E’ iniziata la nuova era della regolamentazione dell’intelligenza artificiale

L’EU AI Act rappresenta il primo quadro normativo organico dedicato alla regolamentazione dello sviluppo, della distribuzione e dell’utilizzo dell’intelligenza artificiale. La normativa introduce requisiti stringenti per i sistemi classificati ad alto rischio e prevede sanzioni rilevanti in caso di non conformità. Analogamente a quanto avvenuto con il GDPR nel campo della governance dei dati, l’impatto dell’EU AI Act è destinato a estendersi ben oltre i confini europei: molte organizzazioni multinazionali stanno infatti adottando gli standard dell’Unione Europea su scala globale, al fine di evitare la complessità e i costi derivanti dalla gestione di regimi normativi frammentati.

In termini pratici, l’EU AI Act rappresenta un cambiamento fondamentale: l’AI passa dall’essere una fonte di innovazione a una funzione regolamentata che richiede lo stesso livello di governance e supervisione previsto per il reporting finanziario o la privacy dei dati.

Le aziende di tutto il mondo stanno dedicando crescente attenzione a questo tema, come evidenziano chiaramente le tendenze delle ricerche online. Il “Relative Search Volume” (RSV) — indice normalizzato che misura l’interesse di ricerca nel tempo — relativo al termine “EU AI Act” ha raggiunto, negli ultimi 90 giorni, il valore massimo di 100/100. Nell’analisi dei dati, un punteggio pari a 100 rappresenta il livello più elevato di interesse registrato nel periodo considerato, confermando come l’attenzione verso questa normativa abbia toccato i massimi degli ultimi tre mesi.

La tempesta perfetta: scadenze, enforcement e rischio AI convergono

Cosa sta quindi alimentando questa crescita di interesse e perché tutta questa urgenza improvvisa?

La risposta sta nelle tempistiche. Con l’avvicinarsi della scadenza del 2 agosto 2026, il settore si sta preparando al momento in cui la maggior parte degli obblighi previsti dall’Act — in particolare quelli relativi ai sistemi AI “ad alto rischio” — diventeranno legalmente vincolanti. I sistemi ad alto rischio sono quelli che possono influire in modo sostanziale sulla sicurezza, sui diritti o sull’accesso ai servizi essenziali delle persone e che, pertanto, richiedono controlli rigorosi. Tra questi rientrano, ad esempio, i sistemi AI utilizzati nei processi di selezione e gestione del personale, nel credit scoring, nell’identificazione biometrica, nell’istruzione, nella sanità, nelle forze dell’ordine, nel controllo delle frontiere, nell’accesso ai servizi pubblici e nel supporto alle decisioni giudiziarie.

Il pacchetto di emendamenti “EU AI Omnibus”, proposto alla fine del 2025, ha ulteriormente aumentato il senso di urgenza introducendo percorsi di compliance più raffinati e accessibili, in particolare per le organizzazioni di dimensioni minori. Il risultato è una seconda ondata di approfondimenti tecnici, mentre le aziende si affrettano a interpretare e implementare questi requisiti.

Questa intensa attività riflette la chiusura del cosiddetto “periodo di grazia”, ovvero l’intervallo tra l’approvazione della legge e la sua piena applicazione. Con sanzioni che possono arrivare fino al 7% del fatturato globale, il passaggio dalla semplice consapevolezza all’effettiva enforcement è ormai evidente nei dati. Con l’avvicinarsi della scadenza, il costante aumento dell’interesse indica una transizione più ampia: dallo sviluppo dell’AI sostanzialmente non regolamentato a un modello di governance standardizzato e ad alto impatto.

Quando l’AI incontra il mobile: una nuova realtà operativa

Allo stesso tempo, la rapida crescita dell’AI sta convergendo con l’adozione sempre più diffusa dei dispositivi mobili. Insieme, queste due tendenze stanno ridefinendo profondamente il modo in cui il lavoro viene svolto e dove emergono i rischi.

I dipendenti interagiscono sempre più frequentemente con servizi di intelligenza artificiale direttamente tramite applicazioni mobili, integrando l’AI generativa nei flussi di lavoro quotidiani. Di conseguenza, il mobile è diventato uno dei principali punti di accesso all’AI, pur restando uno degli ambienti meno visibili e meno governati all’interno delle organizzazioni, con implicazioni rilevanti in termini di controllo, sicurezza e governance.

I tradizionali meccanismi di discovery e controllo, basati sull’ispezione della rete e sulle integrazioni cloud, sono progettati principalmente per attività che avvengono entro i confini aziendali. Di conseguenza, l’utilizzo non autorizzato della cosiddetta “shadow AI” si sta sempre più spostando verso i dispositivi mobili, dove opera al di fuori del controllo e della visibilità dell’organizzazione.

Questo crea un gap critico di compliance. L’EU AI Act richiede tracciabilità, classificazione del rischio e controllo sull’utilizzo dell’AI, ma senza visibilità sulle attività mobile le organizzazioni non sono in grado di monitorare una quota crescente delle interazioni AI nel mondo reale. In pratica, le aziende potrebbero ritenersi conformi pur avendo una parte significativa dell’utilizzo dell’AI completamente fuori dal proprio framework di governance.

Inizia un percorso verso la soluzione

Per affrontare questa sfida, Lookout ha introdotto la soluzione Mobile AI Visibility & Governance come estensione della propria piattaforma di sicurezza mobile. Progettata specificamente per l’ambiente mobile, la soluzione offre visibilità continua a livello di dispositivo sull’utilizzo dell’AI, consentendo alle organizzazioni di individuare applicazioni abilitate all’AI, identificare componenti AI integrati e monitorare le interazioni in tempo reale.

Estendendo la governance fino al “mobile edge”, Lookout contribuisce a colmare gap critici di visibilità, applicare policy e supportare la conformità a framework come l’EU AI Act, permettendo alle aziende di scalare l’adozione dell’AI in modo sicuro, trasparente e allineato alle aspettative normative.

In termini semplici, mentre il conto alla rovescia normativo procede, il mobile è passato dalla periferia al centro della governance dell’AI. Le organizzazioni che non includeranno il livello mobile nella propria strategia di compliance rischiano non solo sanzioni regolamentari, ma anche una perdita fondamentale di visibilità e controllo su come l’AI opera all’interno del business.

Fonte: Lookout

La tua governance AI si basa su supposizioni

Immagina questa scena.

Entra un auditor. Magari è per il rinnovo della cyber insurance. Magari è il tuo stesso consiglio di amministrazione dopo che una brutta notizia è finita sui giornali. In ogni caso, hanno una domanda semplice:

“Potete mostrarci tutti gli strumenti di AI effettivamente in esecuzione nel vostro ambiente in questo momento?”

Non quelli approvati sulla carta. Quelli che ci sono davvero.

La Policy e la Realtà

Ogni organizzazione con cui parliamo ha fatto i compiti. La policy sull’utilizzo dell’AI è stata scritta. Gli strumenti approvati sono stati definiti. Qualcuno probabilmente ha dedicato parecchio tempo nella stesura di quella lista di tool consentiti.

Il problema è questo: i dipendenti non stavano aspettando quella lista.

Il 69% delle organizzazioni sospetta o ha prove che i dipendenti stiano utilizzando strumenti pubblici di GenAI proibiti (Gartner). Non stiamo parlando di pochi “ribelli”. Parliamo della maggioranza. Mentre si scrivevano le policy, le persone stavano già usando ChatGPT per riassumere email, installando estensioni Copilot in Chrome e utilizzando assistenti AI per il coding nei propri ambienti di sviluppo.

Alcuni di questi strumenti girano su dispositivi gestiti. Altri no. Molti si collegano a servizi esterni e trasferiscono dati fuori dall’ambiente aziendale ogni singolo giorno.

E qui arriva la parte più scomoda: la maggior parte dei team IT e Security non sa realmente quali strumenti siano presenti.

Il Problema delle Liste

Le soluzioni di discovery tradizionali si basano su un presupposto ragionevole: decidi dove guardare, e gli strumenti vanno a cercare lì. Definisci subnet, range IP, dispositivi da monitorare. Gli strumenti fanno bene questo lavoro. Trovano tutto ciò che gli hai indicato.

Ma l’AI non chiede il permesso prima di comparire nella tua lista.

Un’estensione browser si installa in trenta secondi. Un consulente che collega il proprio laptop non apre un ticket. Uno sviluppatore che avvia un server locale per modelli AI sicuramente non avvisa l’IT.

Niente di tutto questo appare in uno strumento di discovery che guarda solo dove gli è stato detto di guardare.

Non si tratta di una mancanza di impegno. È un fallimento architetturale. Gli strumenti sono stati progettati per un mondo in cui tutto veniva aggiunto alla rete passando dall’IT. Quel mondo non esiste più.

Il 2 Agosto è Più Vicino di Quanto Sembri

Se operate nell’UE, o fate business lì, aggiungete anche una scadenza concreta alla lista delle preoccupazioni. L’EU AI Act richiede alle organizzazioni di classificare i sistemi AI in base al livello di rischio, mantenere documentazione e conservare evidenze sull’utilizzo di tali sistemi. L’applicazione entrerà in vigore dal 2 agosto 2026.

Non puoi classificare sistemi che non sai nemmeno che esistano.

La maggior parte delle organizzazioni oggi non possiede nemmeno un inventario formale dell’AI. Quello che hanno è una lista degli strumenti approvati. Ma sono due cose molto diverse.

C’è poi il problema dell’automazione, ed è ancora più subdolo della compliance. Tutti i workflow su cui avete investito — patching, enforcement delle policy, trigger di incident response — funzionano sull’inventario disponibile. Quando quell’inventario ha dei buchi, l’automazione non si ferma a riflettere. Continua ad agire sulla base di una visione incompleta, sempre più velocemente di quanto qualcuno possa correggere manualmente.

Un dispositivo non incluso nell’ambito di applicazione non viene aggiornato. Una connessione AI di cui nessuno era a conoscenza non viene esaminata. Le lacune non rimangono tali a lungo. Diventano policy di fatto.

Cosa Sta Cambiando Davvero?

Durante il nostro revence webinar Pulse, il team di prodotto ha mostrato due novità che stanno cambiando questo scenario. Ed entrambe meritano attenzione.

La prima è il tracciamento dell’utilizzo dell’AI.

Si abilita dalle impostazioni di discovery di Lansweeper e inizia a raccogliere informazioni sui servizi AI esterni a cui i dispositivi si stanno collegando: ChatGPT, Copilot e altri. Non si limita a segnalare che “questo strumento è installato”, ma rileva le connessioni effettive, monitorate su un periodo di 14 giorni, associate alle singole risorse. È possibile vedere quale dispositivo, con quale frequenza e quanti dati vengono trasferiti.

Se la tua policy prevede che Copilot sia lo strumento approvato e non ChatGPT, puoi verificarlo immediatamente senza dover scavare nei firewall log. La dashboard di AI Asset Management centralizza tutto in un unico punto, permettendo a IT e Security di lavorare finalmente sugli stessi dati, nello stesso momento, senza il solito rimpallo su quale fonte sia affidabile.

La seconda novità è il Traffic Sensor, attualmente in beta.

Invece di partire da una lista di dispositivi da analizzare, il Traffic Sensor ascolta ciò che sta realmente comunicando sulla rete. Se qualcosa è presente e attivo, emerge automaticamente. Non perché qualcuno lo abbia inserito nello scope, ma perché è stata la rete stessa a segnalare la sua presenza.

Durante il webinar Pulse, uno dei product manager ha usato un’analogia con la “fog of war” dei videogiochi strategici, ed è sorprendentemente accurata.

La discovery tradizionale “illumina” solo le aree che hai deciso di esplorare. Tutto ciò che resta fuori da quelle aree rimane al buio. Il Traffic Sensor è ciò che dissolve quella nebbia. Non si chiede se hai guardato nei posti giusti: parte da ciò che sta realmente accadendo sulla rete.

Per la governance dell’IA, questo è l’elemento che colma il divario. Uno strumento di IA in esecuzione su un dispositivo che nessuno ha mai individuato non è più invisibile perché il Traffic Sensor lo troverà. La discovery completa i dettagli. Quel dispositivo precedentemente ignorato — e tutto ciò che vi gira sopra — entra finalmente nella stessa visione operativa utilizzata dal team.

Come Si Presenta realmente una prova concreta

Ecco cosa cambia quando puoi finalmente rispondere alla domanda dell’auditor senza andare nel panico.

Non si tratta semplicemente di dire “abbiamo una buona visibilità”. Molti team lo dicono. La differenza è poter dimostrare come quella visibilità sia stata costruita: partendo da ciò che la rete stessa ha rivelato, non da una lista compilata anni fa sperando che nulla cambiasse nel frattempo.

Questa è evidenza concreta. Ed è l’evidenza che regge quando la pressione aumenta.

La maggior parte dei team oggi non è ancora arrivata a questo punto, e sinceramente non è colpa loro. Gli strumenti su cui si basano non sono mai stati progettati per il modo in cui l’AI si diffonde realmente.

L’AI usage tracking e il Traffic Sensor sono l’inizio di una correzione di quelle fondamenta.

La domanda dell’auditor arriverà.
La domanda del board arriverà.

La risposta può essere chiara e immediata, senza dover rincorrere informazioni mancanti.

Monitoraggio dell’utilizzo dell’IA

Vai su [Discovery > Actions] nel tuo portale Lansweeper, abilita la funzione e apri la dashboard di AI Asset Management. I dati sono già disponibili.

Fonte: Lansweeper