In Italia continuiamo a parlare di intelligenza artificiale come se fosse un fenomeno ancora confinato nel perimetro del futuro, una promessa tecnologica affascinante ma distante dalla quotidianità delle imprese, un tema da osservare con curiosità più che una trasformazione già pienamente inserita nei processi economici e produttivi del presente. Eppure, mentre il dibattito pubblico resta spesso fermo tra entusiasmi generici e timori indistinti, il cambiamento ha già preso forma concreta, non soltanto sul piano dell’innovazione tecnologica, ma anche su quello normativo, organizzativo e culturale, imponendo a imprese, professionisti e istituzioni una riflessione molto più urgente di quanto si sia portati a credere.
L’Unione Europea, scegliendo di non restare spettatrice nella competizione globale sull’intelligenza artificiale dominata da grandi player americani e asiatici, ha infatti approvato l’AI Act, il primo regolamento organico al mondo interamente dedicato all’IA, entrato ufficialmente in vigore il 1° agosto 2024. Si tratta di un passaggio che, per portata simbolica e conseguenze pratiche, ricorda da vicino ciò che il General Data Protection Regulation GDPR ha rappresentato nel campo della privacy: l’idea che l’Europa possa esercitare leadership non soltanto attraverso la produzione tecnologica, ma attraverso la definizione di standard, regole e principi capaci di orientare il mercato.
Molti osservatori, e con loro numerose aziende italiane, hanno inizialmente accolto l’AI Act come uno dei tanti annunci comunitari destinati a perdersi nei tempi lunghi dell’attuazione, immaginando che tra l’approvazione del testo e gli effetti reali sarebbe trascorso un periodo sufficientemente ampio da consentire rinvii, attese o ulteriori chiarimenti. In realtà la natura stessa dello strumento normativo smentisce questa lettura. L’AI Act è un regolamento europeo e, in quanto tale, è direttamente applicabile negli Stati membri, senza necessità di recepimento parlamentare. Questo significa, in termini molto concreti, che non stiamo parlando di una legge futura, ma di una disciplina già presente nell’ordinamento italiano e già potenzialmente rilevante per chi sviluppa, commercializza o utilizza sistemi di intelligenza artificiale.
Scopri il nuovo numero: “L’economia dell’attenzione”
Viviamo in un ecosistema in cui tutto compete per un’unica risorsa realmente scarsa: non il tempo, non il denaro, ma la nostra attenzione.
Notifiche, feed, contenuti generati dall’AI, breaking news, reel, newsletter, podcast, advertising e messaggi istantanei si contendono ogni giorno il nostro spazio mentale, influenzando non solo i consumi mediali ma anche il modo in cui prendiamo le decisioni, lavoriamo e costruiamo relazioni gli altri e con brand.
Successivamente il legislatore nazionale è intervenuto con la Legge 132/2025, il cui compito principale non è stato quello di “attivare” il regolamento europeo, già efficace per sua natura, bensì di organizzare il quadro interno, individuando le autorità competenti, coordinando i poteri di vigilanza e introducendo alcune disposizioni specifiche, comprese norme relative ai deepfake e agli utilizzi fraudolenti o illeciti dell’IA. Si tratta di un passaggio importante, ma che non modifica il dato essenziale: la cornice normativa europea è già operativa e richiede alle organizzazioni un cambio di mentalità immediato.
Il principio ispiratore dell’AI Act è, nella sua impostazione, tanto lineare quanto innovativo: non tutte le intelligenze artificiali producono lo stesso impatto e non tutti gli utilizzi generano il medesimo livello di rischio per persone, diritti fondamentali e sicurezza collettiva. Per questa ragione il regolamento adotta un approccio cosiddetto risk based, cioè graduato in base al rischio effettivo. Quanto più un sistema è capace di incidere su libertà individuali, opportunità economiche, accesso ai servizi o processi decisionali sensibili, tanto più elevati saranno gli obblighi richiesti a chi lo mette sul mercato o lo impiega.
Esistono, pertanto, applicazioni ritenute incompatibili con i valori europei e dunque vietate, come alcune forme di manipolazione comportamentale o sistemi di social scoring; vi sono poi sistemi definiti ad alto rischio, utilizzati in ambiti come sanità, selezione del personale, credito, istruzione, trasporti, giustizia o pubblica amministrazione, per i quali saranno necessari requisiti stringenti in termini di qualità dei dati, tracciabilità, documentazione tecnica, supervisione umana e sicurezza operativa. Accanto a queste categorie troviamo infine strumenti ormai entrati nella vita quotidiana di milioni di utenti, come chatbot, assistenti virtuali e generatori di contenuti, rispetto ai quali il principio cardine diventa quello della trasparenza: il cittadino dovrà sapere se sta interagendo con una macchina o se il contenuto che osserva è stato creato artificialmente.
Fin qui il quadro teorico.
Ma il punto che molte imprese italiane continuano a sottovalutare riguarda il fatto che il percorso di applicazione del regolamento è già iniziato e non appartiene più al terreno delle ipotesi. Dal 2 febbraio 2025, infatti, sono entrati in vigore i primi obblighi concreti, tra cui uno dei più strategici e, paradossalmente, meno discussi: quello relativo alla formazione sulle competenze AI. In altre parole, un’organizzazione che utilizza strumenti di intelligenza artificiale deve assicurarsi che le persone coinvolte possiedano competenze adeguate per impiegarli in modo corretto, consapevole e coerente con le responsabilità del ruolo ricoperto.
Non si tratta di un obbligo confinato ai tecnici, agli sviluppatori o ai reparti IT. Riguarda chi opera nel marketing, nelle risorse umane, nel customer care, nella comunicazione, nella gestione documentale, nell’analisi dati e, più in generale, in qualunque funzione aziendale in cui l’IA entri nei processi quotidiani. È un passaggio culturale decisivo, perché sposta l’intelligenza artificiale da oggetto sperimentale utilizzato da pochi specialisti a competenza trasversale che coinvolge l’intera organizzazione.
È proprio qui che molte aziende rischiano oggi di commettere l’errore più comune: confondere l’adozione di uno strumento con la costruzione di una strategia. Acquistare una licenza di Microsoft Copilot, integrare Google Gemini nei flussi di lavoro o sperimentare Anthropic Claude non basta per dichiararsi innovativi. L’uso dell’IA implica responsabilità precise: occorre sapere dove finiscono i dati inseriti nei prompt, quali garanzie offre il provider, se esistono policy interne chiare, se il personale è stato formato e se permane sempre un controllo umano sulle decisioni più rilevanti. Ciò che fino a ieri appariva opzionale, oggi diventa parte integrante della governance aziendale.
Nel marketing gli effetti saranno particolarmente evidenti.
L’intelligenza artificiale è già utilizzata per segmentare pubblici, personalizzare campagne, produrre contenuti, automatizzare il customer care e prevedere comportamenti d’acquisto. L’AI Act non fermerà queste pratiche, ma imporrà maggiore chiarezza e responsabilità. Se un consumatore interagisce con un assistente virtuale dovrà esserne informato; se una campagna utilizza deepfake o contenuti sintetici potrebbero rendersi necessarie etichettature esplicite. In questo scenario, la fiducia non sarà più soltanto un valore reputazionale, ma un asset competitivo misurabile.
Anche nel mondo del lavoro il regolamento avrà conseguenze significative. Un’impresa che utilizza algoritmi per filtrare curriculum, valutare performance o orientare decisioni interne dovrà dimostrare equità, comprensibilità e supervisione umana. Non basterà più affidarsi al software perché “funziona”: sarà necessario dimostrare che funziona nel rispetto dei diritti e delle garanzie previste.
Resta inoltre da chiarire un equivoco molto diffuso: l’AI Act non sostituisce il GDPR. Le due normative convivono e si completano reciprocamente. Il GDPR continua a regolare il trattamento dei dati personali, mentre l’AI Act disciplina sviluppo e utilizzo dei sistemi di intelligenza artificiale. Se un’azienda inserisce dati personali in una piattaforma AI, è molto probabile che debba confrontarsi contemporaneamente con entrambe le discipline.
Per l’Italia, dunque, la questione non è soltanto giuridica.
È industriale, culturale e strategica. Siamo un Paese ricco di creatività, manifattura e piccole imprese, ma spesso prudente nell’adozione delle innovazioni digitali. L’AI Act può essere letto non come un freno, bensì come l’occasione per introdurre innovazione più solida, credibile e competitiva, capace di distinguersi in un mercato sempre più affollato da strumenti improvvisati e promesse facili.
Il rischio, semmai, è trasformare la compliance in mera burocrazia e lasciare indietro proprio quelle PMI che avrebbero più bisogno di innovare. Per evitarlo serviranno accompagnamento, formazione, incentivi e strumenti pratici. Perché la vera sfida non consiste soltanto nel rispettare una norma, ma nell’imparare a utilizzare l’intelligenza artificiale con metodo, visione e responsabilità.
In definitiva, l’AI Act non è soltanto una legge tecnica. È un messaggio politico ed economico molto chiaro: l’intelligenza artificiale non sarà terra di nessuno. Per l’Italia significa imparare a usarla non soltanto per fare di più, ma per fare meglio. E oggi la domanda decisiva non è più se adottare l’IA, ma se siamo davvero pronti a guidarla.