AI e responsabilità: perché serve una RACI obbligatoria prima di premere “Avvia”

Introduzione

Immaginiamo che da qualche mese nella nostra azienda un agente AI legge la posta aziendale, classifica i messaggi e risponde in automatico alla maggior parte di questi, selezionando solo un piccolo numero che necessita di attenzione del responsabile aziendale.
Un giorno interpreta male un’email di un fornitore che classifica come SPAM: il contratto non viene rinnovato e l’azienda perde una commessa da 5 milioni di euro.
Passiamo ora ad un esempio in ambito sanitario. Un sistema automatico ha preso il posto del vecchio sistema di smistamento dei referti tra I reparti. Il nuovo sistema filtra male un referto urgente e il paziente non riceve cure tempestive, con conseguenze fatali.

Sono cambiati i sistemi ma non i processi… Chi risponde di questi errori?

Spesso, non chi ha deciso di introdurre l’AI in quel processo, ma il tecnico o l’operatore che non sapeva nemmeno che quel sistema stava agendo o in che modo agisse!

Questi scenari mostrano un punto debole cruciale: quando qualcosa va storto, la catena di responsabilità si spezza.

Il vuoto di responsabilità

Oggi le decisioni strategiche sull’uso dell’AI nei processi critici vengono prese “in alto”, ma le conseguenze ricadono “in basso”.
Il ciclo di responsabilità si interrompe:

• il decisore resta intoccabile,

• l’AI non è imputabile,

• a pagare è chi esegue senza potere reale.

Così, il ciclo virtuoso di correzione – stimolo, azione, verifica, riflessione, miglioramento – non si chiude mai. E senza un vero feedback, l’errore si ripete.

La proposta: responsabilità condivisa e RACI obbligatoria

Per riallineare la responsabilità serve uno strumento semplice, chiaro e operativo: rendere obbligatoria la compilazione di una matrice RACI ogni volta che un sistema AI entra in un contesto ad alto impatto.

RACI = Responsible, Accountable, Consulted, Informed

• Responsible → chi esegue materialmente l’azione.

• Accountable → chi risponde delle conseguenze, anche legali ed economiche.

• Consulted → chi viene coinvolto nelle decisioni.

• Informed → chi deve essere informato dell’uso e delle implicazioni.

Compilare la RACI costringerebbe a definire prima chi decide, chi controlla e chi si assume la responsabilità di eventuali errori.

Un ponte con l’AI Act

L’AI Act dell’Unione Europea stabilisce regole per la trasparenza, la gestione dei rischi e l’uso responsabile dell’AI, soprattutto per i sistemi ad alto rischio.
Richiede valutazioni d’impatto e documentazione tecnica, ma non prevede un meccanismo immediato per tracciare le responsabilità interne.

La RACI obbligatoria può essere il ponte tra legge e realtà:

• L’AI Act dice cosa garantire (sicurezza, trasparenza, gestione del rischio).

• La RACI dice chi fa cosa e chi risponde se qualcosa va storto.

Così i principi normativi diventano processi operativi concreti, riducendo la distanza tra teoria e pratica.

Esempio: RACI in sanità

Scenario: sistema AI per il triage di email e referti in pronto soccorso.

• Responsible → il sistema AI e il tecnico che lo configura.

• Accountable → il direttore sanitario che ne approva l’uso.

• Consulted → medici di reparto e team IT per la valutazione dei rischi.

• Informed → personale sanitario coinvolto, direzione ospedaliera, ente regolatore.

Questa mappatura, firmata e archiviata, crea una traccia formale richiamabile in caso di audit o incidente.

Conclusione

L’AI non è pericolosa di per sé: lo diventa quando viene usata senza una catena chiara di responsabilità.
La RACI obbligatoria è un passo semplice per riportare l’accountability dove deve stare: in capo a chi decide cosa e come il sistema deve agire, non a chi lo impiega o ne subisce le conseguenze.

Senza questa chiarezza, ogni incidente rischia di diventare “colpa di nessuno” o, mplto spesso, del più debole! Una società che non sa più attribuire le proprie responsabilità smette anche di imparare dai propri errori.

Chi prende le decisioni, giuste o sbagliate, deve essere pronto a risponderne anche di fronte alla legge. Un sistema di AI non può essere considerato colpevole, come non può esserlo l’operatore del sistema, ma chi ne ha deciso la sua introduzione si.

Ad oggi, né l’AI Act né altre normative europee impongono un obbligo esplicito di mappare le responsabilità interne, come farebbe una matrice RACI. L’AI Act definisce requisiti tecnici, di trasparenza e gestione del rischio per i sistemi ad alto impatto, ma lascia irrisolto chi risponde concretamente in caso di danni.
La proposta di Direttiva sulla responsabilità da AI (AI Liability Directive), che avrebbe chiarito questi aspetti, è stata ritirata nel 2025, e la normativa attuale (come la Product Liability Directive) assegna comunque la colpa agli umani — tipicamente a chi produce, configura o gestisce il sistema. In assenza di regole chiare per la catena decisionale, la responsabilità ricade spesso su figure operative, mentre le scelte strategiche restano di fatto senza conseguenze dirette.

Iniziare a compilare una RACI oggi significa costruire processi più sicuri domani.

 

Alessandro Rugolo

Riferimenti:

- https://www.isaca.org/resources/white-papers/2024/understanding-the-eu-ai-act?utm_source=chatgpt.com

- https://www.itpro.com/business/policy-and-legislation/the-second-enforcement-deadline-for-the-eu-ai-act-is-approaching-heres-what-businesses-need-to-know-about-the-general-purpose-ai-code-of-practice?utm_source=chatgpt.com

- https://cdt.org/insights/the-ai-liability-directive-the-next-sprint-to-uphold-human-rights-in-ai-in-the-eu/?utm_source=chatgpt.com

- https://www.globallegalinsights.com/practice-areas/ai-machine-learning-and-big-data-laws-and-regulations/autonomous-ai-who-is-responsible-when-ai-acts-autonomously-and-things-go-wrong/?utm_source=chatgpt.com

- https://www.piemonteautonomie.it/considerazioni-sul-procedimento-di-reclutamento-algoritmico-e-il-ruolo-del-responsabile-del-procedimento/?utm_source=chatgpt.com

- https://www.lighthousereports.com/investigation/the-algorithm-addiction/?utm_source=chatgpt.com