Compliance by Design: Perché nel Vibe Coding la Conformità è un Processo, Non un Controllo Finale

La Compliance Non è un Bollino da Mettere alla Fine

Questo è il quarto articolo della collana Da Vibe Coding a Produzione. Siamo al Livello 6 della piramide, ed è quello che cambia di più rispetto agli altri: non è un controllo tecnico, è un processo.

Il problema tipico del vibe coding è trattare la compliance come l'ultimo passo, una checklist da spuntare prima del lancio: cookie, privacy, termini e condizioni, fatto. Non funziona così. La conformità non è qualcosa che aggiungi alla fine: è una scelta che fai, consapevolmente o no, fin dalla prima riga.

La Scelta dell'Architettura è Già una Scelta di Compliance

Ogni decisione tecnica presa nei livelli precedenti, dove tieni i dati, come gestisci le PII, quali servizi esterni chiami, è anche una decisione di compliance.

Non puoi separare "come è fatta l'app" da "se è conforme". Se un agente esterno può inoltrare dati personali verso un data center fuori dall'Unione Europea, quello non è un dettaglio tecnico: è un problema normativo che nasce da una scelta di architettura. Per questo la conformità va trattata come la sicurezza o la scalabilità: un vincolo di progettazione, non un ritocco finale.

AI Act: Cosa Devi Garantire se Sviluppi un'AI

L'AI Act (Regolamento UE 2024/1689) ha un principio guida: l'intelligenza artificiale deve essere affidabile e mettere l'uomo al centro. In pratica significa proteggere i diritti fondamentali delle persone, con obblighi che crescono in base al livello di rischio del sistema e che ricadono su chi sviluppa.

Tradotto per uno startupper: prima di andare in produzione devi sapere in quale fascia di rischio cade la tua applicazione e cosa devi garantire, dalla trasparenza verso l'utente alla supervisione umana, fino alla gestione corretta dei dati. Il punto non è memorizzare un regolamento: è sapere che esiste e farsi le domande giuste prima, non dopo.

Compliance by Design o Compliance Postuma?

La best practice è semplice da enunciare e difficile da applicare: compliance by design e by default, con una valutazione del rischio già prima della delivery. Significa portare "diritti e libertà delle persone" dentro la fase di analisi e progettazione, non al go live.

L'alternativa è la compliance postuma, cioè sistemare tutto dopo che il prodotto è già online. E qui il conto è salato:

• riprogettazione parziale dell'applicazione;
• delivery aggiuntivo non previsto;
• economics del progetto impattate;
• nei casi peggiori, un problema di posizionamento del prodotto, perché alcune funzionalità non si possono più offrire.

È lo stesso messaggio che attraversa tutta questa collana: scoprire un vincolo all'inizio costa una consulenza, scoprirlo alla fine costa una riscrittura.

Quanto Rischi Davvero: le Sanzioni dell'AI Act

Non è teoria. Le sanzioni dell'AI Act sono pesanti e scalano con la gravità della violazione:

• Violazioni molto gravi: fino a 35 milioni di euro o, per le imprese, fino al 7% del fatturato mondiale annuo dell'esercizio precedente.
• Violazioni medie: fino a 15 milioni di euro o fino al 3% del fatturato mondiale annuo.
• Violazioni minori: avvertimenti e misure non pecuniarie.

Per una PMI o una startup, anche la fascia intermedia può essere fatale. Ed è esattamente il tipo di rischio che un fondatore non tecnico non vede mentre costruisce in vibe coding, concentrato sul far funzionare il prodotto.

Legge 132/2025: le Regole per Chi Sviluppa in Italia

Se sviluppi per il mercato italiano, c'è un livello in più. La Legge 132/2025 stabilisce che l'uso di sistemi di intelligenza artificiale deve garantire un trattamento lecito, corretto e trasparente dei dati personali, compatibile con le finalità per cui sono stati raccolti e conforme al diritto dell'Unione europea in materia di dati e riservatezza.

Aggiunge poi principi particolari per ambiti sensibili: sanità, lavoro, professioni intellettuali, pubblica amministrazione, giustizia, diritto d'autore. Se la tua applicazione tocca uno di questi settori, le regole diventano più stringenti, e vanno conosciute prima di scrivere la logica di business. Abbiamo approfondito il tema nell'articolo sull'AI Act per le aziende italiane.

Il Team Cambia: Entra il LegalTech

Qui sta il vero cambio di paradigma. Per costruire un'app AI conforme non basta il team classico, project manager, business analyst e sviluppatore. Serve una figura di AI Engineer e, soprattutto, un professionista LegalTech.

Inserire un avvocato LegalTech nel progetto non è un costo: è ciò che ti permette di fare le scelte giuste prima, invece di rincorrere la conformità dopo. C'è anche un tema di proprietà intellettuale: senza un contratto di licenza ben costruito fin dall'inizio, un cliente può rivendicare parte del codice, soprattutto sulle personalizzazioni. La proprietà del tuo prodotto si difende con le carte, non solo con il codice. Ne abbiamo parlato nel pezzo dedicato al legal tech analyst.

La Fiducia si Progetta e si Verifica

Il punto è uno: la fiducia in un sistema AI si progetta a livello di architettura e si verifica a livello di norma. Le due cose non sono separate. Un'app può essere tecnicamente perfetta e legalmente inutilizzabile, oppure conforme sulla carta ma fragile nei dati.

Portare un prodotto dal vibe coding alla produzione significa tenere insieme questi due piani fin dall'inizio. È l'ultimo controllo prima della cima della piramide: nel prossimo articolo arriviamo a infrastruttura e manutenzione.

Fai un check di compliance prima di andare in produzione, non dopo.