio, attivare strumenti di controllo interno e identificare eventuali fornitori esterni coinvolti nello sviluppo o nell’uso di AI; e investire nella formazione delle figure chiave, sia tecniche che manageriali.
“Tutto questo non è un semplice adempimento”, sottolinea Giaquinta, “ma la prima traduzione operativa del principio di legalità previsto dall’AI Act. Infatti le linee guida europee sui modelli GPAI e il Codice di Pratica, in vigore dal 2 agosto 2025, sono già oggi strumenti preziosi per orientare queste azioni: identificano chi è soggetto agli obblighi, in che misura e con quali parametri, inclusi gli impatti sistemici, i modelli open source e le condizioni per l’esenzione”.
Le aziende che chiedono più tempo per l’attuazione dell’AI Act
Tuttavia, per molte aziende europee le tappe dell’AI Act sono troppo ravvicinate. L’attuazione andrebbe rinviata di due anni, hanno chiesto a giugno nella lettera aperta “Stop the clock [in inglese]” 50 CEO e CTO di grandi gruppi industriali del continente, tra cui Airbus, Artemis, Axa, BNP Paribas, Carrefour, Deutsche Bank, Deutsche Telekom, Doctolib, EDF, EOn, Franke, Infineon, L’Orèal, Lufthansa, Philips, Saab, Sanofi, Sap, Siemens, Spotify, TotalEnergies, Volkswagen.
L’appello, inviato alla Commissione Europea, sostiene la necessità di un “approccio normativo più proporzionato e favorevole all’innovazione, con una semplificazione che andrà a vantaggio di PMI, start-up, scale-up e grandi aziende consolidate, che contribuiranno tutte a promuovere l’innovazione se potranno avvalersi di norme chiare e prevedibili”. Secondo i firmatari occorre rinviare l’applicazione della legge sull’intelligenza artificiale per attendere sia il “digital omnibus” – un pacchetto di semplificazione che mira a snellire le normative digitali dell’UE in quattro aree chiave: sicurezza informatica, dati, connettività e intelligenza artificiale – sia la stesura degli standard per l’AI, un lavoro che sta svolgendo l’organismo Cen Cenelec.
Questi “lavori in corso” rendono per ora il quadro incerto e la Commissione dovrebbe lasciare l’AI Act “in sospeso per consentire sia un’attuazione ragionevole da parte delle aziende, sia un’ulteriore semplificazione delle nuove norme”, si legge nella lettera.
“Abbiamo elaborato proposte dettagliate e siamo pronti a collaborare a stretto contatto con la Commissione”, prosegue l’appello. “In qualità di rappresentanti di aziende europee profondamente impegnate nello sviluppo di un’AI affidabile e incentrata sull’uomo – che deve, ovviamente, essere soggetta a una regolamentazione semplificata e pratica – siamo convinti che l’Europa abbia un’opportunità unica di guidare l’economia globale dell’AI. Tale opportunità si concretizzerà solo se agiamo ora con determinazione e spirito di collaborazione”.
La richiesta di rinvio delle scadenze dell’AI Act è stata ribadita a luglio da Anitec-Assinform, la principale associazione che in Italia rappresenta la filiera ICT e dell’high-tech digitale, dai produttori di software, sistemi e apparecchiature ai fornitori di soluzioni applicative e di reti, fino ai fornitori di servizi a valore aggiunto e contenuti connessi all’uso dell’ICT ed allo sviluppo dell’innovazione digitale.
Anche per la filiera italiana dell’ICT sarebbe opportuno attendere l’omnibus digitale e la sua azione di semplificazione – che dovrebbe arrivare a inizio 2026 e eliminare sovrapposizioni e ridondanze – sia la definizione degli standard da parte del Cen Cenelec.
Fonti ufficiose affermano che gli standard del Cen Cenelec – previsti dalla Commissione Europea per fine 2025 – non saranno pronti che fra un altro anno, se non addirittura nel 2027. Per un’impresa che deve seguire l’AI Act è indispensabile avere un riferimento chiaro su che cosa fare per essere conforme e, se l’AI Act entra in vigore ma non ci sono gli standard pronti, si creano disallineamenti e ostacoli all’innovazione e alla competitività.
I CIO sono i campioni europei dell’AI
I firmatari della lettera Stop the Clock fanno parte della European AI Champions Initiative, che unisce oltre 120 aziende rappresentanti quasi il 20% dell’economia europea. L’iniziativa fa leva su CTO e CIO europei come principali protagonisti della leadership europea dell’AI.
“Riteniamo che i CTO siano agenti del cambiamento, coloro che traducono le possibilità tecniche in ambizione strategica”, afferma l’associazione. “L’intelligenza artificiale non è solo una nuova tecnologia, ma un modo completamente nuovo di creare, misurare e catturare il valore e toccherà ogni parte di ogni impresa. L’Europa è già leader dell’AI, deve solo mettere insieme le sue forze: la prossima sfida e la nostra opportunità stanno nel coordinamento strategico”.
Isa Sonnenfeld, Direttrice della European AI Champions Initiative, sottolinea, infatti, che questa è “un’alleanza business-driven: una piattaforma per la collaborazione, l’innovazione e la generazione di un impatto reale. Il nostro focus principale è sulla collaborazione che permette alle aziende europee di estrarre valore dall’AI”.
Le imprese della European AI Champions Initiative sono convinte dei benefici che arriveranno integrando l’AI nella base industriale europea per far crescere “la produttività, la resilienza e la sovranità economica”. I progetti AI su cui sono impegnate queste aziende sono descritti anche nel documento “An Ambitious Agenda for AI [in inglese]”.
In Italia, secondo l’Osservatorio MECSPE sull’industria manifatturiera relativo al I quadrimestre 2025 realizzato da Senaf, sono il 73% gli imprenditori che hanno fiducia nell’impatto positivo dell’AI sull’industria. L’AI viene percepita come un acceleratore dell’innovazione e uno strumento capace di semplificare e velocizzare i processi produttivi. Il 40% delle imprese ha già avviato applicazioni in ambiti come la supervisione dei processi, l’assistenza clienti, la pianificazione o il controllo qualità, anche se solo una su quattro è riuscita finora a integrarla in modo continuativo.
Se le imprese usano l’AI devono stare attente all’adeguamento alle disposizioni dell’AI Act. In merito al “fermare l’orologio” sull’attuazione, infatti, Giaquinta chiarisce che non ci sarà una proroga formale: l’AI Act è già in vigore e i suoi termini di applicazione restano confermati. Ma, prosegue la giurista, “il periodo che ci separa dalla piena applicazione degli obblighi (giugno 2026 per i sistemi ad alto rischio) rappresenta un tempo prezioso e strategico. Non si tratta di una fase neutra o vuota, ma di una finestra operativa in cui le imprese possono costruire da subito una preparazione sostanziale, ponendo le basi per una compliance solida e credibile. Questo tempo – che qualcuno percepisce come una ‘sospensione’ – è in realtà il momento in cui si decide chi saprà ‘abitare con lungimiranza la transizione normativa’, cogliendone il potenziale anche in termini di vantaggio competitivo e reputazionale”.
Per ora, dunque, a meno di sorprese da parte della Commissione Europea, sarà questo il compito del CIO.
