Come dovrebbero i gestori di data centre gestire il rischio di conformità all’intelligenza artificiale nello SEE?

Published on 23rd September 2025

Il Regolamento europeo sull’IA (AI Act) introduce nuove sfide per i gestori di data centre – e il quadro regolatorio continuerà a evolvere

Blue switchboard

Il termine “intelligenza artificiale” (IA) permea le conversazioni su tecnologia, business e vita quotidiana. Il suo impatto rivoluzionario sul trattamento dei dati è indiscutibile. Ciò che spesso non si coglie è che l’AI Act dell’UE impone obblighi anche ai gestori dei data centre che ospitano tali trattamenti.

AI Act e data centre

Sullo sfondo dell’ondata di regolamentazione IT nello Spazio economico europeo (SEE), ci si potrebbe aspettare che il rapporto tra sviluppo dell’IA e data centre porti a regole specifiche per il mercato dei data centre. Sorprendentemente, i legislatori dell’UE e di altri Paesi europei non hanno concentrato particolare attenzione sui data centre nei loro piani sull’IA.

L’AI Act, le cui prime disposizioni sono entrate in vigore il 2 febbraio 2025, potrebbe inizialmente sembrare trascurare i data centre. Tuttavia, un esame più attento rivela che il Regolamento impone obblighi rilevanti – sia per i data centre che utilizzano soluzioni di IA internamente, sia per i fornitori e gli utenti di sistemi di IA ospitati in data centre esterni.

Benché l’AI Act non si applichi direttamente ai data centre dedicati all’IA situati nel Regno Unito e in altri Paesi fuori dallo SEE, è importante che i gestori di tali centri ne conoscano le previsioni. Se ospitano sistemi di IA utilizzati all’interno dello SEE, i loro clienti nello SEE si aspetteranno che i centri siano gestiti in modo da facilitare la conformità al Regolamento e che i relativi contratti lo riflettano.

I gestori di data centre in altri territori dovrebbero inoltre tenersi informati sulla normativa in materia di IA di prossima introduzione nei rispettivi Paesi, qualora possa avere impatti su di loro. Ad esempio, il governo del Regno Unito propone di introdurre l’anno prossimo una normativa specifica sull’IA, con probabile focus su sicurezza e protezione, che potrebbe avere implicazioni per i data centre nel Regno Unito e altrove.

Sistemi di IA ad alto rischio nei data centre

L’AI Act classifica l’uso dell’IA nello SEE in tre aree: pratiche vietate, alto rischio e tutte le altre. Le pratiche di IA vietate includono tecniche subliminali, social scoring, previsione del rischio di reato e inferenza delle emozioni. Questi divieti hanno scarso impatto diretto sui data centre.

I sistemi di IA ad alto rischio, invece, possono essere significativi e sono soggetti a obblighi rigorosi e onerosi. Una categoria rilevante per i data centre comprende i sistemi di IA utilizzati come componenti di sicurezza nella gestione e nell’operatività di infrastrutture digitali critiche (articolo 6, paragrafo 2, dell’AI Act).

La formulazione vaga e generale dei legislatori dell’UE potrebbe ricomprendere tutti i sistemi di IA collegati alla sicurezza dei data centre, in particolare per i centri più grandi. Il Regolamento non definisce “infrastruttura digitale critica”, benché l’articolo 3, punto 62, definisca “infrastruttura critica” per rinvio alla Direttiva sulla resilienza dei soggetti critici 2022/2557.

Il Considerando 55 del Regolamento fornisce qualche chiarimento:

  • "I sistemi di IA classificati come ad alto rischio per la gestione e il funzionamento delle infrastrutture critiche includono quelli utilizzati come componenti critici per la sicurezza. Guasti o malfunzionamenti di tali componenti potrebbero comportare rischi per l’integrità fisica delle infrastrutture critiche, la salute e la sicurezza delle persone e dei beni. I componenti destinati esclusivamente a scopi di cybersicurezza non rientrano tra i componenti di sicurezza. Esempi includono sistemi per il monitoraggio della pressione idrica o sistemi di controllo degli incendi nei centri di cloud computing."

Da ciò derivano due conclusioni:

  • I data centre sono considerati infrastrutture digitali critiche e sono interessati dalla disciplina sui sistemi di IA ad alto rischio.
  • I sistemi di IA ad alto rischio nei data centre sono quelli correlati alla sicurezza fisica, non alla cybersicurezza né all’IA impiegata nei servizi cloud o nel trattamento dei dati.

Sviluppando il Considerando 55, i data centre devono classificare come sistemi di IA ad alto rischio gli strumenti di IA che monitorano o controllano pressione idrica e sistemi di controllo degli incendi; altri esempi possono includere sistemi per il monitoraggio dei guasti elettrici e quelli che controllano temperatura e accessi. Questa categoria non si applica ai sistemi di IA per controllo di rete, creazione di macchine virtuali, ottimizzazione dell’ambiente IT, monitoraggio dei consumi energetici o rilevazione di attacchi informatici.

Responsabilità per i gestori

Sebbene alcuni sistemi di monitoraggio e controllo si basino su software tradizionale, è probabile che un numero crescente di data centre utilizzi sistemi che incorporano elementi di IA. I sistemi di IA ad alto rischio comportano responsabilità estese nell’operatività dei data centre. I fornitori di tali sistemi (spesso gli stessi data centre) devono:

  • Istituire, documentare e gestire un sistema di gestione del rischio.
  • Soddisfare criteri di qualità per i set di dati utilizzati nel ciclo di vita dell’IA (governance dei dati).
  • Creare e aggiornare la documentazione tecnica.
  • Registrare automaticamente gli eventi nel ciclo di vita del sistema di IA.
  • Assicurare trasparenza e informazioni adeguate per gli utenti (incluse istruzioni operative).
  • Garantire un’adeguata supervisione umana.
  • Assicurare accuratezza, robustezza e cybersicurezza.

Devono inoltre operare un sistema di gestione della qualità e rispettare gli obblighi di registrazione e dichiarazione di conformità.

Gli operatori di data centre che utilizzano questi sistemi di IA ad alto rischio, inclusi i data centre che li acquistano da fornitori terzi, devono:

  • Adottare misure tecniche e organizzative per assicurare che i sistemi di IA siano utilizzati secondo le istruzioni operative.
  • Garantire un’adeguata supervisione umana.
  • Assicurare la qualità in materia di governance dei dati (nei limiti in cui dipende dall’operatore).
  • Monitorare il funzionamento del sistema di IA.
  • Conservare i log degli eventi generati automaticamente.
  • Informare adeguatamente i dipendenti del data centre in merito all’uso di IA ad alto rischio.

Sistemi di IA a basso rischio

L’elenco dei sistemi di IA ad alto rischio e di quelli vietati è piuttosto ristretto, e la maggior parte dei sistemi di IA impiegati nei data centre rientra nella categoria a rischio più basso. Questi includono sistemi di IA che operano, controllano, monitorano le prestazioni o il consumo di risorse, e che supportano e garantiscono la sicurezza.

L’AI Act incoraggia l’uso di standard per i sistemi a minor rischio analoghi a quelli previsti per i sistemi ad alto rischio, soprattutto se il sistema di IA incide in modo significativo sulla stabilità organizzativa o su processi essenziali. Si raccomanda un approccio di buon senso basato su valutazioni del rischio, con monitoraggio periodico del funzionamento del sistema e di eventuali cambiamenti nella classificazione del rischio ai sensi dell’AI Act.

Il ruolo dei data centre nell’assicurare la conformità

I data centre svolgono un ruolo cruciale nell’assicurare la conformità all’AI Act, non solo per i propri sistemi di IA ad alto rischio, ma anche per gli utenti dei centri. Sebbene nessuno degli obblighi per fornitori e utenti di sistemi di IA sia specifico per i data centre, molti incidono indirettamente sul loro rapporto.

Ad esempio, i guasti nei sistemi di IA ad alto rischio possono richiedere capacità di risposta immediata, come l’arresto del sistema di IA, l’implementazione di workaround o l’attivazione di copie di backup. Continuità operativa, ridondanza e gestione dei backup sono fondamentali in questo contesto.

Caratteristiche dei data centre quali sicurezza fisica, cybersicurezza e disponibilità di potenza di calcolo possono influenzare la resilienza dei sistemi di IA contro minacce esterne, come attacchi informatici o avvelenamento dei dati.

Crescente importanza dei data centre per i sistemi di IA ad alto rischio

Valutare se i rapporti con i data centre debbano essere inclusi nell’analisi dei rischi è cruciale. Le operazioni dei data centre sono importanti per la registrazione degli incidenti che interessano i sistemi di IA, nonché per assicurare trasparenza e responsabilità; inoltre, l’accesso agli strumenti dei data centre può accrescere l’efficacia della supervisione umana dei sistemi di IA.

La selezione di un data centre sicuro e l’impostazione appropriata dei rapporti sono vitali per assicurare accuratezza, robustezza e cybersicurezza dei sistemi di IA — requisiti chiave per i sistemi ad alto rischio. L’AI Act impone piani di ridondanza e backup: i data centre sono parte integrante di ciò e dell’implementazione di misure per prevenire attacchi ai set di dati e preservare la riservatezza dei dati.

Una corretta strutturazione dei servizi all’interno delle risorse del data centre garantisce che i sistemi di IA ad alto rischio operino in modo robusto. Malfunzionamenti che causino danni alle persone possono costituire violazioni del Regolamento, richiedendo accordi appropriati per prevenirli.

Infine, l’AI Act sorprendentemente dice poco su efficienza energetica e sostenibilità, al di là di obblighi per le autorità di regolazione dell’IA di facilitare la creazione di codici di condotta volontari sull’impatto dei sistemi di IA sulla sostenibilità ambientale e sulle tecniche di efficienza energetica per la progettazione, l’addestramento e l’uso efficienti dell’IA. Tuttavia, questi temi interessano molto molti gestori e utenti di data centre, per ragioni etiche e pratiche.

Commento di Osborne Clarke

I gestori di data centre dovrebbero implementare misure di conformità per qualsiasi loro sistema di IA che affronti questioni di sicurezza fisica e prepararsi a soddisfare le esigenze dei clienti derivanti dall’AI Act, incluso il riesame dei contratti con clienti e fornitori per riflettere tali requisiti.

Gli investimenti nei data centre dovrebbero includere misure per assicurare un’elevata conformità all’AI Act. Sebbene gli obblighi attuali non siano estesi, sono attesi futuri cambiamenti. La Commissione europea può ampliare il catalogo dei sistemi di IA ad alto rischio, e il ruolo crescente dei data centre sarà un fattore significativo in tale analisi.

Related articles
Intelligenza artificiale e diritto del lavoro: le norme ad hoc del DDL italiano
05/06/2024 4 mins
Intelligenza artificiale e sanità: le norme ad hoc del DDL italiano
24/05/2024 4 mins
Interested in hearing more from Osborne Clarke?

Register now for more insights, news and events from across Osborne Clarke

Iscriviti

* This article is current as of the date of its publication and does not necessarily reflect the present state of the law or relevant regulation.

Interested in hearing more from Osborne Clarke?

Register now for more insights, news and events from across Osborne Clarke

Iscriviti