L’entrata in vigore dell’AI Act, il nuovo regolamento europeo sull’intelligenza artificiale approvato nel 2024, segna una tappa decisiva per le imprese italiane impegnate nell’Omnichannel Customer Experience (OCX). Se da un lato la normativa introduce un quadro di vincoli stringenti, dall’altro può rappresentare un’occasione per rafforzare la fiducia di clienti e partner, trasformando la compliance in un vero elemento di vantaggio competitivo. È quanto emerso durante l’intervento dell’avvocato Gabriele Franco, Counsel di Panetta Studio Legale, al convegno AI for OCX: le strategie delle aziende italiane, organizzato dall’Osservatorio Omnichannel Customer Experience.
Indice degli argomenti
AI Act: un regolamento a portata immediata
Secondo quanto illustrato da Franco, l’AI Act è un regolamento europeo e, in quanto tale, non richiede recepimenti nazionali. La sua pubblicazione in Gazzetta Ufficiale lo ha reso una legge direttamente applicabile in tutti gli Stati membri, Italia inclusa. Il legislatore europeo ha cercato di bilanciare due esigenze: da un lato la tutela dei diritti fondamentali dei cittadini, che nel caso dell’OCX coincidono con i clienti, dall’altro la volontà di lasciare spazi di innovazione alle imprese. Per raggiungere questo obiettivo, la normativa si fonda su un approccio basato sul rischio, strutturato come una piramide in cui l’intensità degli obblighi cresce proporzionalmente alla pericolosità dei sistemi di Intelligenza Artificiale impiegati.
La piramide del rischio: dai divieti assoluti all’uso limitato
L’avvocato ha descritto come l’AI Act individui pratiche vietate, sistemi ad alto rischio e applicazioni a rischio limitato. In cima alla piramide si collocano le attività considerate incompatibili con i valori dell’Unione Europea, come la polizia predittiva, il credito sociale o il riconoscimento delle emozioni in contesti sensibili come scuole e luoghi di lavoro.
Subito sotto troviamo i sistemi ad alto rischio, che comprendono applicazioni in ambiti come sanità, banche e assicurazioni, ma anche l’utilizzo di dati biometrici per finalità commerciali, ad esempio nella fase di vendita attraverso tecnologie indossabili o provatori virtuali. Questi sistemi sono consentiti solo a condizione che i fornitori e i deployer rispettino una lunga lista di requisiti, dalla conservazione dei file di log alla documentazione tecnica, passando per la trasparenza dei dati e l’oversight umano.
Alla base della piramide si trovano invece le applicazioni a rischio limitato, come i chatbot generativi. In questo caso non si tratta di vietare l’uso, ma di imporre misure di trasparenza, affinché gli utenti siano consapevoli di interagire con un sistema automatizzato. Rientrano in questa categoria anche i deepfake, che la legge non demonizza di per sé, ma obbliga a etichettare chiaramente per distinguerli dai contenuti reali. Un prodotto mostrato in un e-commerce e generato tramite AI, ad esempio, dovrà riportare l’indicazione che si tratta di un contenuto sintetico.
Obblighi specifici per chi sviluppa e per chi utilizza
Franco ha chiarito un aspetto cruciale per le imprese italiane: la distinzione tra fornitori e deployer. Il primo è chi sviluppa o commissiona un sistema di intelligenza artificiale, il secondo è chi lo utilizza. Una società della grande distribuzione organizzata che sviluppi internamente un algoritmo sarà quindi al tempo stesso fornitore e deployer, con obblighi rafforzati. Se invece adotta una soluzione realizzata da un’azienda terza, dovrà adempiere solo agli obblighi legati all’uso, che riguardano soprattutto la fase operativa e i possibili effetti sui clienti.
La portata del regolamento è extraterritoriale: si applica anche alle imprese non europee che forniscono servizi o prodotti basati sull’AI nel mercato comunitario. Restano esclusi solo alcuni ambiti, come le attività di ricerca e sviluppo, che possono così proseguire senza vincoli e favorire l’innovazione.
Le scadenze e il percorso di adeguamento
Le prime disposizioni dell’AI Act sono già entrate in vigore nel febbraio 2024, riguardando soprattutto i divieti delle pratiche considerate più invasive. Nell’agosto dello stesso anno sono diventati applicabili gli obblighi per i sistemi di intelligenza artificiale a finalità generali (GPAI), ovvero i motori che alimentano numerose applicazioni diffuse. L’insieme delle norme sarà pienamente operativo entro agosto 2026, data entro cui le aziende dovranno avere messo a punto un sistema di compliance solido, fatto di governance interna, mappatura dei sistemi in uso e assessment specifici.
Franco ha sottolineato che «la compliance all’AI Act non è soltanto una compliance strutturata a una norma, ma è la costruzione di un sistema interno che parte dalla definizione di un modello di governance». Ciò significa che l’adeguamento non potrà limitarsi a documenti formali, ma dovrà tradursi in politiche, processi e controlli concreti.
Impatti diretti sulla Customer Experience
Il settore dell’Omnichannel Customer Experience è particolarmente esposto agli effetti della normativa. Gli obblighi di trasparenza imposti a chatbot, sistemi generativi e contenuti sintetici impatteranno direttamente sulla relazione tra brand e consumatori. Anche gli esperimenti di personalizzazione tramite biometria o indossabili dovranno rispettare i requisiti previsti per i sistemi ad alto rischio, tra cui l’addestramento con dati non discriminatori e rappresentativi.
Per i clienti, queste misure si tradurranno in maggiore consapevolezza e garanzie sui diritti digitali. Per le imprese, invece, comporteranno nuovi costi di adeguamento, ma anche l’opportunità di differenziarsi sul mercato mostrando un impegno attivo verso la compliance.
Compliance come fattore competitivo
Uno degli aspetti più rilevanti messi in luce dall’intervento riguarda il rovesciamento di prospettiva che le aziende possono adottare. Franco ha spiegato che «i clienti sono sempre più interessati e sempre più preoccupati dell’impatto di questa tecnologia e quindi poter garantire in maniera preventiva un alto livello di attenzione a questa normativa è sicuramente un vantaggio competitivo».
Il parallelo è con l’esperienza del GDPR: inizialmente percepito come un onere, si è poi rivelato un elemento distintivo per chi ha saputo anticipare e comunicare la propria conformità. Allo stesso modo, l’AI Act sta già diventando un parametro di scelta per i clienti verso le aziende e per le aziende verso i fornitori. In un mercato che richiede sicurezza e trasparenza, dimostrare di avere competenze e presidi adeguati sull’intelligenza artificiale può rafforzare la reputazione e aprire nuove opportunità di business.
