Tutti i segreti della Cybersecurity: il blog di Cyberoo

AI Act e tutela dei diritti digitali: le nuove sfide di compliance

Scritto da Barbara Sabellico | 9 luglio 2026

 

Nella regolamentazione europea dell’intelligenza artificiale, l’AI Act rappresenta uno dei pilastri fondamentali per la tutela dei diritti digitali. Il suo obiettivo è bilanciare innovazione tecnologica e protezione della privacy, della non discriminazione e della sicurezza dei cittadini. Dal mio punto di vista di avvocato che si occupa di diritti digitali, con un focus su GDPR, AI Act e cybersecurity, è oggi essenziale accompagnare le aziende verso un approccio di compliance proattivo, capace di mitigare non solo i rischi legali, ma anche, e soprattutto, quelli reputazionali che possono coinvolgerle.

 

AI Act e diritti digitali: un nuovo equilibrio tra innovazione e tutela

L’entrata in vigore graduale dell’AI Act, con i divieti applicabili da febbraio 2025 e gli obblighi per i sistemi ad alto rischio dal 2 agosto 2026, impone alle organizzazioni di attivarsi sin da subito. Anche perché le sanzioni previste possono arrivare fino al 6% del fatturato globale. Il regolamento adotta un approccio proporzionato al rischio, vietando pratiche considerate inaccettabili, come il riconoscimento biometrico in tempo reale negli spazi pubblici o la manipolazione subliminale, che incidono direttamente su privacy e autonomia umana (art. 5-6).

Un’attenzione particolare è rivolta ai sistemi classificati come ad alto rischio, categoria che include anche diverse applicazioni di intelligenza artificiale in ambito cybersecurity, ad esempio nei sistemi di sorveglianza, nella gestione delle infrastrutture critiche o nel credit scoring.

In questi casi, l’AI Act richiede requisiti stringenti di trasparenza, robustezza e supervisione umana. In concreto, ciò significa progettare sistemi sicuri fin dalla fase di sviluppo, in grado di resistere ad attacchi adversarial, a fenomeni di data poisoning e a tecniche di model inversion. Tutto questo avviene nel quadro dei diritti garantiti dalla ex Carta dei Diritti Fondamentali dell’Unione Europea (art. 8, 21) e in costante coordinamento con il GDPR, soprattutto per ridurre il rischio di bias discriminatori e di trattamenti di dati ad alto impatto.

 

AI Act, NIS2 e DORA: la compliance come responsabilità integrata

L’AI Act, però, non può essere interpretato in modo isolato. Il suo impianto normativo si intreccia necessariamente con la direttiva NIS2, che interessa settori essenziali come energia, sanità e finanza, e con il regolamento DORA per il settore finanziario. Questi strumenti introducono obblighi di gestione del rischio ICT e di notifica degli incidenti, con tempistiche diverse: 24 ore nel caso della NIS2 e fino a 15 giorni per l’AI Act. Ne consegue la necessità, per le aziende, di armonizzare i processi di compliance, evitando sovrapposizioni o, peggio, vuoti di responsabilità.

Nel caso dei sistemi di intelligenza artificiale applicati alla cybersecurity, assume particolare rilievo anche la responsabilità del senior management, già prevista dall’articolo 5 della NIS2. Tale responsabilità si estende oggi all’accountability per eventuali violazioni dei diritti digitali. Un modello di AI difettoso o non adeguatamente supervisionato, ad esempio nei sistemi di threat detection, può generare falsi positivi con impatti concreti sui diritti di difesa o sulla privacy degli interessati.

In questo senso, una compliance solida contribuisce anche a rafforzare la resilienza legale dell’organizzazione, riducendo l’esposizione a class action ai sensi della Direttiva sulle azioni rappresentative e a indagini da parte delle autorità di controllo, come il Garante per la protezione dei dati personali.

 

 

Dalla robustezza dei sistemi alla governance aziendale

Dal punto di vista operativo, l’AI Act introduce requisiti molto concreti. La robustezza dei sistemi deve includere la capacità di resistere ad attacchi di evasione, in linea con quanto richiesto dall’articolo 32 del GDPR. La trasparenza comporta invece la necessità di mantenere log auditabili e tracciabilità lungo l’intero ciclo di vita dei sistemi, garantendo anche il diritto a una spiegazione delle decisioni automatizzate. A questo si aggiunge l’obbligo di notificare gli incidenti gravi entro 15 giorni e la possibilità di aderire a codici di condotta settoriali, che offrono una presunzione di conformità. Nel loro insieme, questi elementi delineano un framework strutturato e chiaro, particolarmente rilevante per il top management.

In un contesto di questo tipo, è importante chiedersi quali azioni concrete possano essere adottate. Per CEO e COO, un primo passo consiste nell’istituire un Data Protection Board con funzioni di oversight sui sistemi di intelligenza artificiale, affiancato dalla definizione di policy etiche coerenti con le linee guida dell’EDPB (European Data Protection Board). È inoltre essenziale valutare con attenzione i profili di rischio, compresi quelli di natura penale, soprattutto quando si trattano dati sanitari o finanziari.

Dal lato tecnico, CTO e IT Manager sono chiamati a classificare correttamente i sistemi di AI utilizzati internamente, individuando quelli ad alto rischio, in particolare quando l’intelligenza artificiale è integrata in strumenti di sicurezza. L’adozione di tecniche come il federated learning o la differential privacy può contribuire in modo significativo a ridurre l’esposizione dei dati e a migliorare il livello complessivo di compliance.

Anche il ruolo del CISO diventa centrale. È chiamato ad agire in modo proattivo, eseguendo DPIA specifiche per l’AI, testando le vulnerabilità secondo i framework definiti da ENISA e predisponendo piani di incident response adeguati a scenari di attacco amplificati dall’intelligenza artificiale.

 

Formazione, audit e leadership etica nella gestione dell’AI

A completamento di questo quadro, è indispensabile prevedere percorsi di formazione obbligatoria sui diritti digitali per tutti i soggetti coinvolti nell’uso dei sistemi intelligenti, accompagnati da audit e gap analysis periodiche. Le simulazioni di scenari cyber AI e le certificazioni volontarie possono inoltre trasformarsi in un concreto vantaggio competitivo.

L’AI Act non dovrebbe essere considerato solo come un ulteriore adempimento normativo. Se affrontato con metodo e visione strategica, può diventare un’opportunità reale per affermare una leadership etica nel campo dei diritti digitali e rafforzare la fiducia di clienti, partner e stakeholder.