di Luca Barbieri di ArlatiGhislandi e AG Studi e Ricerche
Nella seduta dello scorso 26 marzo 2026, il Parlamento europeo ha approvato numerosi emendamenti alla proposta di regolamento diretta a semplificare l’attuazione delle regole armonizzate in materia di intelligenza artificiale, intervenendo sul Regolamento (UE) 2024/1689(AI Act).
Il differimento al 2 dicembre 2027 dell’applicazione delle disposizioni relative ai sistemi di IA ad alto rischio costituisce una delle modificazioni più rilevanti apportate al vigente impianto normativo. Tuttavia, tale rinvio, ulteriormente differito al 2 agosto 2028 nell’ipotesi in cui il sistemadi IA sia utilizzato come componente della sicurezza di una macchina, non può essere interpretato come una sospensione dell’efficacia delle disposizioni dettate dall’ordinamento nazionale in materia di tutela della salute e sicurezza nei luoghi di lavoro.
Dunque, quando un sistema di IA in uso esponga i lavoratori ad un rischio per la salute e sicurezza, il datore di lavoro-deployer è tenuto a i) effettuare la valutazione di tutti i rischi per la sicurezza e la salute dei lavoratori, formalizzata in un apposito documento (DVR), e ii) provvedere, senza ritardo, ad aggiornare detto DVR ogni qual volta siano intervenute modifiche significative del processo produttivo o dell’organizzazione del lavoro (artt. 17, 28, c. 1 e 29, c. 3 del D.Lgs. 81/2008). La violazione di dette disposizioni imperative può comportare l’arresto da tre a sei mesi o la comminazione di un’ammenda d’importo compreso tra € 3.559,60 e € 9.112,57 (art. 55, c. 1 del D.Lgs. n. 81/2008).
Inoltre, in materia prevenzionistica riveste una cruciale funzione l’art. 2087 del codice civile, che, come noto, obbliga il datore di lavoro ad adottare le misure necessarie a tutelare l’integrità fisica e la personalità morale dei prestatori di lavoro, secondo la particolarità del lavoro, l’esperienza e la tecnica. Al riguardo, la giurisprudenza di legittimità ha più volte ribadito che la responsabilità datoriale può derivare non solo dalla violazione di specifiche norme di legge, ma anche dall’omessa adozione di misure suggerite dalle conoscenze tecniche e dall’esperienza (Corte Cass., ord. n.1509/2021 e sent. 10115/2022); al contempo, l’adozione di misure specifiche, anche non espressamente previste dalla legge, ma coerenti con standard tecnici e conoscenze disponibili, può assumere rilievo ai fini dell’adempimento dell’obbligo di sicurezza (Corte Cass., sent. n.10319/2017 e n. 15562/2019).
Alla luce di quanto sopra, se l’IA è già parte dei processi aziendali e può incidere sulla salute esicurezza o sui diritti fondamentali, la valutazione d’impatto prevista dall’articolo 27 dell’AI Act non può che essere coordinata con il DVR o, quando trattasi di rischi interferenziali, con il DUVRI, senza attendere il 2 dicembre 2027 o il 2 agosto 2028.
Analogo raccordo dovrebbe essere costruito con la valutazione d’impatto sulla protezione dei dati personali prevista dall’articolo 35 del Regolamento (UE) 2016/679 (General Data ProtectionRegulation o ‘GDPR’).
Laddove l’utilizzo di un sistema di IA esponga il lavoratori al rischio per la salute e sicurezza o per l’esercizio di un diritto fondamentale, il datore di lavoro-deployer non può sin d’ora esimersi dal designare un organismo – monocratico o collegiale – che assicuri lo svolgimento dell’attività di sorveglianza umana sul funzionamento del sistema di IA stesso (art. 14 dell’AI Act), considerando che la figura del ‘sorvegliante umano’ potrebbe sovrapporsi con la figura del dirigente di un sistema di prevenzione e protezione (SPP) aziendale, rendendo di fatto integrata la gestione del SPP stesso e del governo del sistema di IA.
Al tempo stesso, la corretta gestione del sistema di IA esige il coinvolgimento delle figure responsabili della cybersicurezza al fine di garantire l’effettiva osservanza delle disposizioni dettate dalla direttiva (UE) 2022/2555 (Network and Information Security 2 o ‘NIS 2’) e dal regolamento (UE) 2024/2847 (Cyber Resilience Act o ‘CRA’)
L’organica integrazione di sistemi normativi di tale complessità può essere agevolata istituendo un sistema di gestione secondo lo standard internazionale ISO/IEC 42001:2023.
Il risultato auspicabile è dunque un modello integrato: AI governance, sicurezza informatica, protezione dei dati personali e salute e sicurezza sul lavoro dovrebbero dialogare nello stesso sistema di controllo. In questa direzione, anche l’articolo 30 del D.Lgs. 81/2008 e il modello di organizzazione e gestione (MOG) di cui al D.Lgs. 231/2001 possono diventare strumenti di raccordo, soprattutto quando l’uso dell’IA esponga l’impresa a rischi organizzativi, prevenzionistici e di responsabilità amministrativa.
Infatti, se l’effettiva applicazione dell’AI Act può essere differita dal legislatore europeo, il dovere di prevenzione che l’ordinamento pone in capo al datore di lavoro-deployer non è in alcun modo sospeso e comporta l’adozione di misure già oggi tecnicamente esigibili per evitare che l’innovazione si trasformi in un fattore di rischio non opportunamente governato.
In tale prospettiva, è peraltro confermata la centralità della formazione (AI literacy) anche per gli amministratori e imprenditori che intendano avvalersi di un sistema di IA ad alto rischio, rilevante anche ai fini dell’adempimento dell’obbligo di formazione disciplinato dall’art. 37 del D.Lgs.81/2008, al cui adempimento è tenuto anche il datore di lavoro per la sicurezza cioè il soggetto titolare del rapporto di lavoro ‘o, comunque, il soggetto che, secondo il tipo e l’assetto dell’organizzazione nel cui ambito il lavoratore presta la propria attività, ha la responsabilità dell’organizzazione stessa o dell’unità produttiva in quanto esercita i poteri decisionali e di spesa’ (art. 2, c. 1, lett. b) del D.Lgs. n. 81/2008).