Nota dell’autore: Se state cercando un articolo asciutto, scientifico e rigorosamente privo di battute sarcastiche, probabilmente avete sbagliato luogo, tempo e dimensione. Se invece l’obiettivo è farvi sorridere, riflettere, irritare (ogni tanto), annuire (forse) e – con un po’ di fortuna – maturare una nuova consapevolezza sulla sicurezza dell’informazione, allora mettetevi comodi. O comprate un elmetto cibernetico, ché non si sa mai. Se a un certo punto sentirete la necessità di bere un caffè lungo per rimanere svegli, non esitate: è un vostro sacrosanto diritto digitale.

Indice

• Introduzione: Regolamentare l’Ignoto
• Il Caos Normativo come Filosofia di Vita
• Definizioni: Una Sfida alla Logica
• Il Paradosso del Bias Algoritmico
• Sovranità Digitale o Autogoal?
• Il GDPR: Il Fratello Maggiore Saggio (o Quasi)
• Il Dilemma dell’Innovazione
• Il Problema dell’Allineamento Normativo: NIS2, CRA e Altri Caos
• Il Sogno di un’Europa Competitiva
• Conclusione: Un Passo Avanti, Due Indietro
• Indice delle Fonti

1. Introduzione: Regolamentare l’Ignoto

L’Unione Europea ha una lunga tradizione nel tentativo di incasellare l’incasellabile. Quando si è trattato di proteggere i dati personali, si è sfornato il GDPR, trasformandosi in un modello (o incubo) per i legislatori di tutto il pianeta. Ora, di fronte al tumultuoso progresso dell’Intelligenza Artificiale, non poteva certo rimanere con le mani in mano: ecco l’AI Act, un regolamento che promette di disciplinare ogni forma di “intelligenza” sviluppata entro i confini del Vecchio Continente (e, di riflesso, anche oltre).

L’ambizione è notevole: difendere i cittadini dai potenziali abusi dell’IA, imporre trasparenza e responsabilità, arginare i bias e contemporaneamente promuovere l’innovazione. Un obiettivo che richiederebbe probabilmente poteri “divini” di previsione e adattamento, considerato che l’IA evolve alla velocità della luce. Se il legislatore europeo decise un tempo di regolamentare la privacy con migliaia di commi e definizioni, stavolta la sfida appare ancora più epica: l’IA coinvolge questioni tecniche, etiche, sociali, economiche, e chi più ne ha più ne metta.

Eppure, le intenzioni sono sincere: nessuno vuole ritrovarsi in balia di algoritmi opachi che decidono chi assumere, a chi concedere un prestito, o come gestire la sicurezza pubblica. Tuttavia, l’esperienza ci insegna che quando l’UE sforna un “grande regolamento omnibus”, si genera un turbinio di norme che rischia di mettere in difficoltà proprio coloro che l’innovazione dovrebbero spingerla. Il copione potrebbe ripetersi: tante buone intenzioni, ma una realizzazione che dà vita al “caos normativo”.

La parola d’ordine, quindi, è “coprire tutto”: definire l’IA in modo ampio, classificarne i rischi, imporre procedure di sorveglianza, controlli ex ante ed ex post. In teoria, un’operazione di tutela. In pratica, un puzzle da 5.000 pezzi da assemblare al buio. E mentre noi cerchiamo di completarlo, l’IA, nel frattempo, cambia forma e colore, richiedendone costanti revisioni.

Nei prossimi capitoli, daremo uno sguardo a come l’AI Act intenda regolare l’IA, alle sue definizioni, ai suoi punti di forza, alle contraddizioni e soprattutto ai possibili conflitti con altre normative come NIS2, Cyber Resilience Act (CRA), GDPR, Digital Services Act (DSA) e Digital Markets Act (DMA). Cercheremo di farlo in chiave ironica, perché un po’ di humour aiuta a sopravvivere nella giungla dei commi. Dopodiché, tireremo le somme: riuscirà l’Europa a diventare leader nell’IA “affidabile”, o rischiamo un colossale autogoal?

2. Il Caos Normativo come Filosofia di Vita

Leggendo l’AI Act, si nota immediatamente la volontà di non lasciare nulla al caso. Tutto, potenzialmente, rientra nella definizione di “sistema IA”: dal più sofisticato chatbot conversazionale a un software che applica regolette di inferenza statistica. Si potrebbe ironicamente dire: “Se fa 2+2 in modo un po’ creativo, allora è IA”. Lo scopo è evitare zone d’ombra, ma il prezzo è una definizione che rischia di catturare qualunque programma vagamente intelligente.

Segue poi la classificazione dei rischi: “inaccettabile”, “alto”, “limitato” e “minimo”. Sulla carta, un’ottima strategia: i sistemi che incidono su diritti fondamentali (ad esempio, riconoscimento facciale su larga scala) vanno quasi vietati o strettamente regolati, mentre le IA che suggeriscono la playlist musicale possono dormire sonni più tranquilli. Il problema sorge quando ci si chiede quale soglia separi “alto rischio” da “limitato”. E quando le definizioni sono così elastiche da consentire interpretazioni contraddittorie da parte di autorità o giudici diversi.

Questo genera la cosiddetta “filosofia del caos normativo”: un’abbondanza di regole (sottocategorie, eccezioni, procedure), volte a disciplinare ogni dettaglio. Se, a un primo sguardo, tale “iper-regolamentazione” dà un senso di copertura totale, nella pratica crea incertezza. Ogni azienda si chiede: “Rientro nel perimetro? E, se sì, quale documentazione devo produrre? Esiste un limite fra il mio software e le definizioni dell’AI Act?”. E in assenza di risposte immediate, entrano in scena eserciti di avvocati e consulenti specializzati, pronti a navigare nel caos in cambio di lauti compensi.

C’è chi sostiene che questa abbondanza normativa sia, paradossalmente, “troppo poco”: l’IA evolve così in fretta che, mentre scriviamo, nuove metodologie di machine learning e deep learning stanno emergendo, pronte a spiazzare le categorie dell’AI Act. Così, il regolamento appare già “antico” prima ancora di entrare pienamente in vigore. Altri, invece, temono che, proprio perché tutto è incluso, i costi e i tempi di adeguamento risulteranno assurdi, specialmente per le PMI.

Alla fine, la “filosofia del caos” emerge con forza: abbondare, incasellare ogni possibile scenario e lasciare che sia la prassi a interpretare. E chi non regge la complessità? Amen, non è un problema di chi scrive la norma. Se volessimo essere cattivi, potremmo dire che l’IA Act appare come un esercizio accademico di “collezionismo normativo” più che un regolamento realmente calibrato sulle esigenze del mercato.

3. Definizioni: Una Sfida alla Logica

Come in ogni regolamento che si rispetti, le “definizioni” sono il cuore pulsante. È lì che si stabilisce chi è dentro e chi è fuori. E, nel caso dell’AI Act, la definizione di “sistema di IA” è volutamente onnicomprensiva: include, in sostanza, qualsiasi software che mostri un “comportamento intelligente” (da intendersi in senso lato, ovviamente).

Si passa poi alle categorie di rischio: si vuole scongiurare che un’IA con impatto su diritti e libertà fondamentali sfugga a ogni controllo (rischio “inaccettabile”) e, d’altra parte, non si vuole zavorrare un’app triviale di editing fotografico con procedure infinita. Il diavolo, però, sta nei dettagli: la linea che separa un uso innocuo da uno ad alto rischio è spesso labile. Un software di analisi vocale potrebbe sembrare innocuo finché non lo si usa per svelare emozioni o tratti sensibili dell’utente, entrando così in un campo di potenziale invasività.

Se a questo aggiungiamo l’ampiezza delle definizioni, ecco che un’azienda si chiede: “Il mio software di predisposizione contabile, che utilizza qualche algoritmo predittivo, è considerato IA ad alto rischio se influisce sulle valutazioni finanziarie di un soggetto? Oppure è solo a rischio minimo perché si limita a suggerire scelte contabili? E se domani lo potenzio con un modulo di machine learning più spinto?”. Il regolamento dice: “Dipende”, e via con i consulenti.

L’obiettivo di mappare tutte le possibili IA finisce dunque per generare un mare di definizioni che, per forza di cose, si prestano a interpretazioni creative. E quando le definizioni non sono univoche, c’è il rischio di creare un mosaico di decisioni amministrative discordanti: un’autorità in Germania potrebbe considerare “alto rischio” ciò che in Italia è visto come “limitato” e viceversa.

Come esempio, immaginiamo un software di IA che valuta i CV per l’accesso a un concorso pubblico: altissimo rischio (influenza l’occupazione, potenziale discriminazione). Ma se lo stesso software si usa internamente per profilare i curricola di un’azienda privata, viene etichettato con la stessa gravità? E se l’azienda in questione lavora per la Pubblica Amministrazione? Insomma, le casistiche sono infinite, e i confini sbiadiscono rapidamente.

La sfida alla logica si traduce in una sfida alla pazienza di chi deve produrre la documentazione richiesta. L’AI Act prescrive, per i sistemi ad alto rischio, la creazione di registri di conformità, valutazioni di impatto, tracciamenti dei dati di addestramento, potenziali revisioni etiche. Un’ondata di burocrazia che, se da un lato mira alla trasparenza, dall’altro può diventare un incubo per chi lavora in mercati rapidi e competitivi.

4. Il Paradosso del Bias Algoritmico

Un caposaldo dell’AI Act è la volontà di combattere il “bias algoritmico”. Sappiamo tutti che l’IA apprende dai dati, e i dati, essendo “umani”, possono contenere pregiudizi e distorsioni storiche. È giusto prevenire che un software di reclutamento escluda automaticamente donne o minoranze, o che un sistema di riconoscimento facciale confonda le persone con pelle scura. L’Europa, dunque, dice: “Facciamo controlli, chiediamo trasparenza, pretendiamo accountability”.

Il paradosso emerge quando scopri che per rimuovere certi bias potresti dover trattare dati sensibili (etnia, religione, orientamento sessuale) – e qui spunta il GDPR con le sue restrizioni. Inoltre, la verifica della neutralità del dataset può essere complicatissima e costosa. Una grande multinazionale può permettersi interi team dedicati a sviscerare i dati, mentre una piccola impresa potrebbe non avere le risorse per farlo, pur avendo le stesse responsabilità legali.

Non solo: chi valuta la reale “assenza di bias”? Un funzionario? Un comitato etico? Un algoritmo che controlla l’algoritmo? La possibilità che si introducano nuovi bias burocratici è concreta. Esiste, infatti, il rischio che un’azienda si limiti a generare “carte” e report formali di conformità, senza davvero risolvere il problema alla radice. Se mancano competenze adeguate negli enti di controllo, si può finire con una “certificazione teorica” che non corrisponde alla realtà del software.

Ecco quindi che la lotta al bias, per quanto sacrosanta, diventa un’operazione macchinosa: un susseguirsi di ispezioni, revisioni, versioni aggiornate di algoritmi e test di validazione. Questa potrebbe essere la normalità in un prossimo futuro. E se i colossi della tecnologia “reggono” il colpo, le realtà più piccole, desiderose di lanciare nuove soluzioni IA, potrebbero scoraggiarsi e migrare altrove, dove le regole sono meno invasive.

5. Sovranità Digitale o Autogoal?

Uno dei cavalli di battaglia dei sostenitori dell’AI Act è la cosiddetta “sovranità digitale” europea: l’idea che il Vecchio Continente possa stabilire standard elevati di tutela e di qualità, obbligando chiunque voglia operare nel suo mercato a rispettarli. È la strategia che si è rivelata vincente con il GDPR, perlomeno dal punto di vista dell’impatto globale.

Ma qui la posta in gioco è più alta. L’IA è pervasiva, e la concorrenza arriva da superpotenze come Stati Uniti e Cina, dove l’approccio normativo è spesso diametralmente opposto. Gli USA, in generale, preferiscono regolare ex post, agendo solo quando la situazione sfugge di mano; la Cina ha regole ferree, ma principalmente rivolte alla stabilità politica e sociale, lasciando alle aziende un certo margine di innovazione “allineata”.

Se l’Europa impone regole troppo dure e complesse, rischia di spingere le proprie startup e PMI a scegliere sedi alternative, magari aprendo laboratori in Paesi che consentono di sperimentare più liberamente. A quel punto, la “sovranità digitale” diventa un’arma a doppio taglio, favorendo, in un paradossale contrappasso, proprio le multinazionali extraeuropee che hanno abbastanza risorse per sostenere i costi di compliance.

Un esempio? Immaginiamo una piccola impresa europea di IA che sviluppa algoritmi per la logistica, considerati “alto rischio” perché gestiscono processi in infrastrutture critiche. Questa impresa fatica a ottenere i certificati richiesti dall’AI Act, si scontra con la NIS2 (che richiede misure di sicurezza avanzate) e col CRA (che impone requisiti di resilienza). Nel frattempo, una grossa corporation americana o cinese affronta gli stessi obblighi con un budget legale sterminato, superandoli senza troppi traumi. Risultato: la piccola impresa chiude o si trasferisce, e i “soliti giganti” restano sulla scena.

Tutto ciò solleva la domanda: stiamo davvero promuovendo la sovranità digitale europea, o stiamo costruendo un castello normativo in cui solo i più ricchi possono entrare?

6. Il GDPR: Il Fratello Maggiore Saggio (o Quasi)

Molti paragonano l’AI Act al GDPR, considerandolo una sorta di “erede spirituale”. In effetti, il GDPR ha dimostrato che l’Europa può imporre i propri standard a livello globale, costringendo anche i giganti tech a modificare le proprie politiche di gestione dati. Ma l’intelligenza artificiale è un ambito più vasto e sfaccettato rispetto ai dati personali (per quanto già complessi).

Il GDPR si concentra su un aspetto preciso: la protezione dei dati personali. L’AI Act, al contrario, abbraccia questioni di trasparenza, etica, sicurezza, responsabilità e molto altro. Inoltre, alcuni obblighi imposti dall’AI Act potrebbero andare in conflitto con i principi del GDPR: per testare l’assenza di discriminazioni, potrebbe servire trattare dati sensibili, che il GDPR solitamente vieta (salvo eccezioni). Chi deciderà come armonizzare i due regolamenti?

C’è chi teme un “cortocircuito legale”: per ottemperare all’AI Act, devi trattare dati che il GDPR ti dice di non toccare. Se non li tocchi, rischi la sanzione dell’AI Act; se li tocchi, rischi la sanzione del GDPR. Forse la soluzione arriverà da linee guida comuni, ma intanto l’incertezza regna. E ricordiamo che, storicamente, l’UE non brilla per rapidità nel fornire interpretazioni uniformi.

Inoltre, il GDPR è diventato famoso per le sanzioni milionarie, inflitte persino a colossi mondiali. L’AI Act, a sua volta, prevede multe salate per chi viola i requisiti di trasparenza o sicurezza. Immaginiamo un’azienda colpita da sanzioni doppie: una per violazione GDPR e una per mancato rispetto dell’AI Act. Uno scenario da incubo per molte realtà imprenditoriali, che forse preferiranno non rischiare affatto, rinunciando a sviluppare sistemi IA avanzati in Europa.

Non dimentichiamo, poi, l’aspetto psicologico: il GDPR, almeno, aveva un obiettivo chiaro e un perimetro comprensibile (i dati personali). L’AI Act vuole disciplinare l’intero “processo di intelligenza artificiale”, e la percezione è che i confini siano molto più sfumati. Questo potrebbe generare una “fatica normativa” senza precedenti.

7. Il Dilemma dell’Innovazione

Come regolamentare senza soffocare l’innovazione? È il grande dilemma di ogni legislatore in materia tecnologica. L’UE ha scelto la strada del “proteggiamo i cittadini a ogni costo”, ma il costo potrebbe includere la fuga di cervelli e la delocalizzazione delle startup. Non è una teoria astratta: storicamente, normative troppo rigide in ambito tecnologico hanno spinto molti innovatori a spostare sede o operazioni in Paesi più flessibili.

L’IA, in particolare, cresce grazie a sperimentazioni rapide, errori, pivot continui. Se ogni passaggio deve essere documentato e conforme a un regolamento che elenca dozzine di obblighi, la velocità di sviluppo cala. Per carità, meglio rallentare un po’ che trovarsi con un “Terminator” fuori controllo; ma c’è il rischio di esagerare in senso opposto, creando un contesto dove l’innovazione è vista più come un potenziale pericolo che come una risorsa.

Un esempio emblematico: un’azienda biotech che usa IA per analizzare immagini mediche e suggerire diagnosi. L’AI Act la inquadra in “alto rischio”, il GDPR la obbliga a proteggere i dati sensibili, la NIS2 la richiama alla cybersecurity se lavora con strutture sanitarie, e il CRA potrebbe imporre requisiti di resilienza su software e dispositivi. Così, l’azienda si ritrova con un puzzle di normative da rispettare, ognuna con le proprie scadenze e procedure di audit. Se non possiede un reparto legale e tecnico ben nutrito, rischia di arenarsi prima ancora di lanciare il prodotto.

Si potrebbe ribattere: “Le regole ci vogliono, la salute umana è fondamentale”. Vero. Ma il problema è la mancanza di un coordinamento chiaro: l’AI Act guarda all’etica e al bias, NIS2 e CRA alla sicurezza informatica, il GDPR ai dati personali. Se i requisiti non sono armonizzati, si corre il pericolo di avere quattro “liste della spesa” diverse, con voci che si contraddicono o si ripetono. Risultato: confusione, costi maggiori, tempi infiniti.

D’altra parte, un eccesso di liberalizzazione potrebbe portare a scenari da “Far West” tecnologico, con abusi e violazioni dei diritti. Insomma, si cerca un equilibrio, ma la sensazione è che l’AI Act, così com’è, penda verso l’iper-regolamentazione. E, come insegna la storia, l’iper-regolamentazione non è amica delle piccole realtà innovative. Magari le grandi aziende ameranno l’AI Act, perché le aiuterà a mantenere la propria posizione di forza, potendo pagare la compliance senza battere ciglio.

8. Il Problema dell’Allineamento Normativo: NIS2, CRA e Altri Caos

L’AI Act non sorge in un vuoto. L’UE ha infatti varato (o sta varando) una serie di normative digitali che, teoricamente, dovrebbero integrarsi tra loro: la direttiva NIS2, il Cyber Resilience Act, il Digital Services Act, il Digital Markets Act, oltre al già citato GDPR. In una visione idilliaca, questi regolamenti componrebbero un mosaico armonico. Nella pratica, c’è il rischio di sovrapposizioni e conflitti.

La NIS2 punta a innalzare il livello di cybersicurezza nelle infrastrutture critiche, imponendo obblighi di notifica degli incidenti, piani di emergenza e misure di protezione. Il Cyber Resilience Act (CRA) stabilisce che i prodotti connessi (hardware e software) debbano rispettare requisiti minimi di sicurezza, con certificazioni o autocertificazioni in base al livello di rischio. L’AI Act, a sua volta, introduce categorie di rischio e procedure di audit focalizzate su bias, trasparenza, diritti fondamentali.

Cosa succede quando un’unica azienda rientra contemporaneamente sotto l’ombrello di tutti questi regolamenti? Ad esempio, una fabbrica “critica” (NIS2) che utilizza dispositivi connessi (CRA) e sistemi di IA (AI Act) per gestire la logistica, trattando magari dati personali dei dipendenti (GDPR). Siamo di fronte a un puzzle regolamentare da far girare la testa: triple o quadruple analisi di rischio, doppi registri di sicurezza, quadri di compatibilità che si accavallano.

Inoltre, ogni regolamento potrebbe fare riferimento a definizioni leggermente diverse. Il CRA distingue i “prodotti connessi” in base al rischio di sicurezza informatica, l’AI Act parla di “rischio alto” in termini di impatto sui diritti, NIS2 di “settori essenziali” con obblighi specifici di protezione. Non è detto che questi criteri coincidano, il che crea occasioni di conflitto: un prodotto potrebbe essere “alto rischio” per l’AI Act ma “livello medio” per il CRA, o viceversa.

Un caso concreto: un robot di sorveglianza dotato di IA per riconoscimento facciale, impiegato in un porto (infrastruttura critica secondo NIS2) e venduto in Europa (CRA). L’AI Act definisce potenzialmente “alto rischio” (o addirittura “inaccettabile” se usato in modalità di sorveglianza indiscriminata) il riconoscimento biometrico. Il CRA impone requisiti di sicurezza contro attacchi esterni, mentre NIS2 vuole procedure di incident response e obblighi di notifica. Le autorità competenti a vigilare, però, potrebbero essere diverse: una per la cybersicurezza, una per l’IA, una per la privacy. Chi coordina? Se decidono cose diverse, l’azienda deve seguire tutte?

E non scordiamo i conflitti con il GDPR: la scansione facciale comporta trattamento di dati biometrici, soggetti a un regime specifico. Se l’AI Act richiede di testare la non discriminazione, si potrebbe dover analizzare dati sensibili, ma il GDPR ti limita fortemente. Potresti esporti a sanzioni da un lato se non rispetti l’AI Act, e dall’altro se non osservi il GDPR.

Ecco perché si parla di “Altri Caos”: un regolamento non basta, ne abbiamo svariati, ciascuno col suo focus, e l’assenza di un metatesto integratore può generare più confusione che armonia. Qualcuno propone di creare un “Codice Unico per il Digitale” in UE, ma la strada è lunga e tortuosa. Nel frattempo, l’AI Act si affianca a NIS2, CRA e compagnia, dando vita a un mosaico normativo di bellezza… inquietante.

9. Il Sogno di un’Europa Competitiva

Nonostante le critiche e i timori, l’obiettivo (almeno dichiarato) è rendere l’Europa un luogo dove l’IA si sviluppi in modo etico e al tempo stesso competitivo. La Commissione Europea sogna un mercato unico dell’IA in cui le imprese possano operare con regole chiare, i cittadini siano protetti, e la fiducia alimenti la diffusione di soluzioni innovative.

È un sogno nobile, radicato in valori di trasparenza e diritti fondamentali. Tuttavia, se i regolamenti non si “parlano” tra loro, il mercato unico rischia di frantumarsi in 27 interpretazioni nazionali, aggravate dalle divergenti competenze delle autorità di controllo. Ciò significherebbe di fatto tornare a un’Europa a macchia di leopardo, dove le stesse tecnologie IA sono accolte in modo diverso a seconda dei confini.

C’è poi il tema dei fondi: regolamentare è facile, finanziare progetti di ricerca e sviluppo è più complesso. Se l’UE vuole davvero farsi “leader”, dovrebbe anche garantire che le imprese abbiano risorse per adeguarsi alle norme e per competere con i colossi globali. Senza adeguati investimenti in formazione di talenti, infrastrutture computazionali, laboratori e startup, rischiamo di avere la legislazione più evoluta e la pratica più arretrata.

Un altro aspetto è la “cultura dell’innovazione”. L’UE è storicamente attenta ai diritti, ma spesso teme l’incertezza che ogni nuova tecnologia porta con sé. Il sogno di un’Europa competitiva si scontra con questa inclinazione a “legiferare anzitutto”. L’AI Act, come colpo finale di questa tendenza, potrebbe consolidare l’immagine di un continente più propenso a scrivere regole che a favorire la libertà di sperimentazione.

Eppure, non tutto è perduto: se l’AI Act verrà gestito in modo intelligente, con linee guida chiare e procedure snelle (sì, lo so, in Europa suona quasi utopico), potrebbe in effetti creare un ambiente sicuro in cui le aziende e i cittadini si sentano tutelati. È questione di bilanciare principi e pragmatismo, regole e incentivi, protezione e libertà.

La vera prova del nove si avrà quando l’AI Act entrerà in vigore a pieno regime e arriveranno i primi casi concreti di interpretazione e sanzioni. Solo allora vedremo se l’Europa avrà trovato l’alchimia giusta tra tutela e competitività, o se si sarà impantanata in un dedalo di norme, contraddizioni e autorità in lite tra loro.

10. Conclusione: Un Passo Avanti, Due Indietro

Siamo giunti alla fine di questo lungo tour nel “Trionfo del Caos Normativo” chiamato AI Act. In sintesi, ecco i punti chiave:

• Un passo avanti: l’Europa riconosce l’importanza dell’IA e cerca di farne terreno di tutela e diritti, con attenzione ai bias e alla trasparenza. Almeno, non resta a guardare con le mani in mano.
• Due passi indietro: il regolamento è talmente ampio da generare confusione, potenzialmente sovrapposto e in conflitto con altri (NIS2, CRA, GDPR, DSA, DMA). Le definizioni elastiche lasciano spazio a interpretazioni divergenti, e la mole di documentazione richiesta rischia di soffocare le piccole realtà innovative.

Tra gli esempi concreti di conflitti normativi:

• Un’azienda che sviluppa un sistema IA per il riconoscimento facciale in un’infrastruttura critica potrebbe dover adempiere a NIS2 (sicurezza informatica), CRA (resilienza del dispositivo), GDPR (trattamento di dati biometrici) e AI Act (categorie di rischio, documentazione anti-bias). Chi coordina?
• Un software di e-recruitment potrebbe trovarsi a incrociare l’AI Act (alto rischio per il lavoro) e il GDPR (dati personali sensibili), con potenziale conflitto sull’uso di dati etnici per testare la non discriminazione.
• Un dispositivo medico intelligente (magari un bracciale con funzioni di monitoraggio dei parametri vitali) venduto in Europa deve soddisfare i criteri di sicurezza del CRA, la privacy del GDPR, la classificazione di rischio IA dell’AI Act e i requisiti “sanitari” di eventuali altre direttive di settore. Un delirio per la PMI che l’ha inventato.

Alla fine, la speranza è che l’AI Act diventi un volano per la fiducia nell’IA: un quadro regolatorio che rassicuri cittadini e imprese, evitando gli eccessi di un Far West tecnologico. Ma perché ciò avvenga, serve un maggiore allineamento con le altre normative, e un approccio pragmatico nell’applicazione. Altrimenti, potremmo ritrovarci con la miglior “enciclopedia di regole” del mondo, ma con un ecosistema impoverito, dominato dai soliti giganti e privo di quella vivacità che fa crescere l’innovazione.

Si dice che la verità stia sempre nel mezzo: l’AI Act è un tentativo di mediare tra libertà e sicurezza, tra progresso e protezione. Spetterà ai prossimi anni e alle prossime interpretazioni stabilire se avrà successo o se resterà un monolite burocratico in un panorama tecnologico che evolve troppo velocemente per rimanere imbrigliato. In attesa del verdetto, auguriamo a tutti – aziende, sviluppatori, cittadini e autorità – di avere pazienza e nervi saldi. Il regolamento è complesso, ma la storia ci insegna che dall’Europa possono nascere modelli di riferimento. Speriamo sia questa la volta buona.

11. Indice delle Fonti

• Proposta di Regolamento sull’Intelligenza Artificiale (AI Act) – COM(2021) 206 final
• Documento ufficiale della Commissione Europea che introduce l’AI Act, definisce le categorie di rischio e stabilisce gli obblighi per fornitori e utenti di sistemi IA.
• Direttiva (UE) 2022/2555 (NIS2)

• Riguarda il livello comune elevato di cybersicurezza nell’Unione. Fissa requisiti di sicurezza per operatori di servizi essenziali e introduce obblighi di notifica degli incidenti.
• Proposta di Regolamento sul Cyber Resilience Act (CRA) – COM(2022) 454 final

• Stabilisce regole per garantire la sicurezza di prodotti hardware e software connessi, definendo livelli di rischio e certificazioni, con l’obiettivo di migliorare la resilienza digitale nel mercato UE.
• Regolamento Generale sulla Protezione dei Dati (GDPR) – (UE) 2016/679

• Disciplina la protezione dei dati personali, imponendo obblighi a chi tratta dati e sanzioni per le violazioni. Spesso incrocia l’AI Act in materia di dati sensibili e processi decisionali automatizzati.
• Regolamento (UE) 2022/2065 (Digital Services Act – DSA)

• Focalizzato sulle piattaforme e i servizi digitali, impone regole per la moderazione dei contenuti, la trasparenza degli algoritmi di raccomandazione e la protezione degli utenti.
• Regolamento (UE) 2022/1925 (Digital Markets Act – DMA)

• Si rivolge ai “gatekeeper” digitali, cioè alle grandi piattaforme che dominano il mercato. Intende tutelare la concorrenza e prevenire pratiche abusive. Può incrociarsi con l’AI Act se tali piattaforme utilizzano sistemi di IA per gestire servizi.
• Linee Guida della Commissione Europea su IA e Etica (High-Level Expert Group on AI)

• Documenti non vincolanti ma influenti, che guidano le imprese e le istituzioni su come sviluppare IA in modo etico e affidabile, anticipando alcune logiche poi incorporate nell’AI Act.
• Raccomandazione (UE) 2019/243 del 6 febbraio 2019 sulla cybersicurezza

• Rientra nel quadro delle iniziative UE sulla sicurezza informatica, fornendo raccomandazioni a Stati membri e imprese. Spesso richiamata in riferimento a NIS2 e al CRA.
• Documenti del Parlamento Europeo sui diritti fondamentali e la sorveglianza biometrica

• Varie risoluzioni e studi sull’uso di IA per riconoscimento facciale e biometrico, da cui l’AI Act mutua l’idea di classificare certe applicazioni come “alto rischio” o “inaccettabili”.
• Rapporti e Studi Indipendenti (ad esempio, analisi di centri di ricerca come il CEPS o l’EDPS)

• Contributi di think tank e autorità di vigilanza che spesso segnalano le possibili sovrapposizioni tra normative europee e i rischi di frammentazione.