Immagina di usare un software gestionale con un modulo AI che suggerisce automaticamente la classificazione dei contratti. Un documento finisce nella categoria sbagliata. Il contratto non viene rinnovato in tempo. Il cliente chiede i danni. La domanda che il tuo avvocato ti farà è: chi ha deciso? Tu o la macchina?
Se fino a ieri quella domanda era soprattutto teorica, da quest’anno non lo è più.
Il decreto attuativo italiano dell’AI Act europeo ha introdotto regole nuove sulla responsabilità per i danni causati dai sistemi di intelligenza artificiale. E la prima cosa da sapere è questa: aver acquistato uno strumento AI certificato non ti mette al riparo da nulla.
Cosa prevede il nuovo decreto italiano
Il decreto stabilisce due principi che ribaltano alcune aspettative comuni nelle aziende.
La conformità all’AI Act non esclude la responsabilità civile. Significa che acquistare un sistema AI che rispetta tutte le norme europee non copre i danni prodotti nel contesto specifico del tuo utilizzo. La conformità riguarda i requisiti di sicurezza e trasparenza del sistema nel momento in cui è stato messo sul mercato: quello che accade nella tua azienda, con i tuoi dati, sui tuoi processi, rimane responsabilità tua.
Si alleggerisce l’onere della prova per il danneggiato. Chi subisce un danno causato da un sistema AI ha più strumenti per dimostrare il nesso causale tra il danno e il sistema. Non deve più ricostruire da solo l’intera catena tecnica che ha portato all’errore. Questo abbassa la soglia di accesso alla tutela legale, e aumenta il rischio concreto per le aziende che usano AI in modo non strutturato.
La distinzione che conta: provider e deployer
L’AI Act distingue due figure principali. Il provider è chi sviluppa e immette sul mercato il sistema AI, tipicamente il fornitore di software. Il deployer è chi usa il sistema AI in un contesto operativo, cioè quasi sempre l’azienda cliente.
Per le PMI italiane che acquistano e usano strumenti AI, la figura di riferimento è quasi sempre quella del deployer. Ed è su questa figura che il decreto concentra parte delle responsabilità operative: l’azienda che usa un sistema AI ad alto rischio deve assicurarsi che sia usato secondo le istruzioni del provider, che i dati di input siano pertinenti, e che ci sia supervisione umana adeguata dove richiesta.
I gestionali aziendali, i software HR, i sistemi di scoring creditizio e le piattaforme di assistenza clienti includono già moduli AI che possono rientrare nella categoria ad alto rischio dell’AI Act. Non serve costruire un algoritmo proprietario per essere deployer di un sistema AI ad alto rischio.
Quali strumenti AI possono coinvolgere la tua azienda
Alcuni esempi di sistemi che le PMI usano già e che possono rientrare nelle categorie soggette a obblighi più stringenti:
- Strumenti di selezione del personale che analizzano CV o video-colloqui
- Software gestionali con moduli di scoring creditizio o analisi finanziaria automatizzata
- Sistemi di assistenza clienti che prendono decisioni automatiche su rimborsi, accesso ai servizi o priorità dei ticket
- Piattaforme di sicurezza informatica che classificano automaticamente gli incidenti e attivano risposte
In tutti questi casi, il deployer ha obblighi che vanno oltre la firma del contratto con il fornitore.
Cosa fare adesso
Valutare la propria posizione prima di una contestazione è possibile. Le azioni concrete sono tre.
Mappare gli strumenti AI in uso. La prima domanda è: quali software usiamo includono funzionalità AI che influenzano decisioni su persone o processi critici? Questa mappatura aiuta a identificare dove l’AI incide su decisioni che riguardano persone o dati sensibili.
Verificare la documentazione del provider. Per ogni strumento AI in categoria a rischio, il provider deve fornire documentazione tecnica, istruzioni d’uso e indicazioni sulla supervisione umana. Verificare che esista e che venga applicata nella pratica quotidiana.
Strutturare la supervisione umana. L’AI Act richiede che le decisioni rilevanti prese da sistemi AI siano soggette a controllo umano. Documentare chi supervisiona cosa, e in quale formato, può fare la differenza in caso di contestazione.
Scarica la presentazione PDF — Presentazione PDF — I punti chiave sulla responsabilità da AI in una sintesi visiva scaricabile.
Se non hai ancora verificato quali strumenti AI in uso nella tua azienda rientrano negli obblighi dell’AI Act, scrivici: i nostri tecnici possono aiutarti a capire dove sei esposto.