Quali regole rischia di infrangere chi lavora con l’Intelligenza Artificiale

L’Intelligenza Artificiale (AI) non è più soltanto una tecnologia futuristica o un’opzione strategica per pochi settori innovativi: è diventata parte integrante delle filiere produttive, delle pratiche aziendali e perfino del funzionamento quotidiano di molte imprese. Con essa, però, si affacciano nuove responsabilità e obblighi per chi lavora o fa impresa.

Come chiarito da Confindustria, in un report sull’Intelligenza Artificiale pubblicato il 19 giugno 2025, l’utilizzo dell’AI è ormai indissolubilmente legato a un impianto normativo complesso, evolutivo e, soprattutto, pieno di insidie per chi non è pronto.

Come si è evoluta la normativa giuridica sull’Intelligenza Artificiale

Il cambiamento introdotto dall’AI si inserisce in un processo di trasformazione radicale delle modalità di produzione e comunicazione. La digitalizzazione ha consentito alle imprese di accedere più velocemente ai dati, ottimizzare processi, migliorare prodotti e servizi. Ma ha anche reso evidente l’emergere di nuovi rischi: la manipolazione dei dati, il cybercrime, la sorveglianza automatizzata, fino agli interrogativi etici sull’uso stesso delle macchine intelligenti nei luoghi di lavoro.

Questi fenomeni pongono nuove sfide per il diritto. Come osserva Confindustria, anche la concezione stessa della norma giuridica si sta evolvendo, richiamando il principio di adattabilità. Cioè, in un mondo in cui la tecnologia cambia più velocemente della legislazione, il legislatore deve inseguire — o anticipare — le trasformazioni per garantire tutela, certezza e competitività.

Le prime regole arrivano dall’Ue

Uno degli aspetti centrali evidenziati dal report è il cosiddetto Brussels Effect: la capacità dell’Unione Europea di influenzare il diritto internazionale attraverso la proiezione extra-territoriale delle proprie norme. Come già avvenuto con il GDPR, anche nel caso dell’Intelligenza Artificiale l’Ue punta a porsi come riferimento normativo globale. L’AI Act (il Regolamento UE 2024/1689) è il più recente esempio di questa ambizione regolatoria.

L’obiettivo non è solo garantire sicurezza e trasparenza, ma anche imporre standard europei alle aziende che vogliono operare nel mercato unico, a prescindere dalla loro nazionalità. Questo significa che anche un’impresa statunitense o asiatica, se vuole vendere prodotti o servizi basati sull’IA in Europa, deve rispettare regole comunitarie. Ma cosa succede alle imprese europee che non rispettano queste regole?

Cosa rischia chi lavora con l’AI

L’AI Act prevede una struttura regolatoria articolata e stringente, che coinvolge non solo i produttori di tecnologie di Intelligenza Artificiale, ma anche chi le utilizza. In particolare, il deployer — ossia l’impresa o l’ente che integra sistemi di AI all’interno della propria organizzazione — è chiamato a farsi carico di obblighi specifici e responsabilità concrete.

Chi adotta un sistema di AI ad alto rischio (per esempio, nel reclutamento del personale, nella gestione delle risorse umane, nel controllo di qualità automatizzato) deve:

• valutare i rischi connessi all’uso del sistema, in relazione alla sicurezza, ai diritti fondamentali e alla privacy;
• formare adeguatamente i lavoratori sul funzionamento della tecnologia;
• garantire la trasparenza verso i dipendenti soggetti a sistemi automatizzati;
• monitorare costantemente il comportamento della macchina, mantenendo un intervento umano attivo e consapevole;
• verificare la qualità dei dati di input, per evitare bias, discriminazioni o errori sistemici;
• conservare i log (i registri di utilizzo del sistema) per almeno sei mesi;
• effettuare una valutazione d’impatto sui diritti fondamentali, quando previsto, per i lavoratori.

Il mancato rispetto di queste prescrizioni può comportare pesanti sanzioni, ma soprattutto espone l’impresa a responsabilità legali in caso di danni a dipendenti, clienti o terzi. Non si tratta solo di un rischio giuridico, ma anche reputazionale e finanziario.

Il quadro normativo europeo sull’IA non si esaurisce nell’AI Act. A esso si affiancano numerose altre normative: dal GDPR sulla protezione dei dati personali al Cybersecurity Act, dal Digital Services Act (DSA) al Data Governance Act. Ogni sistema basato su AI può trovarsi coinvolto in più livelli regolatori, ciascuno dei quali richiede competenze specifiche.

Come osserva il report di Confindustria, questa molteplicità normativa genera un “sistema di garanzie procedurali collegate”, che rischia di essere ingestibile per le piccole e medie imprese, le quali spesso non hanno le risorse per affrontare l’adeguamento tecnologico, organizzativo e legale richiesto. Il rischio è quello di una “iper-regolamentazione”, che trasformi un’opportunità in un freno per l’innovazione.

Le sfide per le PMI

Le grandi imprese dispongono di team legali, esperti di compliance e data scientist. Le PMI, invece, spesso affrontano l’integrazione dell’AI con strumenti limitati. La mancanza di una governance strutturata e la scarsità di competenze interne rendono più difficile rispettare le nuove regole.

Pertanto, la vera sfida del futuro non sarà soltanto fare innovazione, ma governarla, nel rispetto dei diritti umani, della sicurezza e della sostenibilità economica. In altre parole, l’essere umano deve rimanere al centro del processo, non solo come destinatario passivo, ma come soggetto attivo capace di interpretare, correggere e migliorare il sistema.