Immagina un assistente AI che riassume i contratti con i fornitori o ritrova al volo l'ultima versione di un capitolato. Comodo, finché non ti chiedi a quali documenti sta accedendo davvero, e chi ha deciso che potesse farlo. È qui che entra l'AI Act, il Regolamento (UE) 2024/1689, in vigore dall'agosto 2024 e con applicazione progressiva fino ad agosto 2026, il primo quadro normativo vincolante al mondo sull'intelligenza artificiale, che riguarda anche le AI che si limitano a leggere e riassumere documenti interni. Questa non è una consulenza legale, bensì una guida pratica per chi gestisce documenti e vuole affrontare il tema con la testa giusta.
AI Act in breve per chi gestisce documenti
Il regolamento ragiona per livelli di rischio, che vanno dalle pratiche vietate come il social scoring ai sistemi ad alto rischio nei settori tassativi come credito, occupazione e giustizia, fino al rischio limitato e minimo. La buona notizia per chi gestisce documenti è che gli usi tipici come cercare, riassumere ed estrarre informazioni non rientrano di norma nelle categorie ad alto rischio. Restano comunque validi alcuni obblighi trasversali, tra cui la trasparenza per cui chi interagisce con un'AI deve saperlo, oltre ai principi di governance dei dati che impongono di sapere quali dati l'AI tratta, chi vi accede e con quale base.
Figura · AI Act
I livelli di rischio dell'AI Act
- Rischio inaccettabilePratiche vietate (es. social scoring)
- Rischio altoObblighi stringenti (credito, occupazione, giustizia)
- Rischio limitatoSistemi con obblighi di trasparenza
- Rischio minimoNessun obbligo specifico
Un secondo concetto utile riguarda la distinzione che l'AI Act fa tra chi fornisce il sistema AI, il provider, e chi lo usa in azienda, il deployer. Se sei una PMI sei quasi sempre deployer, il che significa che una parte degli obblighi ricade su di te, in particolare su come dai accesso ai dati. Scegliere fornitori che rendono esplicita questa ripartizione di responsabilità, invece di dichiararsi genericamente "compliant", semplifica molto la tua parte.
Quando l'AI legge i tuoi documenti, obblighi e rischi
Il punto delicato è uno solo, ovvero l'accesso. Se un agente AI può leggere documenti che contengono dati personali o riservati devi essere in grado di dimostrare che quell'accesso è limitato al necessario, tracciato e revocabile. Un'AI che pesca da un export non governato, che sia una cartella copiata o un archivio incollato in un prompt, rende questa prova quasi impossibile. Ed è lì che rischio AI Act e rischio GDPR smettono di essere due problemi separati e diventano lo stesso problema.
Governance: permessi, log, dati in UE
Qui c'è una convergenza utile, perché gli stessi accorgimenti che ti mettono in regola sono anche buona ingegneria. Permessi granulari applicati anche agli agenti fanno sì che l'AI veda solo ciò che vede l'utente dietro di lei, mentre un registro che traccia ogni accesso e i dati restano in Europa. Se l'AI legge i documenti attraverso un canale governato, invece che da una copia parallela, supervisione e tracciabilità sono già incluse e non da aggiungere a posteriori. È anche una questione di sovranità dei dati, sapere dove vivono e chi li tocca è la premessa di qualsiasi conformità.
Checklist di conformità pratica
Cinque punti di partenza concreti:
- Mappa dove vivono i dati personali e riservati nei tuoi documenti
- Assicurati che gli agenti ereditino i permessi degli utenti, non un ruolo elevato
- Attiva un log su ogni accesso dell'AI
- Verifica dove vengono elaborati i dati
- Metti per iscritto scopo e base di ogni uso dell'AI sui documenti, e chiarisci con il fornitore chi risponde di cosa
Poi valida il tutto con il tuo DPO o un consulente legale, perché questa checklist ti fa arrivare preparato alla conversazione, ma non la sostituisce.
Nota: Contenuto informativo, non consulenza legale. Le valutazioni di conformità dipendono dal caso specifico e vanno confermate con un professionista.
