In data 16 giugno 2026 il Parlamento Europeo ha approvato una modifica di alcune norme della legge UE sull’intelligenza artificiale nell’ambito della proposta omnibus digitale (documento integrale).

In particolare il pacchetto cd. “IA Omnibus” ha rimodulato la tabella di marcia del Regolamento UE 2024/1689 (documento integrale) cd “AI Act” mantenendo la data del 2 agosto 2026 per adeguarsi agli obblighi generali di trasparenza, conformità e alfabetizzazione e rinviando invece al 2 dicembre 2027 la scadenza per l’adeguamento dei requisiti dei sistemi ad alto rischio.

Le tecnologie basate su modelli generativi e algoritmi predittivi sono già applicate dagli intermediari in vari ambiti, quali ad esempio:

– Asset Management e Trading

– Sistemi di robo-advice

– Risk Scoring e AML

– Customer service

Ciascuno di questi utilizzi espone l’intermediario a rischi di distorsione dei dati (bias), errori sistemici e derive algoritmiche che possono compromettere la correttezza dei servizi prestati. Il nuovo framework normativo richiede anche agli intermediari di assicurare un presidio umano effettivo (human-in-the-loop) sul funzionamento dei sistemi AI

.

Pertanto gli organi aziendali e le funzioni di controllo interno, degli intermediari, ciascuno per le rispettive competenze, sono chiamati ad assicurare il rispetto e la vigilanza sull’utilizzo dell’AI.

Il primo passo consiste nella mappatura dei sistemi di AI in uso o in fase di sperimentazione. Il censimento delle applicazioni AI è connesso agli obblighi in materia di GDPR, in quanto l’alimentazione dei modelli AI richiede l’aggiornamento del Registro dei Trattamenti e delle valutazioni d’impatto (DPIA).

Il secondo aspetto riguarda la formazione in materia AI ossia l’alfabetizzazione sull’IA, cd AI Literacy, obbligatoria a partire dal 2 agosto 2026 per il personale incaricato del presidio o dell’utilizzo di tali tecnologie.

Infine occorre assicurare una adeguata due diligence delle terze parti (in particolare i fornitori di software e applicazioni), al fine di evitare l’utilizzo  inconsapevole di sistemi di IA integrati all’interno di applicativi gestionali tradizionali (cd Shadow AI).

Al fine di assicurare l’allineamento al nuovo quadro regolamentare in materia di Intelligenza Artificiale – la cui entrata in vigore è prevista per il prossimo  2 agosto 2026 – è necessario che gli intermediari pianifichino e conducano un’attività generale di valutazione dei rischi di non conformità all’AI Act ed ai relativi decreti legge.

Tale “AI Risk Assessment” mira ad  assicurare i seguenti obiettivi:

– censire l’ecosistema delle applicazioni AI

– identificare i sistemi AI silenti o integrati in tool di terze parti

– verificare l’adeguatezza della contrattualistica dei sistemi AI

– verificare le policy e procedure interne sull’utilizzo dei sistemi AI

– verificare l’efficacia dei controlli interni sull’utilizzo dei sistemi AI

In tale ambito Eddystone supporta gli intermediari nello svolgimento dell’AI Risk Assessment, grazie alle conoscenze e competenze maturate negli anni dai Professionisti sulla regolamentazione bancaria-finanziaria integrata con le normative speciali in materia di:

– GDPR

– DORA

– AI Act e relativi decreti legge