L’adeguamento all’AI Act è il percorso con cui un’impresa rende l’uso dell’intelligenza artificiale conforme al Regolamento UE 2024/1689. Riguarda:
- i sistemi AI utilizzati
- i dati che li alimentano
- i contratti con clienti e fornitori
- la formazione delle persone che operano con l’AI
Il punto di partenza è il ruolo che l’impresa assume rispetto al sistema. Sviluppare un prodotto AI, integrare un modello di terze parti in una piattaforma, impiegare strumenti generativi nei processi interni o nel customer care non genera gli stessi obblighi.
Il Regolamento distingue tra chi fornisce un sistema (provider) e chi lo utilizza (deployer). Da questa distinzione discendono documentazione tecnica, informazioni dovute agli utenti e percorsi di AI literacy del personale.
Per un’impresa digitale l’adeguamento non vive a parte rispetto al lavoro quotidiano. Si innesta nei contratti con i clienti, nelle informative privacy, nelle condizioni d’uso delle piattaforme e nelle policy interne.
Trattato così, diventa una leva di business: rende l’AI vendibile e integrabile nei servizi senza zone d’ombra contrattuali, e permette di presentarla a clienti e fornitori con un perimetro legale documentato.
Legal for Digital è la prima realtà italiana di consulenza legale interamente specializzata in diritto del digitale. L’AI Act è uno dei perimetri normativi su cui interveniamo da una prospettiva verticale, agganciata al modo in cui l’intelligenza artificiale entra in un business online.
Dove interveniamo sull’uso dell’AI
L’adeguamento AI Act non può essere uguale per qualunque uso dell’intelligenza artificiale.
Cambia il lavoro legale richiesto se l’AI è il prodotto che vendi, uno strumento inserito nei processi aziendali, una componente dei servizi offerti ai clienti o un sistema utilizzato da persone che devono ricevere una formazione conforme agli obblighi di AI literacy.
Legal for Digital ha strutturato quattro servizi distinti, costruiti sul punto in cui l’AI influisce su dati, documenti, responsabilità, rapporti contrattuali e formazione obbligatoria.
Se sviluppi o fornisci sistemi AI
Chi sviluppa, fornisce o integra sistemi di intelligenza artificiale in un prodotto digitale deve valutare l’AI Act prima che il sistema venga immesso sul mercato o proposto a clienti, partner e investitori.
La valutazione riguarda classificazione del sistema, dati utilizzati, documentazione tecnica, responsabilità sugli output, proprietà intellettuale, condizioni contrattuali e requisiti applicabili al ruolo assunto rispetto al sistema AI.
Legal for Digital affianca startup, software house e sviluppatori prima che il prodotto AI venga chiuso sul piano tecnico e commerciale. Da queste valutazioni dipende il modo in cui il prodotto entra sul mercato e viene reso disponibile agli utenti.
AI compliance per sviluppatori di AI
Classificazione AI Act, dati di training legali, responsabilità output, certificazioni, IP
Se usi AI dentro l’azienda
Nella maggior parte delle aziende l’AI non entra con una delibera, una policy o una decisione formale. Entra perché qualcuno la prova.
Un commerciale la usa per riscrivere una proposta. Il marketing carica un piano editoriale. L’ufficio HR la usa per sistemare una job description. Il customer care la utilizza per preparare risposte agli utenti. Un reparto interno carica procedure, report, contratti, file Excel, materiali dei clienti o informazioni che parlano molto più dell’azienda di quanto sembri.
Dati dei clienti, procedure interne, contratti e materiali riservati possono finire in strumenti AI esterni senza una valutazione preventiva, con effetti su know-how, vantaggio competitivo, segreti aziendali e responsabilità verso clienti, fornitori e dipendenti.
Vietare tutto può sembrare la scelta più prudente, e alcuni brand lo hanno fatto. Ma per molte imprese il divieto non elimina il problema: lo rende meno visibile, quindi più difficile da gestire. Le persone continuano a cercare scorciatoie operative, senza strumenti approvati, senza criteri condivisi e senza documenti che dicano cosa si può fare e cosa no.
Legal for Digital affianca imprese e corporate nella regolazione dell’uso interno dell’AI: strumenti ammessi, dati esclusi, fornitori da valutare, responsabilità interne, policy aziendali, registro degli utilizzi e formazione AI Act.
AI governance per imprese e corporate
AI risk assessment, policy operativa, conformità GDPR-AI integrata
Se usi AI per lavorare sui clienti
Agenzie, marketer, freelance e consulenti usano strumenti AI per produrre testi, immagini, campagne, report e automazioni destinati ai clienti.
In questi casi l’uso dell’intelligenza artificiale cambia il rapporto contrattuale: cosa viene promesso, quali dati vengono inseriti nei tool, quali output vengono consegnati, quali diritti spettano al cliente e quali responsabilità restano a carico del professionista o dell’agenzia.
Legal for Digital affianca professionisti e agenzie nell’adeguamento legale dell’uso dell’AI nei servizi ai clienti, con interventi su contratti, privacy, riservatezza, copyright, limiti di responsabilità e gestione dei deliverable.
Adeguamento per marketer che usa le AI
Contratti con clausole AI, conformità GDPR, accordi riservatezza, AI Act compliance
Se devi adempiere agli obblighi di AI literacy
L’AI Act prevede obblighi di alfabetizzazione in materia di intelligenza artificiale per provider e deployer. Questo non significa fare un corso generico sugli strumenti AI, ma costruire una formazione coerente con il ruolo delle persone coinvolte, il contesto in cui i sistemi vengono utilizzati, i rischi collegati e le procedure interne dell’organizzazione.Legal for Digital progetta percorsi di formazione AI Act e AI literacy per aziende, team e professionisti, con l’obiettivo di rendere documentabile l’adempimento formativo e coerente l’uso dei sistemi AI con il perimetro legale dell’organizzazione.
Formazione obbligatoria AI Act
AI literacy personalizzata per ruolo, certificata, con rilascio attestati
L’AI Act si interseca con dati, contratti e responsabilità
L’adeguamento all’AI Act non si chiude con la classificazione del sistema o con una policy interna sull’uso dell’intelligenza artificiale.
L’inserimento dell’AI nel processo lavorativo, ci sono tre materie da considerare insieme all’AI Act: il trattamento dei dati personali (GDPR), i contratti con clienti e fornitori, la proprietà intellettuale sui materiali inseriti, generati o consegnati.
L’AI Act è una parte del lavoro di adeguamento, non l’unico livello da presidiare.
AI Act e GDPR
Prima di caricare dati personali o materiali aziendali in uno strumento AI, va fatta una valutazione preliminare: questi dati restano nel nostro pc al sicuro o se ne perde il controllo?
Spesso la valutazione si chiude con un no allo strumento, o con un sì limitato a certe tipologie di dati. Quando lo strumento viene invece inserito, va fatta un’analisi più approfondita che tocca
- Da un lato il fornitore dell’AI: cosa fa con gli input che riceve, se li conserva, se li riutilizza per addestrare il modello, dove ha i server, se ci sono trasferimenti fuori UE.
- Dall’altro l’uso interno: chi accede allo strumento, per quali attività, su quali dati, con quali misure di sicurezza, sulla base di quale base giuridica e per quale finalità.
Se l’AI tratta dati personali, il GDPR impone di definire ruoli, basi giuridiche, fornitori autorizzati, limiti di utilizzo, misure di sicurezza e documentazione necessaria prima dell’uso dello strumento.
AI Act e contratti
Quando l’AI entra nei processi lavorativi come supporto per produrre output da consegnare al cliente, cambia anche ciò che il contratto deve presidiare.
Non basta aggiungere una clausola sull’intelligenza artificiale. Il contratto deve continuare a fare il suo lavoro: definire il servizio, delimitare le responsabilità, proteggere i dati del cliente e regolare i diritti sui materiali prodotti.
Per piattaforme, software e servizi digitali, lo stesso lavoro riguarda condizioni d’uso, informazioni agli utenti, limiti del sistema, responsabilità sugli output e gestione delle richieste quando l’utente vuole contestare o correggere il risultato prodotto dall’AI.
AI Act e proprietà intellettuale
L’uso dell’AI apre problemi di proprietà intellettuale in più direzioni.
C’è la proprietà intellettuale di terzi, che può essere violata usando testi, immagini, codice o banche dati protetti come input, fonti di addestramento o base per nuovi contenuti.
C’è la proprietà intellettuale che viene venduta al cliente: contenuti, codice, concept, report e deliverable prodotti con il supporto dell’AI. In questi casi va chiarito se quei materiali siano davvero tutelabili, se possano essere ceduti, con quali garanzie e con quali limiti.
C’è poi la proprietà intellettuale dell’impresa: prompt, workflow, dataset interni, documentazione tecnica, codice, procedure e know-how che possono uscire dal controllo aziendale se vengono inseriti in strumenti non valutati.
Input, output, diritti di terzi, titolarità dei materiali e tutela degli asset aziendali entrano nella valutazione legale dell’uso dell’AI.
Strumenti AI, fornitori e responsabilità documentali
Molte imprese scoprono di usare più strumenti AI di quanti ne abbiano autorizzati.
Alcuni vengono inseriti dai team per velocizzare attività quotidiane. Altri arrivano attraverso software già in uso. Altri ancora sono inseriti nei servizi acquistati da fornitori esterni. In tutti questi casi l’impresa deve sapere quali sistemi sono in uso, per quali attività, su quali dati e a quali condizioni contrattuali.
L’adeguamento AI Act richiede di trasformare l’uso dell’intelligenza artificiale da prassi informale a sistema documentato: strumenti ammessi, fornitori valutati, responsabilità interne definite..
Mappatura degli strumenti AI utilizzati
La mappatura individua software, chatbot, sistemi generativi e automazioni AI in uso nell’azienda.
Non coinvolge solo gli strumenti acquistati formalmente, ma anche quelli usati dai team, dai collaboratori o dai fornitori nello svolgimento delle attività.
Il problema è che la maggior parte di questi strumenti l’azienda non sa nemmeno di averli in casa. Si chiama shadow AI: collaboratori che usano un chatbot per scrivere mail, un team marketing che genera immagini con un tool gratuito, un reparto HR che fa girare i CV in un assistente esterno. Nessuno l’ha autorizzato, nessuno lo dichiara, ma succede ogni giorno.
Per farlo emergere non basta una mail al personale o una richiesta formale di censimento. Servono questionari pensati per le attività reali, conversazioni con i team senza un clima di colpevolizzazione, ricognizioni periodiche perché gli strumenti cambiano in fretta.
La domanda non è cosa avete autorizzato, ma cosa state usando davvero, e a quella domanda l’azienda risponde solo se chi la pone ha esperienza nel farla.
Valutazione dei fornitori AI
Il fornitore di un tool AI non si valuta solo per funzionalità, prezzo o facilità d’uso.
Oltre alle condizioni di trattamento dei dati, che vanno lette con l’occhio del GDPR, le condizioni contrattuali stabiliscono quali garanzie il fornitore offre sul servizio, quali responsabilità si prende sugli output, quali invece esclude, e quali subfornitori intervengono nella catena tecnica.
Per un’impresa, accettare questi termini senza una valutazione legale significa affidare dati, materiali di lavoro e parte dei processi aziendali a regole scritte da altri.
Policy interne e procedure aziendali
La policy AI non deve essere un documento generico sull’uso responsabile dell’intelligenza artificiale.
Deve dire quali strumenti sono autorizzati, quali attività possono essere svolte con supporto AI, quali dati non possono essere inseriti, chi può usare determinati sistemi, quali output richiedono controllo umano e cosa fare quando un fornitore introduce componenti AI nei propri servizi.
Una policy utile dice cosa si può fare con l’AI e a quali condizioni, in modo coerente con attività, rischi, responsabilità e documenti aziendali.
Documentazione del percorso di adeguamento
L’adeguamento AI Act deve lasciare traccia delle valutazioni svolte.
Bisogna dimostrare perché sono stati scelti certi strumenti, quali limiti sono stati fissati, quali fornitori sono stati autorizzati, quali persone sono state formate e quali documenti hanno recepito le decisioni prese.
Quando il sistema AI è rivolto a clienti o utenti, la documentazione deve coprire anche le informazioni rese disponibili, i limiti comunicati, le condizioni d’uso, le procedure di assistenza e le modalità previste per contestare o correggere un output.
Richiedi una consulenza per l’adeguamento AI Act
L’adeguamento alla normativa sull’AI parte dal modo in cui lavori. Noi sappiamo già quali domande farti: siamo nati con la digitalizzazione e ci siamo evoluti insieme all’AI.
L’AI Act è una cornice generale. Per renderla efficace sul tuo lavoro serve chi conosce sia il Regolamento sia il digitale in cui lo applichi.
Legal for Digital lavora su questi aspetti da una prospettiva verticale: il diritto del digitale applicato a piattaforme, software, dati e contratti.