Ho creato un chatbot AI per Founder Institute. Basta una sola funzione in più per renderlo illegale in Europa.
Un caso studio reale: un chatbot basato su RAG creato per il Founder Institute Philadelphia — e un'analisi tecnica di cosa cambia esattamente, legalmente e architettonicamente, quando si aggiunge una funzione di scoring e si distribuisce in Europa dopo agosto 2026.
Il sistema originale
L'anno scorso ho creato un chatbot AI per il Founder Institute Philadelphia — uno dei più grandi acceleratori di startup pre-seed al mondo, con sedi in tutti gli Stati Uniti e in Europa. Il sistema era una pipeline RAG standard: rispondeva alle domande dei founder che si candidavano al programma, attingendo da una base di conoscenza della documentazione FI. Nessun punteggio, nessuna valutazione, nessun dato persistente oltre la sessione.
Poiché FI Philadelphia opera sotto la legge statunitense, le normative UE non erano una preoccupazione. Ma FI ha sedi a Milano, Berlino, Amsterdam e in dozzine di altre città europee. Se una sede europea distribuisse questo sistema, cosa cambierebbe?
Ho deciso di scoprirlo. Ho ricostruito il sistema, aggiunto una funzione di scoring, e mappato ogni obbligo che si applicherebbe sotto il Regolamento UE 2024/1689 — l'EU AI Act. Questo articolo è il risultato. Il codice è su GitHub. Gli obblighi sono reali.
Il codice disponibile su GitHub utilizza un acceleratore immaginario chiamato Slearnt. Il riferimento al Founder Institute in questo articolo è illustrativo — FI non utilizza questo sistema.
Versione 1: rischio limitato, un obbligo
Il sistema originale fa una cosa: risponde alle domande. Un founder visita la pagina di candidatura, avvia una conversazione e il chatbot risponde sul programma — struttura, requisiti, cosa cerca FI. Nessun output influenza alcuna decisione su alcuna persona.
Secondo l'AI Act, questo è un sistema a rischio limitato. L'unico obbligo è la trasparenza: l'utente deve sapere che sta interagendo con un'intelligenza artificiale.
Versione 2: la funzione che cambia tutto
Immaginiamo ora di aggiungere una funzione. Chiamiamola "Founder Score". Mentre il founder chatta, il sistema analizza le risposte e assegna un punteggio da 1 a 10 sulla base della "prontezza" della startup. Questo punteggio viene poi salvato nel CRM e utilizzato dai direttori del programma per decidere chi invitare ai colloqui.
Questo singolo cambiamento sposta il sistema nella categoria Alto Rischio (Allegato III, punto 4a: sistemi per il reclutamento o la selezione di persone fisiche).
Legalmente, questo cambia tutto. Architettonicamente, richiede l'implementazione di:
- Registro degli accessi (Logging): tracciabilità completa di ogni decisione presa dall'AI.
- Supervisione umana: un'interfaccia dove un umano può intervenire, correggere o annullare il punteggio.
- Documentazione tecnica: spiegazione di come funziona il modello e come vengono mitigati i bias.
Chi ha quali obblighi
È fondamentale distinguere tra Provider (chi sviluppa il sistema) e Deployer (chi lo usa).
Se Gianluca (io) sviluppa il software e lo vende al Founder Institute, Gianluca è il Provider. Se il Founder Institute usa il software per valutare i founder, il Founder Institute è il Deployer.
Due cose da implementare immediatamente
- Classificazione del rischio: non aspettare agosto 2026. Capisci oggi se il tuo software è ad alto rischio.
- AI Literacy: l'Articolo 4 dell'AI Act è già in vigore. Il tuo team deve essere formato sull'uso etico e sicuro dell'AI.
Cosa significa oltre gli acceleratori
Questo caso studio si applica a chiunque usi l'AI per valutare persone: HR che usano ATS, banche che valutano il merito creditizio, cliniche che usano l'AI per la diagnostica. La compliance non è solo un "problema legale", è un requisito di progettazione software.
Prova il codice su GitHub
Puoi trovare l'implementazione tecnica di questo caso studio (inclusi i sistemi di logging e
supervisione) nel repository ufficiale:
github.com/gianlucacapuzzi/slearnt