Cosa dovrebbe sapere ogni board sull'AI Act nel 2026

Cosa dovrebbe sapere ogni board sull'AI Act nel 2026

L'AI Act europeo è in vigore dal 1° agosto 2024. Le sue obbligazioni si dispiegano per fasi fino al 2028, con il nucleo più rilevante per le imprese che diventa esigibile nel 2026 e nel 2027. La maggior parte dei consigli di amministrazione non ha ancora tradotto questo calendario in decisioni concrete di governance. Questo divario inizia a configurarsi come un rischio gestibile, non come un'opportunità di attesa.

La ragione per cui questo tema appartiene all'agenda del board, e non solo all'ufficio legale o alla funzione IT, è strutturale. L'AI Act introduce obblighi che richiedono accountability organizzativa reale: supervisione sui sistemi classificati ad alto rischio, strutture di controllo umano operative, documentazione tecnica che deve reggere a un'ispezione dell'autorità di vigilanza. Delegare verso il basso senza costruire una capacità di oversight al vertice è esattamente il tipo di risposta che il regolatore ha anticipato e che le linee guida in corso di sviluppo tenderanno a rendere più difficile da sostenere.

L'architettura del rischio che il board deve conoscere

Il regolamento organizza i sistemi AI in quattro livelli. I sistemi a rischio inaccettabile sono vietati: sorveglianza biometrica in tempo reale in spazi pubblici, sistemi di social scoring, AI progettata per sfruttare vulnerabilità psicologiche. Per questi, il divieto è applicabile dal febbraio 2025. I sistemi ad alto rischio affrontano il perimetro normativo più complesso, con obblighi articolati in materia di valutazione di conformità, gestione del rischio, governance dei dati, documentazione tecnica e supervisione umana. I sistemi a rischio limitato sono soggetti a obblighi di trasparenza. I sistemi a rischio minimo operano senza vincoli specifici.

L'implicazione pratica è immediata: ogni sistema AI in uso nell'organizzazione, compresi quelli operati da fornitori esterni e quelli incorporati in software di terze parti, deve essere mappato rispetto a questa tassonomia. Ma va detto con precisione: la classificazione ad alto rischio non è automatica. L'Allegato III del regolamento identifica specifici ambiti d'uso, e la classificazione richiede sempre una valutazione del caso concreto, verificando finalità, contesto e possibili eccezioni previste dal testo. Trattare ogni uso dell'AI in HR o nel credito come automaticamente high-risk sarebbe un errore; non mapparlo affatto sarebbe un rischio maggiore.

Cosa significa concretamente l'alto rischio

Per i sistemi classificati ad alto rischio, il regolamento prevede obblighi che si traducono in responsabilità di governance precise. Le valutazioni di conformità devono essere condotte prima del deployment e aggiornate in caso di modifiche sostanziali. I sistemi di gestione del rischio devono essere mantenuti per tutto il ciclo di vita dell'applicazione AI. Gli standard di governance dei dati devono garantire che i dati di addestramento siano pertinenti, rappresentativi e monitorati per distorsioni. La documentazione tecnica deve essere disponibile per le autorità di vigilanza nazionali su richiesta. I meccanismi di supervisione umana devono essere integrati nel design del sistema, non aggiunti come formalità.

Ogni elemento di questo elenco implica una catena di accountability che sale fino al vertice. Chi risponde quando un sistema ad alto rischio produce un esito discriminatorio in un processo di selezione? Chi autorizza la valutazione di conformità? Chi verifica che i meccanismi di supervisione umana siano operativi nella pratica? Queste domande non trovano risposta adeguata in una funzione di compliance che opera senza mandato esplicito del board.

Il calendario aggiornato: cosa cambia nel 2026, 2027 e 2028

Il timeline dell'AI Act ha subito un aggiornamento rilevante rispetto al testo originario. Il calendario vigente è il seguente. Da febbraio 2025: applicabili i divieti per i sistemi a rischio inaccettabile e gli obblighi di alfabetizzazione AI per provider e deployer. Da agosto 2025: in vigore le norme sui modelli AI di uso generale. Da agosto 2026: applicabilità generale del quadro normativo, inclusi gli obblighi per i sistemi ad alto rischio nella maggior parte dei settori. Da dicembre 2027: obblighi per diversi sistemi ad alto rischio, nella formulazione prevista dall'accordo politico sulla semplificazione attualmente in corso di finalizzazione. Da agosto 2028: obblighi per i sistemi integrati in prodotti fisici regolamentati. Il quadro è in evoluzione: la Commissione sta sviluppando linee guida, codici di pratica e strumenti di supporto alla compliance che modificheranno progressivamente l'interpretazione operativa delle norme. Il tema non è statico, e attendere la versione definitiva prima di agire è una strategia ad alto rischio.

Il profilo sanzionatorio

Le sanzioni previste dall'AI Act sono stratificate per gravità. Per le violazioni più gravi, incluso l'uso di sistemi vietati, il massimale è 35 milioni di euro o il 7% del fatturato annuo mondiale, se superiore. Per le violazioni degli obblighi applicabili a provider e deployer di sistemi ad alto rischio, il massimale scende a 15 milioni di euro o il 3% del fatturato. Per la fornitura di informazioni errate alle autorità, la soglia è 7,5 milioni di euro o l'1% del fatturato. Soglie inferiori si applicano alle PMI. Questa stratificazione è rilevante per il board perché il rischio economico non è uniforme: dipende dal tipo di infrazione, non dalla mera presenza di AI nell'organizzazione.

Il problema organizzativo che i board stanno evitando

La risposta prevalente nelle organizzazioni è stata assegnare la responsabilità dell'AI Act a una funzione esistente e trattarlo come un adempimento. Questa postura è comprensibile, ma sottostima la natura del problema.

La governance dell'AI non è una funzione. È una capacità che deve essere distribuita nell'organizzazione e coordinata al vertice. Detto in termini operativi, i board più esposti sono quelli in cui nessun membro o comitato ha responsabilità esplicita sul rischio AI, dove la reportistica esecutiva sui sistemi AI in uso non è strutturata, e dove la mappatura dei sistemi non è mai stata avviata formalmente. Il regolamento non richiede che i consiglieri siano ingegneri. Richiede che siano in grado di porre le domande giuste, comprendere le risposte, e rendere esplicite le strutture di accountability.

Tre domande che ogni board dovrebbe saper rispondere oggi

Il punto di partenza non richiede competenza tecnica. Richiede la disciplina di porre le domande corrette e pretendere risposte verificabili. L'organizzazione ha condotto un inventario completo dei sistemi AI in uso, inclusi quelli operati da fornitori e incorporati in software di terze parti? Ciascun sistema è stato valutato rispetto ai criteri di classificazione del rischio dell'AI Act, con documentazione del ragionamento? Le strutture di accountability per i sistemi che risultano potenzialmente ad alto rischio sono esplicite, nominate e operativamente attive?

Se la risposta a una qualsiasi di queste domande è incerta, il prossimo punto all'ordine del giorno è definito.

L'AI Act è uno strumento di governance tanto quanto un atto normativo. I board che colgono questa distinzione per primi si troveranno meglio posizionati, sia sul piano della compliance sia su quello più ampio della gestione di organizzazioni in cui l'AI è diventata strutturalmente integrata nelle decisioni che contano.

Silvio Fontaneto è Strategic Advisor e Executive Search specialist in Digital, Tech e AI. Autore di "Stop Fearing AI" e della trilogia "The Vector". Da oltre 35 anni supporta organizzazioni e leader nella trasformazione tecnologica.

Esplora il Knowledge Hub completo: www.silviofontaneto.com 📬 Iscriviti alla newsletter "AI Impact on Business" per ricevere analisi settimanali: LinkedIn Newsletter Approfondisci: www.silviofontaneto.com/articles (filtra: AI Strategy)

#AIGovernance #AIAct #BoardGovernance #AIStrategy #BeaumontGroup #SilvioFontaneto