Case history Vendor Selection CIO & Innovation Analytics Cloud Computing Edge Computing Sostenibilità Industria 4.0 Intelligenza Artificiale Software TechTarget Resource Center

intelligenza artificiale

Regolamentazione dell’AI: cosa devono sapere oggi le imprese

Home Analytics Cognitive Computing
Indirizzo copiato

La crescente complessità giuridica cambia il modo in cui le imprese gestiscono e valorizzano i dati. Anna Cataleta (Osservatorio Cybersecurity & Data Protection PoliMi) evidenzia il ruolo di AI Act, Data Act e dei principi etici europei: «Le analisi dei dati diventano inutilizzabili se non sono sostenute da basi di liceità solide»

Pubblicato il 4 dic 2025
regolamentazione_dell_ai_zerouno

La discussione sulla regolamentazione dell’AI sta acquisendo una centralità crescente nel dibattito europeo, mentre le imprese tentano di valorizzare i propri dati in un quadro sempre più complesso.

Nel corso del convegno Data & Decision Intelligence: pilotare l’AI per usarla davvero!, organizzato dall’Osservatorio Big Data & Business Analytics del Politecnico di Milano, Anna Cataleta, Senior Advisor dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, ha ricostruito in modo dettagliato i passaggi critici che collegano la tutela dei diritti fondamentali, il ruolo del legislatore europeo e le responsabilità delle imprese che intendono investire in tecnologie data-driven. Le sue osservazioni mettono in evidenza come il valore dei dati dipenda dalla loro liceità, da un approccio multidisciplinare e da una comprensione profonda dei vincoli regolatori, che oggi condizionano l’intero ciclo di vita dei prodotti e dei servizi digitali.

La valorizzazione dei dati tra vincoli giuridici e responsabilità aziendale

Le implicazioni della regolamentazione dell’AI emergono già nel racconto iniziale di Cataleta, che ricorda un episodio risalente ai primi anni della sua carriera. L’azienda per cui lavorava, una società del settore telecomunicazioni, aveva investito in un’infrastruttura tecnologica progettata per aggregare dati, generare interrogazioni avanzate e abilitare attività di profilazione. L’obiettivo era avviare un percorso embrionale di valorizzazione del dato. Nonostante la capacità tecnologica, quelle attività non poterono essere realizzate perché i dati disponibili non erano stati raccolti con basi giuridiche adeguate. «Non la potevamo fare, perché i dati non erano raccolti in maniera tale da poter essere fruibili sotto il profilo della spendibilità commerciale e valoriale, perché mancavano le condizioni di liceità» spiega Cataleta, ricordando di essere stata incaricata di comunicarlo direttamente al vertice aziendale.

L’aneddoto mette in luce un primo punto centrale: la tecnologia non basta. La capacità di estrarre valore dai dati dipende prima di tutto dalla conformità delle modalità con cui quei dati sono raccolti, conservati e trattati. Le attività di analisi, profilazione o sviluppo di modelli predittivi diventano inutilizzabili se non sono sostenute da basi di liceità solide. È una considerazione che oggi assume un peso ancora maggiore, perché l’evoluzione delle normative europee rende più articolato il quadro regolatorio in cui operano le imprese.

Europa come ecosistema normativo: diritti fondamentali e limiti all’uso dell’AI

AI Act: tecnologia e principi etici

Cataleta sottolinea che per comprendere la regolamentazione dell’AI occorre partire dalla visione europea, caratterizzata da una forte attenzione alla tutela dei diritti fondamentali. «Siamo in Europa, siamo pieni di regolamenti e normative, e il valore sotteso a queste normative è la tutela dei diritti e delle libertà, che è sovraordinata» afferma, evidenziando come una prospettiva puramente economica non sia sufficiente per interpretare il percorso normativo europeo. La capacità di investimento deve essere letta alla luce di questi vincoli: senza una comprensione del quadro valoriale, anche la pianificazione industriale rischia di essere inefficace.

L’orientamento europeo emerge chiaramente nell’impostazione stessa dell’AI Act. Il regolamento non si limita a definire requisiti tecnici, ma parte da una serie di principi etici che delineano il perimetro di ciò che è considerato accettabile o non accettabile nell’adozione di sistemi di intelligenza artificiale. L’obiettivo non è solo gestire il rischio in termini probabilistici o legati alla gravità degli incidenti, ma evitare l’uso di strumenti ritenuti contrari ai diritti fondamentali. Secondo Cataleta, questa impostazione spiega perché il legislatore intervenga in maniera preventiva per impedire pratiche che, pur potenzialmente utili dal punto di vista operativo, possano determinare un impatto eccessivo sulle libertà individuali.

Dal presidio del dato alla valorizzazione: il ruolo del Data Act

La stessa logica ispira anche il Data Act, richiamo ricorrente nell’intervento. Cataleta osserva che molte aziende non sono pienamente consapevoli dei nuovi concetti introdotti, come i data space, i ruoli di data holder e data user o le condizioni contrattuali che regolano la condivisione dei dati. Mancanze che possono ostacolare la capacità di partecipare in modo efficace ai nuovi ecosistemi di scambio dei dati previsti a livello europeo. L’evoluzione normativa non mira solo al presidio della privacy, ma anche a rendere possibile una valorizzazione più ampia dei dati attraverso modelli di condivisione strutturati e controllati, che richiedono però un alto livello di conformità e conoscenza regolatoria.

Data Act: una opportunità per le imprese italiane

La complessità del dato generato da prodotti e servizi

“Fare ordine in casa” per distinguere ciò che può essere riutilizzato

Cataleta evidenzia come oggi ogni prodotto connesso generi dati e come i servizi stessi siano diventati fonti costanti di informazione. Questo porta alla necessità di distinguere ciò che può essere valorizzato da ciò che deve essere trattato con cautela. «Fare ordine sui dati che si hanno a casa per poter capire quelli che sono valorizzabili, quelli che sono condivisibili» diventa quindi un passaggio essenziale. Il punto non è solo la raccolta lecita, ma anche la possibilità di utilizzo coerente rispetto al rapporto iniziale con gli utenti. La sostenibilità giuridica del riutilizzo è un elemento che può determinare il vero valore dei dataset aziendali, indipendentemente dalla loro dimensione o eterogeneità.

«Bisogna fare ordine sui dati in casa per capire quali sono valorizzabili e quali condivisibili».
Anna Cataleta, Senior Advisor dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano

L’importanza di riconoscere i ruoli nel ciclo di vita dell’AI

Un altro passaggio che incide direttamente sulla regolamentazione dell’AI riguarda la comprensione dei ruoli nel ciclo di vita dei sistemi. Cataleta richiama l’attenzione sul fatto che, nell’AI, il fornitore può cambiare finalità anche in fasi successive, modificando l’uso dei dati o la logica del modello. Ciò richiede una piena consapevolezza sia degli obblighi in capo a chi fornisce sistemi di intelligenza artificiale, sia delle responsabilità degli utilizzatori. La definizione del ruolo – fornitore, distributore, utente – condiziona infatti l’insieme dei requisiti di conformità da rispettare e la gestione degli aspetti di rischio. La mancata comprensione di queste variabili può tradursi in vulnerabilità legali e operative.

Perché la regolamentazione richiede team multidisciplinari

Cataleta insiste più volte sulla necessità di un approccio multidisciplinare. Nessuna organizzazione, a suo avviso, può affrontare i temi legati ai dati e all’AI senza un confronto strutturato tra competenze legali, tecniche, strategiche e organizzative. «Non possiamo pensare di superare questi ostacoli se non con team multidisciplinari» afferma, collegando questa esigenza alla necessità di costruire infrastrutture solide, che tengano insieme il modo in cui i dati vengono prodotti, trattati, governati e valorizzati. La convergenza di competenze è quindi una condizione abilitante, non un elemento accessorio o un aspetto organizzativo secondario.

Questa multidisciplinarità passa anche attraverso un’opera di literacy, che secondo Cataleta deve riguardare tanto il significato dei vincoli regolatori quanto la capacità di interpretare correttamente le finalità dei dati e i rischi connessi. La comprensione dei «grossi covenants della regolamentazione» è ciò che permette alle imprese di sviluppare modelli di governance robusti e processi coerenti con la legge, riducendo il rischio di errori che potrebbero compromettere non solo la conformità, ma anche la possibilità di sfruttare i dati in modo strategico.

Compliance, strategia, processo

L’intervento si conclude con un richiamo alla necessità di integrare compliance, strategia e processo. Cataleta sottolinea che la realizzazione di modelli di governance e l’implementazione dei processi non possono essere disgiunte dalla strategia aziendale. Non si tratta di interventi a valle, ma di un’impostazione strutturale che deve guidare la progettazione stessa delle architetture dati. La regolamentazione dell’AI non è un ostacolo esterno, ma un elemento che incide direttamente sulla costruzione di sistemi, processi e responsabilità interne. È una linea di lettura che emerge con coerenza da ogni passaggio della sua analisi, radicata nella necessità di tutelare i diritti e, allo stesso tempo, permettere la valorizzazione del dato attraverso modelli solidi e sostenibili.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Mattia Lanzarone
Appassionato di videogiochi, musica e cultura digitale, ho sempre vissuto la tecnologia prima di tutto come spazio di scoperta e immaginazione. Dopo la laurea in Scienze Umanistiche per la Comunicazione all’Università degli Studi di Milano e un master in Editoria e Produzione Musicale e Audiovisiva alla Scuola di Comunicazione IULM, mi sono dedicato alla creazione di contenuti e alla definizione del linguaggio di progetti innovativi. Ho lavorato su tone of voice e brand book per esperienze tecnologiche come Futura by Plenitude, affiancando brand e istituzioni nella narrazione di percorsi immersivi e digitali

Leggi anche:

Aziende

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

    Aruba Point of View
  • Cloud repatriation

  • SPONSORED STORY

    Cloud repatriation, il volto maturo del cloud: perché oggi vince l’approccio workload-first

    01 Dic 2025

    Condividi
  • cyber resilience

  • Analisi

    Cyber Resilience: come sopravvivere (e ripartire) nell’era dell’attacco permanente

    03 Giu 2025

    Condividi
  • Intel Vpro

  • SPONSORED STORY

    Sicurezza avanzata con Intel vPro

    15 Gen 2025

    Condividi
  • Shutterstock_2501108603

  • analisi

    Il Wi-Fi 7 entra in scena: nuove prospettive per le reti aziendali

    12 Dic 2024

    di Roberta Fiorucci

    Condividi