Negli ultimi mesi, soprattutto nel mondo delle PMI, si moltiplicano i casi di aziende che si confrontano con le implicazioni dell’AI Act. Il tema emerge con frequenza nei board e nelle riunioni direzionali, dove i C-level si interrogano sull’opportunità di adottare strumenti di intelligenza artificiale e sulle possibili conseguenze in termini di riservatezza dei dati.
È una riflessione legittima, ma rischia di essere parziale. Perché il punto non è più solo l’AI Act: il rischio, oggi, è sistemico e riguarda l’intera organizzazione.
Indice degli argomenti
Dalla conformità alla governance continua
L’AI Act introduce alcuni principi chiave: gestione continua del rischio, data governance, accountability, supervisione e sicurezza. Elementi che segnano un cambio di paradigma: la compliance non è più un’attività statica, né un traguardo da raggiungere una tantum. Diventa un processo continuo, che accompagna l’intero ciclo di vita dei sistemi di intelligenza artificiale.
Questo implica un’evoluzione anche organizzativa: le funzioni coinvolte devono ampliare il proprio perimetro e collaborare in modo strutturato. In assenza di coordinamento tra CIO, DPO e area legale, il rischio per l’integrità dei dati e delle informazioni aziendali può crescere rapidamente.
Se in passato bastava ottenere una certificazione e mantenerla con interventi limitati, oggi l’elevata velocità del cambiamento impone un adeguamento costante, strutturale e tempestivo.
Oltre una lettura “verticale” delle normative
È qui che si apre il vero spazio di approfondimento: la governance dell’AI non può essere interpretata esclusivamente attraverso l’AI Act. I requisiti introdotti – gestione del rischio, sicurezza, responsabilità – non sono isolati, ma ricorrono anche in altre normative.
Eppure, nella pratica, molte aziende continuano a limitarsi a una lettura verticale. La ragione è spesso organizzativa: chi si occupa di GDPR, AI Act e NIS2 opera in ambiti separati, con poco tempo e pochi strumenti per un confronto efficace.
Le conseguenze sono tutt’altro che marginali: decisioni incoerenti, rallentamenti operativi e una distribuzione poco chiara delle responsabilità.
Il triangolo regolatorio: GDPR, AI Act e NIS2
Le tre principali normative di riferimento rispondono a logiche diverse ma complementari:
- GDPR: tutela dei dati personali, approccio basato sul rischio, accountability
- AI Act: governance dei sistemi di intelligenza artificiale, classificazione del rischio, controllo lungo il lifecycle
- NIS2: sicurezza di reti e sistemi, gestione degli incidenti, sicurezza della supply chain
In realtà, questi tre ambiti sono strettamente interconnessi. Più che tre silos, rappresentano una struttura “a matrice”, dove ogni elemento influenza gli altri. Stiamo parlando di tre prospettive che se non curate portano allo stesso rischio sistemico
Un aspetto spesso sottovalutato riguarda la NIS2: pur non occupandosi direttamente di dati personali, regola l’infrastruttura su cui dati e algoritmi operano. Anche le aziende non soggette direttamente alla direttiva possono essere coinvolte indirettamente, ad esempio attraverso audit richiesti da clienti obbligati alla conformità.
Una relazione di dipendenza reciproca
Se si portano alle estreme conseguenze queste intersezioni, emergono alcuni punti fermi:
- l’AI Act richiede sistemi sicuri e robusti
- la sicurezza operativa è dominio della NIS2
- i dati trattati rientrano nel perimetro del GDPR
Ne deriva che la compliance AI, da sola, non può esistere. È necessaria un’integrazione con GDPR e NIS2.
Se il GDPR protegge il dato, l’AI Act governa le decisioni automatizzate e la NIS2 tutela il contesto tecnologico, separare questi ambiti significa costruire compliance parziali, incapaci di cogliere gli effetti trasversali tra normative.
Al contrario, un approccio integrato (che coinvolga CIO/CISO, DPO e funzione legale) consente di costruire una governance continua e coerente.
Il limite dell’organizzazione “a silos”
Il problema è che molte aziende continuano a strutturarsi in questo modo:
- DPO → GDPR
- IT Security → NIS2
- Innovation o Legal → AI Act
Una suddivisione che appare logica, ma che nella pratica si rivela artificiale e rischiosa.
Perché il sistema è unico, il rischio è unico e anche gli eventi – come un incidente legato all’AI – impattano contemporaneamente tutte le normative.
Nella pratica, le iniziative di compliance nascono spesso da esigenze contingenti: una richiesta di un cliente, un progetto interno, l’adozione di un nuovo strumento. La gestione viene quindi affidata al referente percepito come più vicino al tema, spesso l’IT.
Il risultato è che una funzione si trova a gestire ambiti che esulano dalle proprie competenze, aumentando il rischio di disallineamento.
Nelle organizzazioni più mature, invece, le richieste vengono portate a un tavolo congiunto, dove le diverse competenze contribuiscono a una valutazione integrata. I benefici sono evidenti: tempi decisionali più rapidi, maggiore qualità delle analisi, riduzione dei rischi e chiarezza nelle responsabilità.
Un caso concreto: il credit scoring basato su AI
Un esempio aiuta a chiarire la portata del problema.
In un sistema di credit scoring basato su intelligenza artificiale, un data breach rappresenta:
- una violazione del GDPR
- un possibile incidente rilevante per la NIS2
- un evento che può compromettere la conformità all’AI Act
La gestione dell’incidente richiede quindi un coordinamento immediato tra funzioni diverse. Anche perché i tempi e le modalità di notifica variano: 24 ore per la NIS2, 72 ore per il GDPR, con piattaforme di segnalazione distinte (il portale del garante e quello ACN sono diversi e non integrati tra di loro).
A questo si aggiunge la natura stessa dei sistemi AI, che possono amplificare l’impatto dell’incidente in termini di esposizione dei dati.
Solo un approccio integrato, supportato da procedure condivise e da un comitato di compliance trasversale, consente di gestire correttamente situazioni di questo tipo.
Verso una compliance integrata
La conclusione? La governance non è più solo normativa, ma sistemica.
Non esistono più compliance separate. Esiste una sola compliance, integrata e progettata, che vive nell’intersezione tra normative diverse.
Nei prossimi anni, con il consolidarsi di AI Act e NIS2, la differenza tra le aziende sarà sempre più evidente. Quelle più mature adotteranno modelli di governance flessibili e documentati, capaci di adattarsi rapidamente ai cambiamenti.
Le altre si esporranno a rischi crescenti, sia in termini operativi sia economici.
Il primo passo, soprattutto per le PMI, è culturale: superare l’idea che certi rischi “non riguardino la propria realtà” e iniziare a costruire un approccio integrato alla compliance.
Quando le competenze interne non sono sufficienti, il ricorso a modelli di fractional management – CIO, DPO e legal – può rappresentare una soluzione efficace per colmare il gap senza compromettere la qualità della governance.
