Dal 2 agosto 2026 la formazione sull’intelligenza artificiale (AI) non è più nice to have. È un obbligo. E chi lavora su salute e longevità rischia di più.
In Europa dal 2 febbraio 2025 sono entrate in vigore le disposizioni su AI literacy e i primi divieti. Il 2 agosto 2025 sono partite le regole sui modelli general purpose e sulla governance. Il 2 agosto 2026 entra in applicazione la maggior parte degli obblighi, insieme all’enforcement. In Italia, il Regolamento vale in modo identico perché è direttamente applicabile, ma dal 10 ottobre 2025 è entrata in vigore anche la legge n. 132/2025, che coordina la risposta nazionale.
C’è una frase che, nel 2026, separa le aziende solide da quelle che operano ancora in modalità “andiamo e vediamo”: «Usiamo l’AI per lavorare». Oggi questa frase non descrive soltanto efficienza, ma implica rischio operativo, rischio legale e rischio reputazionale.
Il rischio aumenta quando si tocca la salute
Nel mondo della longevity e della medicina il rischio sale di livello. Qui non si tratta di ottimizzare una newsletter, ma di intervenire su dati sanitari, decisioni cliniche, triage, prevenzione, profilazione del rischio, aderenza terapeutica, assicurazioni e accesso alle prestazioni. In altre parole, si tratta di impatti reali su persone reali. Il legislatore europeo ha quindi deciso che la fase dell’improvvisazione doveva finire.
L’AI Act non è uno slogan motivazionale da appendere in sala riunioni. È un Regolamento europeo con un calendario preciso e un sistema sanzionatorio che rende impraticabile l’approccio superficiale basato su entusiasmo e intuizione senza struttura.
Photo: Freepik
Dall’entrata in vigore all’enforcement
Il primo passaggio formale è avvenuto il primo agosto 2024, quando l’AI Act è entrato ufficialmente in vigore. Il 2 febbraio 2025 sono entrate in applicazione le disposizioni generali, inclusi gli obblighi di AI literacy e i divieti sulle pratiche vietate. Sei mesi dopo, il 2 agosto 2025, sono partite le regole relative ai modelli di intelligenza artificiale general purpose e sono stati richiesti ai singoli Stati membri sistemi di governance operativa, comprese autorità competenti e quadri sanzionatori nazionali.
Il passaggio decisivo avverrà il 2 agosto 2026, quando è entrata in applicazione la maggior parte delle regole, inclusi gli obblighi sui sistemi ad alto rischio e le regole di trasparenza dell’articolo 50. Da quel momento inizierà concretamente l’enforcement. Un ulteriore step è previsto per il 2 agosto 2027, quando entreranno in vigore le regole relative ai sistemi high-risk incorporati in prodotti già regolamentati. Parallelamente, in Italia, la legge 23 settembre 2025, n. 132, in vigore dal 10 ottobre 2025, ha stabilito deleghe e meccanismi di coordinamento nazionale. A questo punto, la questione non è più “se”, ma “come” e “con chi”.
L’obbligo meno visibile ma più pericoloso da ignorare
Il primo obbligo concreto, spesso sottovalutato perché meno appariscente, è quello relativo alla AI literacy. Dal 2 febbraio 2025, chi sviluppa o utilizza sistemi di intelligenza artificiale deve adottare misure concrete per garantire che il personale e chi opera per conto dell’organizzazione comprenda i sistemi utilizzati, inclusi rischi, limiti, contesto operativo e implicazioni legali ed etiche.
Photo: Unsplash / Jefferson Santos
Non si tratta di organizzare un corso simbolico di mezz’ora, ma di implementare una misura organizzativa reale, calibrata sui ruoli e sui livelli di rischio. La Commissione europea ha chiarito che le organizzazioni devono sapere quali sistemi utilizzano, quali rischi comportano e quali misure adottano, formando il personale in modo proporzionato alle competenze e al contesto operativo.
Quando l’AI diventa infrastruttura critica
Nel settore longevity e medicina questo obbligo assume una dimensione particolarmente critica. Utilizzare l’AI per profilare fragilità, prevedere declini funzionali, segmentare pazienti, assegnare priorità o supportare decisioni cliniche significa operare su un terreno altamente sensibile. Senza personale formato, procedure strutturate e responsabilità definite, l’AI rischia di diventare un acceleratore di errori, bias e contenziosi.
A questo si aggiunge il tema delle pratiche vietate e delle applicazioni ad alto rischio. I divieti previsti dall’AI Act non sono raccomandazioni, ma obblighi vincolanti. Comprendono, tra le altre cose, la manipolazione delle vulnerabilità delle persone, il social scoring e alcune forme di riconoscimento emotivo in contesti sensibili. Dal 2 febbraio 2025 queste disposizioni sono operative a tutti gli effetti.
Photo: DC studio / Freepik
Le sanzioni e la responsabilità operativa
Le sanzioni previste non sono simboliche. In caso di violazione delle pratiche vietate, le multe possono arrivare fino a 35 milioni di euro. Questo livello di esposizione trasforma l’AI da strumento tecnico a questione di governance aziendale. A questo punto emerge una distinzione operativa fondamentale: quella tra provider e deployer. Il provider è chi sviluppa o immette sul mercato un sistema di AI, mentre il deployer è chi lo utilizza nelle proprie attività operative. Nella pratica, molte organizzazioni ricoprono entrambi i ruoli, perché personalizzano, configurano, integrano o addestrano sistemi esterni. Questo significa che non è sufficiente affermare di utilizzare uno strumento di terze parti per essere esonerati dalle responsabilità.
Per chi utilizza l’AI, il principio chiave è considerarla un processo operativo regolato, non uno strumento occasionale. Il primo passo consiste nell’identificare con precisione tutti i punti in cui l’intelligenza artificiale entra nei processi aziendali, inclusi chatbot, sistemi di trascrizione, modelli di scoring, strumenti di segmentazione, selezione del personale, analisi delle immagini e automazioni amministrative.
Photo: Freepik
Una volta identificati questi punti, è necessario classificare i sistemi in base al rischio. Nel settore sanitario e della longevity molte applicazioni rientrano in ambiti sensibili, perché influenzano l’accesso a servizi, decisioni cliniche o valutazioni assicurative. Il principio alla base dell’AI Act è proporzionale: maggiore è il rischio, maggiori sono i requisiti e i controlli richiesti.
Governance, formazione e trasparenza
Un elemento centrale è la definizione di una governance chiara. Questo implica identificare responsabili di processo, referenti per la compliance, figure tecniche, responsabili della sicurezza e, quando coinvolti dati personali, il DPO. Nei contesti sanitari devono essere coinvolti anche referenti clinici. In assenza di questa struttura, l’AI diventa un sistema privo di responsabilità definite, con conseguenze critiche in caso di incidenti.
La formazione rappresenta un altro pilastro fondamentale. Deve essere differenziata per ruoli e includere chi utilizza l’AI operativamente, chi la integra tecnicamente e chi prende decisioni strategiche. I contenuti devono coprire funzionamento, limiti, bias, sicurezza, protezione dei dati e procedure interne. Parallelamente, diventa essenziale garantire trasparenza verso utenti e pazienti, soprattutto quando interagiscono con sistemi automatizzati o contenuti generati artificialmente.
Fornitori, sicurezza e documentazione
Le organizzazioni devono inoltre adottare criteri rigorosi nella selezione e gestione dei fornitori di sistemi AI. Questo implica richiedere documentazione tecnica, evidenze di sicurezza, log operativi e policy chiare sulla gestione dei dati. Dal 2 agosto 2025, con l’entrata in vigore delle regole sui modelli general purpose, queste verifiche diventano ancora più rilevanti.
Sul piano tecnico, l’AI introduce nuove superfici di attacco. Tecniche come prompt injection, data leakage o esfiltrazione tramite output possono compromettere dati sensibili. Senza adeguate misure di sicurezza e monitoraggio, soprattutto nel settore sanitario, l’adozione dell’AI può aumentare significativamente il rischio informatico. In questo contesto, la documentazione diventa uno strumento essenziale per dimostrare diligenza e responsabilità, includendo policy, registri d’uso, valutazioni di rischio e tracciabilità delle decisioni.
Photo: Sigmund / Unsplash
Il rischio dei consulenti improvvisati
Un problema emergente è rappresentato dalla presenza di consulenti che propongono soluzioni rapide senza affrontare i temi fondamentali di governance, sicurezza e compliance. In assenza di una visione strutturata, questi approcci possono esporre le organizzazioni a rischi significativi, soprattutto nei settori regolati.
Nel contesto sanitario e della longevity, l’improvvisazione è particolarmente pericolosa, perché gli errori non restano confinati ai sistemi informativi, ma incidono direttamente sulle persone. Per questo motivo, la selezione di partner e consulenti deve basarsi su competenze verificabili in ambito legale, tecnico e organizzativo.
Reality check: innovazione e responsabilità
L’AI Act non rappresenta un ostacolo all’innovazione, ma un meccanismo di selezione naturale tra chi utilizza l’intelligenza artificiale in modo strutturato e chi si affida a scorciatoie. Dal 2 febbraio 2025 la formazione sull’AI è diventata un obbligo operativo, mentre dal 2 agosto 2026 il sistema di enforcement entrerà pienamente in funzione.
In questo scenario, ogni organizzazione che utilizza l’intelligenza artificiale deve prendere una decisione strategica: governare la tecnologia o subirla. Nel settore longevity e medicina, questa scelta ha implicazioni ancora più profonde, perché coinvolge non solo aspetti economici, ma anche fiducia, sicurezza e responsabilità.
Riproduzione riservata
Photo cover: DC studio / Freepik
