Dal 2 agosto 2026 l’AI Act entra in una nuova fase applicativa, ma per molte imprese il primo nodo resta interno: mappare gli strumenti di intelligenza artificiale già usati da dipendenti e reparti, spesso senza autorizzazione o controllo.
Un dipendente apre un chatbot e gli chiede di sistemare una mail commerciale. Un responsabile carica un documento interno per farselo riassumere. Un ufficio amministrativo usa l’AI per controllare una bozza di contratto. Un reparto selezione prova uno strumento online per confrontare curriculum.
Niente di clamoroso, almeno in apparenza.
Eppure è da qui che molte aziende dovrebbero iniziare a preoccuparsi. Non perché l’intelligenza artificiale debba essere evitata, ma perché spesso è già entrata nei processi aziendali senza essere stata vista, compresa, autorizzata o governata.
Il 2 agosto 2026 resta una data centrale nel percorso di applicazione dell’AI Act, il regolamento europeo sull’intelligenza artificiale. La Commissione europea ricorda che il regolamento è entrato in vigore il 1° agosto 2024 e prevede un’applicazione progressiva, con scadenze differenziate. Ma leggere quella data solo come un adempimento burocratico sarebbe riduttivo.
La domanda concreta è un’altra: le aziende sanno davvero dove viene già usata l’AI al loro interno?
La Shadow AI dentro i processi aziendali
Il problema non riguarda solo l’intelligenza artificiale acquistata, dichiarata e inserita ufficialmente nei processi. Il rischio più sottile è la cosiddetta Shadow AI, cioè l’uso non autorizzato, non tracciato o non governato di strumenti AI da parte di dipendenti, collaboratori, consulenti o singoli reparti.
Non sempre accade per leggerezza. Quasi mai accade per cattiva fede.
Accade perché l’AI è comoda, veloce, disponibile. Risponde subito. Quando un lavoratore ha una scadenza, un testo da scrivere, una tabella da interpretare o un documento da semplificare, la tentazione di usare lo strumento più rapido è forte.
Il punto è che una risposta rapida non è necessariamente una risposta affidabile.
La Shadow AI non nasce solo dalla tecnologia. Nasce da un vuoto organizzativo. Se un’azienda non chiarisce quali strumenti si possono usare, quali dati non vanno mai caricati, quali attività richiedono supervisione umana e quali rischi devono essere valutati, le persone si arrangiano.
Quando le persone si arrangiano con l’AI, l’azienda può perdere controllo senza accorgersene: sui dati, sui documenti interni, sulle informazioni personali, sulle comunicazioni verso i clienti e sulle decisioni che sembrano umane, ma che possono essere state influenzate da un sistema automatico.
Il rischio per consumatori e cittadini
La questione riguarda anche i consumatori, non solo le imprese. Un’azienda che usa AI senza governance può produrre risposte apparentemente professionali ma non verificate, comunicazioni opache, valutazioni poco trasparenti, trattamenti impropri di dati personali o decisioni difficili da spiegare.
Il cittadino, dall’altra parte, vede solo il risultato finale. Una mail ben scritta. Una risposta precisa nel tono. Una proposta commerciale ordinata. Un reclamo gestito in modo apparentemente efficiente.
Ma chi ha controllato davvero quell’output?
Chi ha verificato se le informazioni erano corrette? Chi ha valutato se i dati inseriti nello strumento potevano essere condivisi? Chi si è assunto la responsabilità della decisione finale?
È qui che entra in gioco l’Effetto Placebo Digitale: la tendenza a fidarsi di uno strumento perché produce risposte ordinate, sicure, ben scritte e convincenti.
L’azienda vede efficienza. Il dipendente vede velocità. Il cliente vede professionalità.
Dietro quella fluidità, però, può non esserci un controllo adeguato. Può esserci solo una risposta generata bene. Ed è una delle illusioni più rischiose nell’uso quotidiano dell’AI: confondere la qualità della forma con l’affidabilità del contenuto.
AI literacy, l’obbligo già partito
L’AI Act non chiede alle aziende di avere paura dell’intelligenza artificiale. Chiede di usarla con responsabilità.
Il regolamento europeo prevede un percorso progressivo. Alcuni obblighi sono già applicabili. Tra questi c’è l’alfabetizzazione sull’intelligenza artificiale, prevista dall’articolo 4 dell’AI Act, applicabile dal 2 febbraio 2025. Secondo le FAQ della Commissione europea, fornitori e utilizzatori di sistemi AI devono garantire, per quanto possibile, un livello sufficiente di competenza al personale e alle altre persone che usano sistemi AI per loro conto, tenendo conto del contesto d’uso, delle conoscenze tecniche, dell’esperienza e dei possibili effetti sulle persone coinvolte.
Questo punto viene spesso sottovalutato, ma è centrale.
AI literacy non significa fare un corso generico su ChatGPT o mostrare ai dipendenti qualche prompt utile. Significa costruire una competenza minima e concreta per usare l’AI in modo consapevole, tenendo conto del ruolo delle persone, del contesto, dei rischi e degli effetti possibili su clienti, lavoratori e cittadini.
In parole semplici: non basta dire “usate l’AI con attenzione”.
Bisogna spiegare che cosa significa attenzione. Sapere quali dati non caricare. Distinguere un suggerimento da una decisione. Verificare fonti, numeri e affermazioni. Non usare strumenti AI per attività delicate senza supervisione. Non trasformare un testo generato automaticamente in una valutazione umana solo perché è scritto bene.
Il nodo dei rinvii e delle nuove scadenze
Negli ultimi mesi si è parlato anche di semplificazioni e rinvii per alcune regole sui sistemi AI ad alto rischio. Il 7 maggio 2026 il Consiglio dell’Unione europea ha comunicato il raggiungimento di un accordo provvisorio con il Parlamento europeo per semplificare e razionalizzare alcune regole sull’intelligenza artificiale.
Secondo il comunicato del Consiglio UE, l’accordo prevede nuove date di applicazione per le regole sui sistemi AI ad alto rischio: 2 dicembre 2027 per i sistemi ad alto rischio stand-alone e 2 agosto 2028 per i sistemi ad alto rischio integrati in prodotti. La Commissione europea, nel proprio comunicato sul pacchetto di semplificazione, indica le stesse scadenze per specifiche categorie, tra cui biometria, infrastrutture critiche, istruzione, lavoro, migrazione, asilo e controllo delle frontiere per il 2 dicembre 2027, e sistemi integrati in prodotti come ascensori o giocattoli per il 2 agosto 2028.
C’è però un punto da non perdere. Il comunicato del Consiglio UE precisa che l’accordo è provvisorio e deve essere approvato dal Consiglio e dal Parlamento europeo, prima della revisione giuridico-linguistica e dell’adozione formale dell’atto legislativo.
Tradotto: il rinvio è un segnale politico rilevante, ma non è una buona ragione per fermarsi.
Anzi. Se l’Unione europea concede più tempo su alcuni obblighi, vuol dire che la complessità è reale. Ma il tempo in più serve per prepararsi, non per rinviare il problema.
Per molte PMI italiane, la questione non sarà dimostrare di avere un grande reparto compliance. Sarà dimostrare di aver iniziato almeno una cosa essenziale: sapere quali strumenti AI vengono usati, da chi, per quali attività e con quali dati.
La prima mappatura prima della policy
Il primo passo, per molte imprese, non dovrebbe essere comprare l’ennesimo software “AI compliant” o produrre documenti astratti da tenere in una cartella. Il primo passo dovrebbe essere più concreto: capire cosa sta già succedendo dentro l’organizzazione.
Quali strumenti AI vengono usati? Da chi? Per quali attività? Con quali dati? Con quale supervisione? Con quali rischi per clienti, lavoratori e cittadini?
Questa mappatura è il punto di partenza. Senza questo passaggio, ogni policy rischia di diventare una dichiarazione di principio: ordinata, formalmente corretta, ma distante dalla realtà.
La questione è semplice: non si governa ciò che non si conosce.
Oggi molte aziende potrebbero non conoscere davvero il proprio livello di esposizione all’intelligenza artificiale. Non perché siano arretrate, ma perché l’AI si è diffusa dal basso, nelle abitudini quotidiane, nelle scorciatoie operative, nelle urgenze di ogni giorno.
Per questo il tema non è solo giuridico. È culturale.
L’Unione europea sta costruendo regole. Le imprese devono costruire consapevolezza. I cittadini devono imparare a riconoscere quando una risposta automatica li sta aiutando e quando, invece, li sta solo convincendo.
Questa è la sfida dell’Educazione Artificiale: non insegnare soltanto a usare l’AI, ma imparare a non subirla.
