Legge Ai e nuove regole. Cosa cambia per le Pmi, tra rischi e paradossi

L’Unione europea ha avviato recentemente approfondimenti formali su Grok, il sistema di Intelligenza Artificiale di Elon Musk integrato su X, per aver consentito la generazione e diffusione di immagini a sfondo sessuale, potenzialmente riconducibili a soggetti reali e a persone minorenni. La vicenda ha mostrato in modo netto cosa accade quando una tecnologia potente entra in produzione senza una catena di responsabilità chiaramente identificata.

Sebbene il caso Grok riguardi una piattaforma globale, sarebbe un errore considerarlo un’anomalia distante dal contesto del nostro Paese. La Legge italiana 132/2025, che disciplina le regole generali di utilizzo dell’Intelligenza Artificiale, all'articolo 1 pone espressamente tra i principi fondanti l’uso di un’Intelligenza Artificiale corretto, trasparente e responsabile, mentre l’articolo 3 ribadisce la necessità di una supervisione umana effettiva.

Il principio di trasparenza richiede che le persone che interagiscono con sistemi automatizzati sappiano quando e come tali sistemi incidono su decisioni, dati e risultati. Grok è un caso estremo di fallimento della catena di responsabilità, tuttavia proprio per questo rende visibile un problema che nei contesti aziendali potrà essere meno clamoroso, ma molto più frequente. La legge italiana estende tale principio sia a chi crea o gestisce modelli di Ai, sia a chi li utilizza in attività economiche o professionali, smettendo di essere solo un principio etico e diventando un obbligo giuridico ed esigibile, quindi potenzialmente conflittuale.

Dichiarare l’uso dell’AI diventa una responsabilità formale, con potenziali effetti su contratti, prezzi e contenziosi e prevedibili fragilità nel rapporto di fiducia tra le parti. Le forme della dichiarazione di utilizzo devono essere ancora definite in modo chiaro, ma è già manifesto che per un’impresa ciò cambia radicalmente il quadro. Tanto più in ragione del fatto che l’AI non viene sviluppata internamente, ma acquistata sotto forma di software as a service, Api, moduli integrati nei Crm e nei sistemi Hr, negli strumenti di marketing automation e nei diversi programmi adottati internamente. In questi casi, la tecnologia sottostante rischia dunque di essere opaca per definizione: modelli proprietari, dati di addestramento non accessibili, logiche decisionali non spiegabili in modo deterministico.

Il nodo è già evidente in diversi settori. Nel credito e nelle assicurazioni, sistemi di Ai sono utilizzati per valutare il rischio e determinare condizioni economiche. In caso di contestazione, l’azienda deve essere in grado di giustificare la decisione. Se però il modello è una “black box” acquistata da un fornitore esterno, la spiegazione si riduce spesso a una descrizione superficiale delle variabili utilizzate, non del processo decisionale reale. Nel settore Hr, algoritmi di screening dei curricula e valutazione delle performance promettono efficienza e riduzione dei bias, ma espongono l’azienda a rischi reputazionali e legali se una decisione non può essere spiegata in modo comprensibile a un candidato o a un dipendente. Anche in questo caso, la responsabilità finale resta in capo all’impresa, non al fornitore del software. In sanità e nei servizi diagnostici, l’uso di sistemi di supporto alle decisioni cliniche basati su AI solleva interrogativi ancora più delicati. Il medico o la struttura sanitaria sono chiamati a supervisionare il risultato, ma spesso non hanno accesso alla logica con cui l’algoritmo ha prodotto una determinata indicazione. La supervisione umana richiesta dalla legge rischia così di diventare formale, non sostanziale. E’ un’ impasse che l’AI Act europeo ha tentato di affrontare con le cosiddette “attività ad alto rischio” e  le relative difficoltà a inquadrarle compiutamente.

La trasparenza è un valore giusto: mettere in condizione di comprendere come e quanto l’IA influisca su processi decisionali e risultati è essenziale per la fiducia e per i diritti fondamentali. Ma se diventa un fattore di rischio o un motivo sistematico di contestazione, si produce un effetto paradossale: anziché promuovere fiducia, favorisce una cultura difensiva e introduce costi aggiuntivi e freni all’adozione avanzata dell’AI.

Al principio di trasparenza, la normativa accosta quello di spiegabilità per il quale un’impresa deve implementare procedure interne che comprendono la conservazione della documentazione dettagliata di processi, input e criteri di controllo umano, informative chiare e verificabili e rispetto dell'obbligo di supervisione umana sui risultati generati dall’AI. Per le PMI, dunque, in futuro occorrerà tenere in considerazione costi strutturali e di comunicazione al pubblico. Domani molte imprese dovranno chiedersi: quanto è spiegabile questo sistema? Che livello di trasparenza contrattuale garantisce il fornitore? Chi risponde se un output generato da IA causa danni? È il professionista che ha dichiarato di aver usato uno strumento di IA, oppure il fornitore della tecnologia, o entrambi? E come è possibile attribuire responsabilità in una filiera contraddistinta dall’opacità dei processi di sviluppo dei sistemi? Senza risposta a queste domande, il rischio è di scaricare sull’impresa utilizzatrice una responsabilità che non è in grado di gestire.

Inizialmente i chatbot avevano alimentato l’idea che l’AI avrebbe democratizzato l’accesso a capacità avanzate, mettendo anche le PMI nelle condizioni di utilizzare strumenti prima riservati a grandi organizzazioni. In parte è stato certamente così: oggi una PMI può accedere a sistemi di analisi, sintesi e supporto decisionale impensabili fino a pochi anni fa. Tuttavia, la Legge italiana sull’AI rischia di ribaltare questo scenario sul piano della responsabilità. Le grandi piattaforme che forniscono questi servizi dispongono di strutture legali e documentazione tecnica tali da assorbire gli obblighi normativi. Le PMI, al contrario, acquistano soluzioni “chiavi in mano” e si trovano a rispondere verso clienti e utenti finali di sistemi di cui non controllano né la progettazione né le logiche decisionali. La trasparenza richiesta dalla legge rende visibile l’uso dell’AI, ma non riequilibra il potere negoziale lungo la filiera: l’impresa utilizzatrice diventa il punto di emersione del rischio, mentre il vendor resta spesso schermato dietro l'ambiguità tecnologica e contrattuale. Il risultato è un paradosso, la cui sostenibilità dipenderà in larga misura dai regolamenti attuativi.

Intanto da alcuni ordini professionali in Italia arrivano segnali importanti. L’Ordine professionale dei commercialisti ha già introdotto l’obbligo di trasparenza sull’uso dell’AI nel proprio codice deontologico. L’Ordine dei giornalisti ha emanato il nuovo codice deontologico che aggiorna le regole della professione anche alla luce di quelle sull’Ai. Tali movimenti indicano come i principi normativi stiano iniziando a tradursi in obblighi concreti, con potenziali conseguenze disciplinari e reputazionali.

In questo scenario, il vero rischio per le aziende è adottare l’AI senza tener conto che non è solo una tecnologia, ma una nuova forma di delega decisionale che richiede governance.

Infine, un ulteriore criticità riguarda il rapporto tra prezzo e valore della prestazione, che la legge contribuisce a rendere esplicito. Nel caso di uno studio legale chiamato a formulare un parere, ad esempio, l’uso di strumenti di AI può ridurre i tempi di ricerca, di analisi giurisprudenziale o la redazione del testo. La trasparenza imposta dalla norma rende però visibile questo passaggio e introduce una domanda: se l’AI ha accelerato il lavoro, il parere deve costare meno? Dal punto di vista del cliente, la dichiarazione di utilizzo dell’AI può diventare una leva per chiedere uno sconto o per mettere in discussione la parcella, presupponendo un minor impiego di lavoro umano. Dal punto di vista dello studio, il valore del parere resta invece legato alla responsabilità assunta, alla validazione finale, all’esperienza professionale e al rischio giuridico che continua a ricadere interamente sui professionisti. La legge, nel rendere trasparente l’uso dell’Ai, non interviene su questo conflitto di interpretazioni, ma si presta a creare un rischio di tipo economico e reputazionale: la trasparenza, anziché rafforzare il rapporto fiduciario, può diventare uno strumento di pressione sul prezzo, soprattutto nei settori in cui il valore della prestazione è storicamente legato a competenze intellettuali difficili da misurare.

In attesa che nei prossimi mesi la Legge italiana sia integrata con regolamenti più specifici, la domanda da porsi è come tradurre nella pratica la trasparenza richiesta dagli articoli di legge quando la tecnologia è complessa e il valore economico della prestazione è in gioco. La risposta, oggi, è ancora in larga parte aperta. Finché questa domanda resta aperta, la trasparenza resterà un principio dichiarato ma non ancora governato.