La Commissione Europea ha recentemente lanciato il Compliance Checker dell’AI Act, uno strumento online pensato per aiutare imprese e professionisti a orientarsi tra gli obblighi e le regole introdotte dalla normativa europea sull’intelligenza artificiale.

Attualmente in versione beta, il tool fa parte di un progetto in evoluzione: la Commissione invita infatti gli utenti a fornire feedback per migliorarne precisione e funzionalità.

Il contesto: l’AI Act e la logica del rischio

L’AI Act rappresenta la prima normativa europea dedicata all’IA e punta a garantire sicurezza, trasparenza e rispetto dei diritti fondamentali nell’uso dei sistemi intelligenti.

La legge distingue i sistemi AI in diverse categorie di rischio. Alcuni sistemi, come quelli considerati manipolativi o pericolosi, sono direttamente proibiti; altri, definiti “ad alto rischio”, riguardano ambiti come sanità, giustizia, lavoro o infrastrutture critiche, e richiedono valutazioni specifiche e misure di mitigazione del rischio.

Infine, esistono sistemi a rischio limitato o minimo, che hanno un impatto più ridotto e sono soggetti a requisiti meno stringenti.

Il Compliance Checker nasce per accompagnare aziende e sviluppatori nel comprendere in quale categoria rientra il loro sistema AI e quali azioni preliminari possono intraprendere per allinearsi alla normativa.

Un passo indietro: la definizione di sistema di IA

Per comprendere davvero come funziona il Compliance Checker e perché le sue domande siano strutturate in un certo modo, è necessario soffermarsi su che cosa l’AI Act considera un “sistema di intelligenza artificiale”.

Secondo la definizione contenuta nell’articolo 3 del Regolamento, un sistema di IA è “un sistema basato su macchina progettato per operare con diversi livelli di autonomia e che può mostrare adattabilità dopo il suo impiego, e che, per obiettivi espliciti o impliciti, deduce, in base agli input che riceve, come generare output come previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali”.

Dietro questa formula, apparentemente tecnica, si nasconde l’essenza stessa della disciplina. La definizione si articola in alcuni elementi chiave:

1. il riferimento al sistema basato su macchina, che include componenti hardware e software;
2. la capacità di autonomia, ossia la possibilità di operare con un certo grado di indipendenza rispetto all’intervento umano;
3. la potenziale adattabilità, cioè la facoltà di modificare il proprio comportamento in base all’esperienza o ai dati raccolti.

Fondamentale è anche la componente di inferenza, cioè il processo attraverso il quale il sistema elabora input per generare output che incidono su decisioni o previsioni.

È qui che l’IA si distingue dai software tradizionali: non esegue soltanto regole predefinite, ma “deduce” come agire per raggiungere un obiettivo, esplicito o implicito.

Da questa impostazione derivano due caratteristiche centrali: autonomia e inferenza.

Mentre un software tradizionale necessita dell’intervento umano per ogni decisione, un sistema di IA può agire autonomamente, adattandosi e migliorando nel tempo grazie all’analisi dei dati.

L’inferenza, invece, consente al sistema di apprendere relazioni e schemi, formulando previsioni o suggerimenti che influenzano direttamente l’ambiente fisico o digitale.

L’apprendimento può avvenire secondo diverse modalità. Nell’apprendimento automatico, i sistemi imparano da grandi quantità di dati, con approcci supervisionati, non supervisionati, auto-supervisionati o basati sul rinforzo.

In alternativa, negli approcci basati sulla logica, il comportamento è guidato da regole e conoscenze strutturate codificate nel sistema, come accade nei cosiddetti sistemi esperti.

L’AI Act riconosce anche che l’adattabilità non è sempre obbligatoria: esistono sistemi di IA statici, che non apprendono, ma che mantengono comunque capacità di inferenza o autonomia tali da ricadere nel perimetro normativo.

Infine, la normativa chiarisce cosa non è IA. Restano fuori i software che eseguono operazioni deterministiche, come i sistemi di ottimizzazione matematica o gli strumenti di analisi statistica che si limitano a ordinare dati secondo regole fisse.

Allo stesso modo, i programmi basati su euristiche o previsioni semplici – come un algoritmo che calcola medie storiche o un programma di scacchi che segue regole predefinite – non rientrano nella definizione di IA, poiché mancano di autonomia e capacità inferenziale.

In altre parole, la linea di confine tra intelligenza artificiale e software tradizionale passa proprio per la capacità del sistema di apprendere, adattarsi e dedurre.

Ed è su questa distinzione che si fonda l’intero impianto del Compliance Checker.

Come funziona il Compliance Checker

Lo strumento guida l’utente attraverso un questionario strutturato, esplorando lo scopo del sistema AI, il settore di applicazione, il livello di autonomia del sistema e il grado di interazione umana, oltre al potenziale impatto sugli utenti e sui cittadini.

Ogni risposta definisce un percorso logico che porta a una classificazione preliminare del sistema, indicando il livello di criticità e suggerendo possibili misure di conformità.

Va sottolineato che il tool non sostituisce un audit completo né un parere legale, ma rappresenta un primo orientamento pratico.

Il percorso logico che porta alla classificazione preliminare del sistema

Il percorso parte da una domanda di base: l’utente vuole verificare un sistema di intelligenza artificiale o un modello di IA?

La distinzione non è banale. Il Regolamento, infatti, chiarisce che i modelli di IA sono componenti essenziali di un sistema, ma non costituiscono un sistema a sé.

Possono generare testi, immagini o suoni, ma diventano “sistemi” solo quando vengono integrati in un prodotto o servizio, ad esempio attraverso un’interfaccia utente.

Per questa ragione, la Commissione suggerisce di usare il tool due volte nel caso in cui un’organizzazione sviluppi sia il modello che il sistema che lo incorpora.

Una volta scelto il percorso, il questionario prosegue chiedendo se la tecnologia in esame possa effettivamente essere definita un sistema di IA ai sensi dell’articolo 3 del Regolamento, che lo descrive come un sistema basato su macchine capace di operare con diversi livelli di autonomia e di adattarsi dopo l’implementazione, generando output come previsioni, raccomandazioni, contenuti o decisioni in grado di influenzare l’ambiente fisico o virtuale.

È un passaggio importante perché consente di distinguere un sistema di IA da un software tradizionale, basato su regole statiche definite da programmatori umani.

Il ruolo dell’utente nella catena del valore

Segue una parte dedicata all’identificazione del ruolo che l’utente ricopre nella catena del valore: il tool chiede se si agisce come fornitore, deployer, importatore, distributore, rappresentante autorizzato o produttore di un prodotto che integra un sistema di IA.

La classificazione è importante perché gli obblighi dell’AI Act variano sensibilmente a seconda del ruolo. Un provider, ad esempio, sarà responsabile della conformità tecnica e della documentazione del sistema, mentre un deployer dovrà concentrarsi sull’uso corretto e sulla gestione dei rischi nel contesto operativo.

Il Compliance Checker esplora poi un aspetto più tecnico ma decisivo: le modifiche apportate lungo la catena di fornitura. Domande come “hai apposto il tuo marchio su un sistema preesistente?”, “hai modificato in modo sostanziale il funzionamento?” o “hai cambiato la finalità d’uso tanto da trasformarlo in un sistema ad alto rischio?” aiutano a capire se un soggetto, pur non essendo il produttore originario, diventa di fatto responsabile ai sensi del Regolamento.

Ambito territoriale

Un altro blocco serve a stabilire se l’operatore rientri nel campo di applicazione territoriale dell’AI Act. Il sistema verifica se l’organizzazione ha sede nell’Unione Europea, se il sistema è messo sul mercato o utilizzato nel territorio dell’UE, oppure se i risultati generati (output) vengono usati nell’Unione anche da soggetti stabiliti altrove.

Infine, il tool verifica se il sistema possa essere escluso dal campo di applicazione. Ne restano fuori, ad esempio, i sistemi sviluppati e utilizzati esclusivamente per scopi di difesa, sicurezza nazionale o ricerca scientifica, oppure quelli ancora in fase di test prima della commercializzazione.

Il risultato finale è un’indicazione di massima: il Compliance Checker restituisce un profilo sintetico del ruolo e della possibile classificazione del sistema, specificando se rientra o meno nell’ambito dell’AI Act.

Il sito ricorda esplicitamente che le risposte hanno solo valore informativo e non costituiscono parere legale o valutazione ufficiale da parte della Commissione.

Compliance Checker dell’AI Act: un orientatore, non un audit

Il valore del Compliance Checker sta proprio nella sua funzione orientativa.

Aiuta a capire dove ci si colloca rispetto alla normativa e quali passi intraprendere prima di avviare una vera e propria procedura di conformità.

È utile ai fornitori e sviluppatori che vogliono mappare i rischi dei propri prodotti, ma anche ai DPO, compliance officer e consulenti legali che devono integrare l’AI Act nei sistemi di gestione aziendale.

Per le PMI, può rappresentare una risorsa preziosa: un modo per avvicinarsi alla materia senza affrontare subito la complessità tecnica e giuridica della valutazione formale.

A chi serve il Compliance Checker

Il pubblico che può trarne beneficio comprende i fornitori e sviluppatori di sistemi AI, che vogliono comprendere rapidamente il livello di rischio e gli obblighi normativi, i DPO e i consulenti legali che devono mappare i rischi e pianificare audit più dettagliati, e le piccole e medie imprese, che spesso non dispongono di risorse interne dedicate alla compliance ma hanno bisogno di strumenti accessibili e comprensibili.

In sostanza, il Compliance Checker funge da primo passo operativo verso la conformità “by design”, introducendo le imprese ai requisiti normativi senza appesantire il processo.

Limiti e prospettive

Nonostante le potenzialità, il tool presenta alcuni limiti. Essendo ancora una versione beta, alcune categorie o scenari non sono completamente coperti.

La classificazione rimane indicativa, e la verifica con specialisti legali e tecnici è sempre necessaria. Non fornisce un giudizio vincolante e non può sostituire una valutazione formale di conformità.

Tuttavia, il suo valore principale è educativo: dimostra che la Commissione Europea intende rendere l’AI Act comprensibile e applicabile.