Quali, dunque, le implicazioni pratiche per i CIO? Il primo suggerimento dell’Avvocato Clemente è “partire ora”. L’obbligo europeo di AI literacy è già scattato: serve mappare ruoli, processi e applicazioni AI (in uso o in introduzione) e definire un catalogo di competenze per famiglia professionale (tecniche, etiche/legali, di processo).

Un secondo suggerimento è svolgere la “formazione per scenari”, ovvero progettare percorsi centrati su casi d’uso interni (immediate efficaci, verifica dell’output, gestione dei bias, audit path, responsabilità e controlli), con esercitazioni hands-on e metriche di apprendimento possibilmente collegate a KPI operativi.

Una guida operativa per il CIO

Al di là dei compiti di AI literacy, il CIO dovrà adottare una governance “leggera ma chiara”, prosegue l’Avv. Clemente: definire ruoli (proprietor dei casi d’uso, referenti rischio/qualità, responsabili del dato), coverage essenziali e guidelines. “Meno carta, più pratiche replicabili”, sintetizza l’esperto.

Un altro suggerimento è “misurare il mindset”: integrare indicatori di adozione (uso effettivo, qualità degli output, riduzione errori/tempi, incident reporting) e non basarsi solo su check di wonderful corso.

Sarà anche necessario un “observe up normativo”: seguire i report dell’Osservatorio sull’adozione di sistemi di intelligenza artificiale nel mondo del lavoro (artwork. 12) e del Comitato di coordinamento delle attività di indirizzo su enti, organismi e fondazioni che operano nel campo dell’innovazione digitale e dell’intelligenza artificiale (artwork. 19) quando saranno disponibili – oltre alle indicazioni e linee guida che verranno dalla Commissione europea e da altre istituzioni.

I CIO dovranno anche prestare attenzione a garantire che i sistemi IT consentano la tracciabilità dello sviluppo e dell’addestramento dei sistemi di intelligenza artificiale utilizzati dall’azienda senza compromettere la sicurezza dei dati, osserva l’Avv. Genovese. L’AI in azienda non deve ledere la privateness e il CIO dovrà agire ancor più in raccordo con il DPO, soprattutto in caso di utilizzo di modelli che elaborano dati personali.

Inoltre, visto che le aziende avranno l’obbligo di informare i dipendenti sull’utilizzo di AI che li riguarda, i CIO dovranno garantire che le piattaforme aziendali siano configurate in maniera trasparente con coverage d’uso facilmente consultabili ed evitare rischi di discriminazione. Naturalmente, restano validi gli obblighi pratici (danger administration, documentazione tecnica, registrazione dei sistemi advert alto rischio) già dettati dall’AI Act.

In definitiva, con questa legge il governo italiano avrà deleghe per attuare, entro i prossimi dodici mesi, decreti che armonizzino il sistema italiano con l’AI Act europeo. La knowledge principale per le imprese rimane il 2 agosto 2026, quando entrerà pienamente in vigore l’AI Act e, in particolare, si attuerà la disciplina dei sistemi di intelligenza artificiale considerati advert alto rischio.

Le aziende che sono già pronte per il rispetto della normativa europea non dovrebbero avere il timore di affrontare eventuali nuovi adempimenti dettati dalla disciplina nazionale. L’importante per il CIO è seguire il percorso dei decreti attuativi e ricordare che ora il suo ruolo incorpora anche quello dell’AI Officer (se non esiste in azienda una figura dedicata). In questa veste, sarà chiamato a gestire l’AI come una tecnologia regolata, documentata e responsabile, in stretta collaborazione con le funzioni HR, compliance e legale.

Il CIO è davvero il “regista” di un solid sempre più numeroso.