Cybersecurity e AI Act: come l’UE regolamenta l’intelligenza artificiale sul lavoro
L’adozione dell’AI Act europeo ha ridefinito il panorama normativo sulla gestione dei dati dei dipendenti, introducendo nuove sfide e opportunità per le aziende. Questo articolo analizza come l’Unione Europea stia consolidando il suo ruolo di “polo regolatore” nell’ambito dell’intelligenza artificiale, ponendo particolare attenzione alla tutela dei lavoratori come portatori di interesse strategici nell’ecosistema digitale. L’approccio europeo, caratterizzato dall’integrazione tra AI Act e GDPR, riflette una strategia geopolitica volta a coniugare innovazione tecnologica e protezione dei diritti fondamentali, con particolare focus sulla cybersecurity e sulla gestione algoritmica del lavoro.
Quadro normativo AI Act: obiettivi e metodologia della ricerca
Lo scopo di questo lavoro è di sintetizzare il quadro normativo sulla gestione dei dati dei dipendenti dopo l’adozione dell’AI ACT. I dipendenti sono dei portatori di interesse interni alle aziende la cui tutela ha ricadute su tutta la popolazione, rendendoli un punto di vista strategico, nonostante siano stati spesso trascurati dal legislatore europeo. Il punto di partenza è quello della strategia europea in materia di intelligenza artificiale, dove emerge un’attenzione su due punti: il primo quello del diventare un “polo regolatore”, il secondo quello di tutelare la propria sicurezza informatica.
Questo approccio viene calato nell’ordinamento italiano, già ampiamente normato da statuto dei lavoratori e decreto trasparenza, che negli anni è stato arricchito dal legislatore europeo e l’IA Act rappresenta l’ultimo passo; in particolare, ci si sofferma sulle interazioni con il GDPR – l’altro regolamento in materia – e sulle procedure di monitoraggio introdotte nel capo IX.
Le criticità che l’ultimo regolamento va a toccare sono anche oggetto di diverse certificazioni ISO, che possono fornire un modello per risolvere il problema dell’affidabilità degli algoritmi e delle intelligenze artificiali, una sorta di “problema zero” dell’automazione. Nelle conclusioni si propone proprio la soluzione a questo problema come prospettiva per analizzare le attuali normative – e anche le prossime – facendo emergere proprio le tutele dei lavoratori e il coinvolgimento delle loro organizzazioni nel processo di costruzione della fiducia verso le nuove tecnologie.
Intelligenza Artificiale e Geopolitica: Unione Europea come polo regolatore?
Negli ultimi anni il tema dell’Intelligenza Artificiale (IA) ha preso sempre più importanza nel dibattito politico ordinario, seppur con alti e bassi, uscendo dalla zona di quegli argomenti che interessa a pochi addetti ai lavori. Sicuramente una causa dietro questo fenomeno è da trovarsi nel potenziale impressionante che questa tecnologia sta dimostrando di avere, ne sono un esempio gli ultimi sviluppi delle IA “generaliste” – cioè in grado di fare più compiti superando la necessità di una iper specializzazione – ma non è l’unica. Infatti, ci sono diverse tecnologie che nell’ultimo decennio hanno visto passi in avanti significativi come le reti blockchain, la realtà aumentata legata al metaverso o anche il settore della produzione energetica sostenibile.
Quello che ha coltivato l’interesse nella rivoluzione IA è il suo ruolo strategico sia nella possibilità di portare i livelli di produttività ad un nuovo balzo, grazie alla capacità di concepire soluzioni e tattiche fuori dalla portata di una mente umana, e l’integrazione che questa tecnologia ha con la data economy che è senza dubbio diventata uno dei motori portanti delle economie dei paesi più avanzati, inclusa l’Italia.
Al fine di comprendere gli scopi e le preoccupazioni degli attori coinvolti è necessario analizzare questo sviluppo tecnologico contestualizzandolo all’interno della realtà in cui è emerso. In questa partita non giocano un ruolo solo grandi e piccole aziende di sviluppo informativo, ma operano anche gli attori statali. Non c’è da stupirsi; è da dopo la pandemia gli interessi pubblici sono tornati a pesare sempre di più, portando gli stati a intervenire direttamente nell’economia e nei vari livelli di governance – intesa proprio come gestione degli interessi vivi della società.
Il punto di vista privilegiato dell’analisi condotta in questa tesi è quello europeo. Il motivo è da trovarsi nel fatto che in una partita di queste proporzioni, in cui gli attori in gioco sono Stati Uniti, Cina e Russia, gli stati europei sarebbero destinati all’irrilevanza se non si coordinassero tramite l’Unione Europea.
Questo è diventato particolarmente evidente nello sviluppo geopolitico degli ultimi anni, caratterizzato dallo scoppio di nuovi conflitti, tensioni, rotture e in generale dal declino di quel clima di collaborazione globale che aveva caratterizzato gli anni successivi alla fine della guerra fredda. La vicinanza con la Russia e la Cina, e dall’elezione di Donald Trump anche quella con gli Stati Uniti, inizia a far emergere delle conseguenze negative che quindi vanno soppesate rispetto ai benefici; in altre parole, è necessaria una rivalutazione della strategia internazionale europea.
È possibile vedere come questo nuovo contesto si rifletta anche nella partita per lo sviluppo delle IA. L’ultimo esempio è stato quando in Cina il fondo finanziario High-Flyer ha rilasciato il suo modello di ChatBot “DeepSeek[1]” in aperta competizione con l’americano ChatGPT rilasciato da OpenAI. Il semplice ingresso della Cina su questo mercato con un modello paragonabile a quello statunitense ha fatto impazzire i mercati portando a centinaia di miliardi di dollari di perdite.
Si prepara una lunga stagione di dazi, restrizioni d’accesso ed altre forme di protezionismo. Questa tesi non è il luogo per confrontare i vari modelli di IA, svelare la speculazione finanziaria alle spalle di queste aziende o approfondire altri temi affascinanti che girano attorno a questa tecnologia; invece, è fondamentale delineare quale sia la posizione che l’UE si stia ritagliando in questa competizione storica che è effettivamente unica nello scenario globale.
La cybersecurity, una componente fondamentale
L’UE si presenta come una sorta di “polo regolatore” che non promuove semplicemente lo sviluppo di modelli in competizione con gli altri, ma un intero approccio alternativo che possa andare a misurarsi non solo sull’efficacia di queste tecnologie ma sul loro impatto positivo. Proprio come per tutte le regolamentazioni attorno al mercato unico, la strategia europea consiste nel fare leva sulla propria superiorità in tema di valori etici e sociali.
In materia di IA si parla proprio di “Intelligenze Sociali per il bene comune”[2] e negli ultimi anni il legislatore comunitario si è concentrato sul far emergere un regolamento che andasse subito a chiarire i limiti per questa tecnologia tenendo a mente anche la necessità di innovazione. Questo iter si è tradotto nella pubblicazione del regolamento europeo sull’intelligenza artificiale, anche noto come AI Act, nell’estate del 2024.
Abbiamo già detto come le IA si vadano a integrare in un ecosistema economico informatico, digitale e basato sui dati, ma all’interno di un sistema conflittuale va tenuto a mente anche la necessità di proteggere questa infrastruttura da parte di attacchi di guerra ibrida e digitale – di cui il nostro paese è già stato soggetto in passato. All’interno di questa competizione non ci si può aspettare uno spirito sportivo e leale – forse nemmeno gli stati europei possono fregiarsi di averlo – e quindi diventa necessario inserire nella strategia europea una terza componente fondamentale, quella della cybersecurity.
Come vedremo nel corso della tesi, la sicurezza informatica o cybersicurezza rappresenta un vero e proprio approccio paradigmatico fondamentale per la regolamentazione. Questo perché si tratta di un metodo complesso volto a costruire interventi specifici per ogni singola organizzazione, partendo dai rischi e dalle opportunità particolari.
Questa prassi traspare non solo all’interno dell’AI Act, ma anche in tutti gli interventi normativi europei precedenti riguardo il mercato digitale. In particolare, si fa attenzione sia alle minacce esterne che emergono dal contesto internazionale sia a quelle interne dovute alla oggettiva novità e difficoltà tecnica. Il principio fondamentale, in ultima analisi, non è quello di tutelare la tecnologia in sè per sè, ma quello di tutelare il primato come mercato sicuro che tutela i propri cittadini. Non si parla solo della cybersecurity nel senso di protezione da attacchi hacker, ma come costruzione di un’infrastruttura sicura. Un approccio già presente con il regolamento sulla gestione dei dati personali, l’ormai celebre GDPR.
Ed è proprio il concetto di tutela che diventa il filo conduttore di questa ricerca, il cui fine è quello di studiare e sintetizzare quale sia il quadro complessivo che è emerso a seguito dell’ultimo regolamento in materia di IA. La lente specifica con cui è stata fatta questa analisi è quella del rapporto di lavoro e della base giuslavorista. Il motivo è che il ruolo dei lavoratori in queste dinamiche sociali non è secondario. Sono i lavoratori che fanno materialmente funzionare le aziende, le pubbliche amministrazioni e ogni altro aspetto della nostra economia, incluso lo sviluppo delle IA.
Gestione algoritmica e tutela dei lavoratori nell’AI Act
Una delle applicazioni con più alto potenziale per questa tecnologia prende forma all’interno della gestione algoritmica, o algorithmic management, in cui il processo automatizzato è quello di organizzazione del lavoro, stadardizzazione e valutazione dei processi produttivi. Non si tratta di una prospettiva futura, ma della realtà già presente per aziende colossali e critiche nell’economia nazionale e globale.
I lavoratori sono dei portatori di interesse che nella tutela del diritto alla privacy e dei dati personali tendono a non emergere quanto altre figure, come per esempio i consumatori. Questo è un’opportunità persa, che questa tesi cerca di cogliere. Le tutele dei lavoratori sono un aspetto altrettanto strategico che ha un impatto quotidiano sulla vita di tutti.
L’analisi condotta evidenzia come l’AI Act rappresenti un tassello fondamentale nella strategia europea di regolamentazione dell’intelligenza artificiale, con particolare riferimento alla gestione dei dati dei dipendenti. L’approccio dell’Unione Europea come “polo regolatore” si distingue per l’integrazione tra innovazione tecnologica e tutela dei diritti fondamentali, creando un framework normativo che coniuga GDPR e nuove disposizioni sull’IA.
Il prossimo capitolo approfondirà l’implementazione di queste normative nel contesto nazionale, analizzando il principio della limitazione delle finalità, gli obblighi informativi per il datore di lavoro e il quadro complessivo post-AI Act.
Per una comprensione completa e operativa di questi temi, è disponibile il white paper gratuito di Biagio Poliseno “Standard di gestione dei dati dei dipendenti dopo l’AI ACT”, una risorsa essenziale per professionisti e aziende che devono navigare il nuovo panorama normativo europeo.
Fonti:
[1] In cinese: 深度求索, shēn dù qiú suǒ
[2]“Artificial Intelligence For Social Good” abbreviato in AI4SG. L. FLORIDI, Etica dell’intelligenza artificiale. Sviluppi, opportunità, sfide, Raffaello Cortina Editore, 2022, p. 300. Citato in Tebano L. (2023) “Poteri datoriali e dati biometrici nel contesto dell’AI Act”.
Biagio Poliseno è nato a Bari il 21 agosto 2000. Dopo essersi trasferito a Roma, ha intrapreso un percorso accademico internazionale, conseguendo con lode una laurea triennale in Affari Internazionali presso la John Cabot University nel dicembre 2021. A marzo 2024 ha completato con il massimo dei voti la laurea magistrale in Scienze dell’amministrazione e della politica pubblica presso Sapienza – Università di Roma, con una tesi sul algorithmic management e il ruolo del sindacato nella regolazione dell’intelligenza artificiale nei contesti lavorativi.
Parallelamente alla formazione accademica, ha maturato esperienze in ambito amministrativo, redazionale e universitario, con tirocini in contesti di ONG e aziende. Durante la pandemia ha ricoperto il ruolo di Covid Manager, coordinando l’applicazione dei protocolli di sicurezza durante eventi sportivi organizzati da l’ACI.
Nel 2025 ha concluso con lode il master di II livello in Informatica giuridica, diritto delle nuove tecnologie alla Sapienza, presentando una tesi dedicata agli standard di gestione dei dati dei dipendenti alla luce del Regolamento europeo sull’intelligenza artificiale (AI Act).
