Francesco Facchini

Mese: Agosto 2025

  • L’AI ACT spiegato facile: una nuova cultura è in arrivo

    L’AI ACT spiegato facile: una nuova cultura è in arrivo

    Pensavo fosse una legge europea burocratica, soffocante e negativa. Su questo AI ACT mi sbagliavo di grosso.

    L’AI Act è potente e coraggioso. È anche lungimirante. Mi fa pensare di essere fortunato a vivere in Europa. Questo è particolarmente vero in questi periodi di cambiamenti così “violenti” nel mondo delle macchine.

    Questo testo legislativo è il primo regolamento europeo completo dedicato all’intelligenza artificiale: è la prima legge quadro al mondo. È entrato in vigore il 1° agosto 2024 e diventerà pienamente applicabile nei prossimi anni, con un calendario graduale. Molti l’hanno considerata una norma complessa. In realtà, dopo un’analisi più attenta, è una legge ben scritta, con un grande valore sociale e culturale. Non solo regola la tecnologia, ma aiuta i cittadini a convivere con l’IA costruendo fiducia.

    Che cos’è l’AI Act e chi riguarda

    Il regolamento si applica sia a chi sviluppa sistemi di intelligenza Chi deve rispettare l’AI Act

    In pratica, devono adeguarsi tutte le organizzazioni che sviluppano, distribuiscono o utilizzano sistemi di IA in contesto professionale. Rientrano quindi:

    • le grandi aziende tecnologiche che creano piattaforme e modelli;
    • le PMI che adottano l’IA nei propri processi produttivi e di servizio;
    • le pubbliche amministrazioni che usano algoritmi in settori sensibili come giustizia, sanità o welfare;
    • le istituzioni di ricerca e le università quando sviluppano soluzioni applicabili sul mercato;
    • le multinazionali fuori dall’UE che offrono servizi a utenti europei.

    L’AI Act stabilisce così un perimetro ampio. Chiunque usi l’intelligenza artificiale per interagire con cittadini o mercati europei è tenuto a rispettarne i principi e le regole.

    Il sistema dei rischi: 4 livelli chiave

    Il cuore dell’AI Act è la classificazione per rischio, che consente regole proporzionate:

    1. Rischio inaccettabile → pratiche vietate (es. social scoring di massa, manipolazione inconscia).
    2. Alto rischio → settori critici (sanità, giustizia, lavoro, istruzione, infrastrutture): requisiti stringenti, supervisione umana e valutazioni di impatto.
    3. Rischio limitatoobblighi di trasparenza (chatbot e deepfake devono dichiararsi come IA).
    4. Rischio minimo o nullo → usi quotidiani senza obblighi particolari.

    Questa impostazione ha un forte valore sociale: proteggere i cittadini senza soffocare l’innovazione.

    Obblighi per aziende e PA: documenti e controlli

    Per dimostrare conformità, le organizzazioni devono adottare un vero sistema di gestione dell’IA. Gli strumenti principali:

    • AI Policy con principi, ruoli e responsabilità.
    • Registro dei sistemi IA utilizzati e finalità associate.
    • Valutazioni dei rischi e, ove richiesto, analisi di impatto sui diritti fondamentali.
    • Tracciabilità e monitoraggio: log delle attività, registri degli incidenti, audit trail.
    • Procedure di supervisione umana per il corretto utilizzo.

    Non è burocrazia fine a sé stessa: sono prove di controllo, trasparenza e responsabilità.

    AIMS (ISO/IEC 42001): il sistema di gestione dell’IA

    L’Artificial Intelligence Management System (AIMS), definito dallo standard ISO/IEC 42001, introduce un ciclo di pianificazione, attuazione, verifica e miglioramento continuo (PDCA). L’AIMS:

    • integra l’IA nei processi aziendali esistenti;
    • struttura controlli e responsabilità;
    • facilita la dimostrazione della conformità all’AI Act.

    Formazione e AI literacy: un dovere per tutti

    L’AI Act rende centrale la formazione. Ogni lavoratore, dal management all’operativo, deve acquisire AI literacy:

    • cos’è l’intelligenza artificiale;
    • quali rischi e limiti comporta;
    • come usarla in modo sicuro e responsabile.

    Ruoli e responsabilità in azienda

    Per garantire la compliance, le organizzazioni dovranno nominare figure precise:

    • Responsabili della policy IA e della conformità.
    • Manager dell’AIMS (implementazione, monitoraggio, miglioramento).
    • Referenti per la sicurezza e la protezione dei dati.

    I lavoratori concorrono attivamente in diversi modi. Devono rispettare le policy. Non devono introdurre software non autorizzati. Devono segnalare anomalie. Inoltre, devono distinguere sempre l’uso professionale da quello personale degli strumenti IA.

    Perché l’AI Act è una buona legge

    Pur non essendo perfetto, l’AI Act introduce un approccio nuovo:

    • regole proporzionate basate sul rischio;
    • alfabetizzazione digitale come leva di fiducia;
    • responsabilità condivisa tra organizzazioni e persone.

    Più che punire, la legge educa. L’obiettivo è una società che non subisce la tecnologia, ma la comprende e la governa.

    Conclusione

    L’AI Act segna un passaggio storico: dall’entusiasmo incontrollato verso l’IA a una convivenza regolata, sicura e responsabile. Per aziende e PA la sfida è trasformare l’obbligo normativo in vantaggio competitivo e culturale.

    In definitiva, questa legge non è solo un quadro normativo. È un invito a introdurre una nuova cultura dell’intelligenza artificiale nelle organizzazioni. È una cultura che supporta le imprese, le istituzioni e i lavoratori. Li aiuta a costruire ogni giorno il loro futuro con maggiore consapevolezza, sicurezza e visione.

  • Che cos’è la shadow AI?

    Che cos’è la shadow AI?

    Shadow AI: come l’IA non gestita sta silenziosamente trafugando i dati aziendali

    La Shadow AI è l’adozione non autorizzata di strumenti generativi da parte dei dipendenti, al di fuori dei canali IT. Questo fenomeno crescente rappresenta una minaccia invisibile che può portare a fuga di dati sensibili, violazioni legali e compromissione reputazionale.

    Questo articolo risponde in modo chiaro alle principali domande – che cos’è, quali rischi comporta, come difendersi – e allo stesso tempo propone soluzioni concrete.

    Il video integrato alla fine rappresenta la testimonianza visiva ed esperta del problema: guardarlo è fondamentale per comprenderne le dinamiche reali.

    Se non fai attenzione, la shadow AI ti danneggia

    La Shadow AI è la versione IA della Shadow IT: l’uso di applicazioni IA esterne (chatbot generativi, tool di scrittura, AI per coding) da parte dei collaboratori senza alcuna autorizzazione ufficiale o governance aziendale.

    1. Perché è un problema

    ➤ Fuga di dati sensibili

    I prompt possono includere codici, dettagli di clienti, strategie interne. Una volta inviati su piattaforme esterne, i dati escono dal controllo aziendale e possono essere usati per training o archiviazione indefinita.

    ➤ Rischi di compliance e legali

    Il trattamento non autorizzato di dati personali o strategici viola normative come il GDPR e può esporre l’azienda a sanzioni fino al 7% del fatturato.

    ➤ Decisioni influenzate da modelli non verificati

    Quando le intelligenze artificiali esterne supportano i processi decisionali, come la selezione delle risorse e l’analisi di mercato, possono emergere bias, errori e una mancanza di tracciabilità.

    ➤ Vulnerabilità tecnica e costi nascosti

    Gli strati Shadow AI bypassano i controlli di sicurezza tradizionali: spesso non compaiono in log aziendali, consumano licenze e risorse cloud sconosciute.

    ➤ Danni reputazionali

    Contenuti generati da tool non verificati possono essere errati o fuorvianti, compromettendo credibilità interna ed esterna.

    2. Perché preoccuparsene ora

    L’adozione degli strumenti generativi è esplosa: molte aziende non hanno idea di quanti dipendenti usino AI esterne quotidianamente.

    3. Come difendersi

    ✅ Discovery e inventario strumenti IA

    Usa piattaforme tipo Defender for Cloud Apps o Obsidian Security per individuare ogni applicazione IA in uso e classificarla in base al rischio.

    ✅ Policy chiare e classificazione dati

    Definisci una Acceptable AI Use Policy che stabilisca quali dati non devono mai essere inseriti in strumenti IA esterni.

    ✅ Monitoraggio e controllo in tempo reale

    Integra sistemi di controllo e strumenti di proxying per bloccare o flaggare l’invio di informazione sensibile verso tool non approvati.

    ✅ Formazione mirata

    Educa i collaboratori sui rischi concreti: mostra esempi reali di fughe dati, insegna come anonimizzare input e indirizzare le richieste verso tool interni sicuri.

    ✅ Alternative sicure e governance dei modelli

    Adotta soluzioni enterprise o open‑source (es. LLaMA, Gemini, modelli internamente hostati), integrabili con policy d’uso e controllo sugli output

    La Shadow AI non è un’invenzione teorica: è un problema concreto in azienda. La velocità di adozione dei tool generativi supera la capacità di governance attuale. Ignorare il fenomeno può portare a perdite di dati, multe legali e compromissione della reputazione.

    ▶️ Guarda il video

    ▶️ Iscriviti al workshop gratuito

    Se vuoi capire come utilizzare correttamente l’IA nella tua azienda e come essere in regola con le nuove normative che stanno entrando in vigore in questi mesi, iscriviti al workshop gratuito che trovi qui sotto. Ci vediamo il 19 settembre 2025 e ne parliamo insieme e se partecipi potrai anche chiedermi una call gratuita personalizzata per comprendere insieme a che punto siete, tu o la tua organizzazione, con l’implementazione corretta dell’IA nei processi di lavoro in modo confacente ai dettami delle leggi europee e italiane sulla materia.

    AI Act e AI Literacy: un workshop gratuito