Si parla ancora di Intelligenza Artificiale (IA) come una prospettiva per il futuro. A fronte degli incredibili investimenti di Big Tech, sicuramente le opportunità e le sfide della IA sono solo all’inizio. Tuttavia, bisogna tenere presente che, mentre contempliamo le possibili conseguenze sull’innovazione e sull’occupazione negli anni a venire, in una qualsiasi azienda già oggi, in questo momento, ci sono tante finestre aperte nel browser con accesso a ChatGPT o a Gemini o ad altri modelli. Per esempio, un formulatore nella R&D potrebbe chiedere a ChatGPT di "suggerire alternative a questo additivo” o il marketing potrebbe usare Midjourney per "creare l'immagine di una persona energica che consuma il nostro nuovo integratore" o addirittura lavorare sul progetto di un influencer virtuale. La scelta si spiega perché è efficiente, veloce e, a tratti, incredibilmente potente. Questo però avviene spesso senza supervisione, senza policy e, tante volte, senza comprendere i rischi a cui espongono l'intera azienda.

L'attenzione mediatica e legislativa si concentra, giustamente, sul nuovo AI Act dell'Unione Europea, tanto osteggiato dalla Big Tech americana. Si tratta di una norma criticata ma fondamentale nell’ordinamento europeo. D’altro canto, i rischi operativi più immediati e concreti per un'impresa del settore alimentare e nutraceutico sono altri: la perdita di segreti commerciali, la violazione del copyright, la generazione e l’uso di informazioni errate e la responsabilità legale che ne consegue, con dirette implicazioni regolatorie. La vera sfida è imparare a governare l'uso di questi strumenti.

Prima di addentrarci nei rischi operativi, è doveroso inquadrare il contesto normativo europeo. L'AI Act o meglio il “regolamento sull'intelligenza artificiale” (Regolamento (UE) 2024/1689) (1) è il primo tentativo al mondo di regolamentare l'IA in modo orizzontale, basandosi su un approccio proporzionale al rischio.

La normativa classifica i sistemi di IA in una "piramide" con quattro livelli:

1. Rischio inaccettabile: sistemi che rappresentano una chiara minaccia per i diritti fondamentali, come il "social scoring" (punteggio sociale). Sono semplicemente vietati.
2. Rischio alto: sistemi utilizzati in settori critici (es. dispositivi medici, infrastrutture, selezione del personale) o che svolgono funzioni di sicurezza. Questi sistemi dovranno sottostare a obblighi molto stringenti, tra cui valutazione della conformità, registri di funzionamento e sorveglianza umana.
3. Rischio limitato: sistemi che interagiscono con gli esseri umani, come i chatbot o i generatori di "deepfake". Per loro vige un obbligo di trasparenza: l'utente deve sapere che sta interagendo con una macchina o che il contenuto è artificiale.
4. Rischio minimo: la stragrande maggioranza delle applicazioni, come i filtri anti-spam o l'IA nei videogiochi. Per questi sistemi non sono previsti nuovi obblighi.

Cosa significa questo per l'industria alimentare e nutraceutica? Ad oggi, la maggior parte delle applicazioni (ottimizzazione delle formulazioni, creazione di contenuti) sembra ricadere nella categoria a rischio minimo anche perché nella normativa di armonizzazione dell'Unione elencata nell'allegato I, e potenzialmente ad alto rischio, non compare la normativa alimentare. Alcune applicazioni, come un sistema di visione artificiale che è l'unico responsabile dello scarto di lotti difettosi, potrebbero essere considerate ad alto rischio in futuro se classificate come componenti di sicurezza di un prodotto. Alcune applicazioni di marketing, come vedremo, rientrano spesso nel rischio limitato.

La conclusione principale è che, per ora, la complessità maggiore per un'azienda del nostro settore non risiede negli onerosi adempimenti burocratici del Regolamento sull’intelligenza artificiale, ma nella gestione quotidiana dell'IA e nei rischi che essa comporta a prescindere dalla sua classificazione.

Vi sono altri fronti, con chiare conseguenze regolatorie e/o legali, che meritano un’attenzione particolare.

Confidenzialità e sicurezza dei dati

È il rischio principale, spesso sottovalutato. Un tecnico in R&D o un regolatorio, agendo in buona fede per semplificare e rispondere più rapidamente, inserisce in un modello linguistico pubblico come ChatGPT o Gemini la formula completa di un nuovo prodotto in sviluppo, chiedendo all'IA di analizzarne la possibile stabilità. In quel preciso istante, un segreto industriale del valore potenziale di milioni di euro è stato ceduto a una terza parte, senza controllo su come verrà usato, salvato o per addestrare futuri modelli. Le garanzie dei fornitori dei sistemi di IA variano ma molte aziende non si sono neppure poste il problema, e i dipendenti usano modelli di linguaggio senza controllo, anche in versioni “free” e quindi con scarsa tutela. Inoltre, i dati caricati potrebbero essere anche di natura personale, e quindi violare la normativa sui dati personali. Alcune aziende hanno vietato completamente la possibilità di fornire ai modelli dati confidenziali o comunque protetti da riservatezza; tuttavia, questi divieti potrebbero essere difficili da mantenere se i modelli di IA forniscono rapidamente i risultati che i vari settori richiedono.

Diritti d’autore ed influencer virtuali

Sempre più spesso le immagini utilizzate per i social sono generate da IA, cui si applicano i recenti obblighi di trasparenza in parte già implementati. Non è banale stabilire il copyright. Non solo, se l'immagine è una chiara derivazione di un'opera protetta da copyright, che comunque viene generata dalla IA, la responsabilità potrebbe ricadere su chi l’ha generata (“deployer”), non sul fornitore del modello. Lo stesso vale per testi, musiche o programmi.

Nell’ambito della conformità rientrano gli influencer virtuali che richiedono una doppia attenzione. In primo luogo, non dichiarare che l'influencer è un'entità artificiale potrebbe violare l'obbligo di trasparenza del Regolamento sull’intelligenza artificiale (Art. 50). Secondo, l'azienda resta pienamente responsabile per ogni parola da lui pronunciata. Se l'avatar promuove un integratore con un claim salutistico ingannevole o non autorizzato, la violazione del Regolamento (CE) 1924/2006 (2) sulle indicazioni nutrizionali o sulla salute e del Codice del Consumo (3) è identica a quella commessa da un testimonial in carne e ossa, con tutte le conseguenze legali del caso.

Allucinazioni e rischio di non conformità

I modelli di IA generativa sono progettati per essere convincenti, non necessariamente veritieri. Possono inventare fonti, studi scientifici o dati di mercato con un'apparenza estremamente credibile; lo fanno in modo sorprendente, inatteso e in una certa misura imprevedibile. Sono le cosiddette "allucinazioni". Questo diventa molto pericoloso per analisi regolatorie, per la formulazione o per decisioni importanti. Per esempio, ci è accaduto che i modelli generativi si inventino dei novel food autorizzati che non esistono (e per cui non è stata neppure presentata domanda (Figura 1); che si inventino dei claim mai autorizzati; o che citino norme che non esistono o dicono altro. In tutti i casi, le “allucinazioni” erano plausibili, e per questo particolarmente insidiose. Includere una sostanza vietata in un alimento o in un integratore alimentare può portare a conseguenze amministrative o penali e al richiamo del prodotto. La violazione del Regolamento (CE) 1924/2006 sulle indicazioni nutrizionali o sulla salute è sanzionata dal diritto nazionale. Anche qui la scelta di alcune aziende è stata di vietare l’uso della IA per questi fini, ma vi è una tensione tra le pressioni e l’appetibilità delle tecnologie, compresa la pressione dei fornitori di modelli, e regole molto restrittive. Molti traggono da questi esempi un soddisfatto senso di superiorità, ma, in realtà, poiché questi errori sono rari e la tentazione di usare modelli sempre più precisi e forti, la IA, se non vi sono regole precise, sarà utilizzata anche per questi fini all’interno dell’azienda. Anche se è giusto insistere sulla supervisione umana, i modelli attualmente non sono pensati per invitare un atteggiamento critico e attento, ma al contrario per creare una fiducia spesso mal riposta. La conclusione provvisoria è che solo personale già esperto e formato senza IA riesce ad usarla in maniera produttiva ed affidabile.

Figura 1. Esempio di allucinazione regolatoria. La teacrina non è un novel food autorizzato.

Inoltre, la tendenza dei modelli come ChatGPT a mimare comportamenti umani e a creare l’impressione di interagire con un essere umano con apprezzamento continuo e non critico potrà portare a tensioni all’interno dell’azienda perché si dovrà, magari, smentire il collaboratore convinto ed esaltato dalla IA ad una tesi errata. Inoltre, si riceveranno sempre più documenti, pareri e report generati dalla IA la cui sola valutazione richiederà tempo e risorse, anche per la forte verbosità di molti modelli.

"Shadow IT": l'uso incontrollato in azienda

Il fenomeno, noto come "Shadow IT", descrive l'uso diffuso di tecnologie non approvate o controllate dall'azienda. I dipendenti usano decine di tool di IA diversi, ognuno con policy sulla privacy e termini di servizio differenti, creando un'enorme e invisibile superficie di rischio.

Governare l'IA può sembrare un'impresa titanica, ma si può iniziare subito con azioni concrete. Sulla base della nostra esperienza suggeriamo:

1. Censimento: mappare quali strumenti di IA, sia gratuiti (ChatGPT, Gemini, Perplexity, ecc) sia a pagamento, vengono già usati in azienda, da chi e per quali scopi. La consapevolezza è il primo passo. Valutare le condizioni di utilizzo e i relativi rischi
2. Responsabilità: definire un responsabile o un piccolo team guida inter-funzionale (IT, Legale, Qualità, R&D) con il compito di valutare i nuovi strumenti e definire le linee guida. La trasversalità degli usi – che è paragonabile ma eccede l’avvento di Internet – fa sì che non sia solo un problema di IT. Anzi, spesso il fronte più complesso è quello degli utilizzatori non informatici.
3. Attività autorizzate e vietate: stilare e comunicare a tutto il personale una policy semplice e chiara: una "lista nera" di dati aziendali (formule, dati clienti, strategie, etc.) che non devono MAI essere inseriti in piattaforme di IA esterne, per esempio, e le attività che possono o non possono essere effettuate mediante la IA.
4. Verifica umana: istituire il principio della "revisione umana obbligatoria". Nessun testo, immagine o analisi dati generato da un'IA può essere usato esternamente o per decisioni critiche senza la validazione di un esperto umano.
5. Formazione: organizzare sessioni di sensibilizzazione per tutti i dipendenti, spiegando i rischi pratici (specialmente quello della confidenzialità) e le policy aziendali.

L'Intelligenza Artificiale è una realtà operativa da governare. L'errore più grande per un'azienda sarebbe rimanere in una zona grigia: non vietare esplicitamente l'uso dell'IA per non frenare la produttività, ma nemmeno governarlo, esponendosi a rischi legali, reputazionali e operativi.

La soluzione non risiede nell'attendismo normativo, ma nella proattività manageriale. Definire policy chiare, stabilire responsabilità e, soprattutto, riaffermare il principio della supervisione umana, con tutte le sue sfide, non è un freno all'innovazione, ma la sua condizione di sostenibilità.

L'IA è un assistente incredibilmente potente, ma fallibile e privo di senso critico. La responsabilità finale, la competenza di settore e la capacità di distinguere un'informazione plausibile da una veritiera rimangono, e devono rimanere, saldamente nelle mani dell'esperto umano. Le aziende che sapranno integrare questi strumenti con regole chiare e buon senso non solo mitigheranno i rischi, ma lo trasformeranno in un vantaggio competitivo duraturo.

LUCA BUCCHINI
Managing Director Hylobates Consulting srl | Italia

EDIZIONE SPONSORIZZATA DA

INTELLIGENZA ARTIFICIALE

EDIZIONE SPONSORIZZATA DA

L'Intelligenza Artificiale (IA) è già una realtà operativa nel settore nutraceutico, utilizzata in modo spesso non governato per formulazione, marketing e analisi. Sebbene l'attenzione sia rivolta all'AI Act dell'UE, i rischi più immediati per le aziende sono di natura operativa e legale: la perdita di segreti commerciali attraverso modelli linguistici pubblici, la violazione del copyright tramite contenuti generati e, soprattutto, il pericolo di "allucinazioni" regolatorie, dove l'IA inventa informazioni false ma plausibili su ingredienti e claim, inducendo alla non conformità. Questo articolo analizza tali rischi e sottolinea l'urgenza di passare da un attendismo normativo a una proattività manageriale, istituendo policy interne chiare. Si propone una checklist pratica per governare l'IA, basata su censimento, responsabilità, verifica umana e formazione.