Molte organizzazioni continuano a leggere il Regolamento (UE) 2024/1689 sull’intelligenza artificiale come una normativa rivolta quasi esclusivamente ai grandi player tecnologici. In realtà, l’AI Act si applica lungo l’intera filiera: a chi sviluppa sistemi di IA, ma anche a chi li integra nei propri prodotti, li distribuisce sul mercato o li utilizza nei processi aziendali, secondo una logica fondata sul rischio e sulla tutela dei diritti fondamentali.

L’equivoco più diffuso è ritenere che l’uso “ordinario” di strumenti di IA in azienda sia giuridicamente neutro. Non è così: ogni impresa è chiamata a qualificare il sistema impiegato, verificando se rientri tra le pratiche vietate, tra i sistemi ad alto rischio o tra quelli soggetti a specifici obblighi di trasparenza, con impatti diretti su governance interna, contrattualistica con i fornitori, procedure di controllo e allocazione delle responsabilità.

Per le aziende, la questione non è “se” utilizzare l’intelligenza artificiale, ma “come” presidiare giuridicamente il suo impiego. Ciò implica mappare gli utilizzi effettivi, comprendere il ruolo assunto nella catena tecnologica (fornitore, distributore, deployer), verificare obblighi informativi e di supervisione umana e coordinare l’AI Act con GDPR, cybersicurezza e controlli interni. Nei prossimi anni, il grado di maturità organizzativa si misurerà proprio sulla capacità di integrare questi piani regolatori in un sistema coerente di governance dell’IA.