L'AI Act dell'Unione Europea, entrato in vigore nell'agosto 2024, rappresenta il primo tentativo globale di regolamentazione sistematica dell'IA, ma la sua efficacia dipenderà dalla capacità di adattarsi a scenari tecnologici che cambiano quotidianamente. A un anno dalla sua entrata in vigore, emergono già i primi segnali di tensione tra l'ambizione normativa e la realtà di un settore in continua trasformazione.
L'architettura dell'AI Act prevede un'implementazione scaglionata che si estenderà fino al 2030, con regole differenziate a seconda del livello di rischio dei sistemi di intelligenza artificiale. Dal 2 febbraio 2025 sono attive le proibizioni sui sistemi a rischio inaccettabile, mentre dal 2 agosto sono entrate in vigore le misure relative agli standard di governance e ai modelli di IA generale. Tuttavia, secondo Víctor Rodríguez, docente presso l'Università Politecnica di Madrid, questa fase iniziale è stata caratterizzata da una sostanziale invisibilità mediatica, principalmente dovuta al fatto che le sanzioni non sono ancora operative.
La situazione cambierà drasticamente nei prossimi mesi, quando le prime multe inizieranno a materializzarsi. Roger Segarra, partner dello studio legale Osborne Clarke, osserva già alcuni effetti concreti, particolarmente nel campo dei sistemi di identificazione biometrica remota in tempo reale utilizzati dalle autorità pubbliche per scopi di sorveglianza, dove l'effetto deterrente si è manifestato ancora prima dell'implementazione effettiva.
Il divario tra giganti tecnologici e piccole imprese
Uno degli aspetti più problematici emersi in questo primo anno riguarda la disparità nell'adeguamento normativo tra aziende di diverse dimensioni. Mentre le grandi corporazioni hanno adottato misure preventive volontarie per conformarsi alla regolamentazione, le piccole e medie imprese si trovano ad affrontare quello che Segarra definisce un "clima di tensione" dovuto agli oneri burocratici ed economici. La scarsità di linee guida pratiche ha aggravato questa situazione, creando un panorama normativo a macchia di leopardo.
Come suggeriva il professor Alec Ross qualche tempo fa, dunque, sembra che AI Act sia utile per le grandi aziende, che possono permettersi un esercito di consulenti e avvocati. Per le aziende più piccole, che non hanno questo tipo di risorse, diventa una bella gatta da pelare. Anche per questo Ross definiva l'AI Act "370 pagine si stupidaggini" (ma con un linguaggio più colorito).
Anche a livello geografico si registrano differenze significative nell'implementazione tra i vari Stati membri. La Spagna si è distinta come primo paese europeo a istituire un'autorità nazionale di supervisione dell'intelligenza artificiale, l'AESIA, segnalando un approccio proattivo che non tutti i partner europei hanno adottato con la stessa tempestività.
Quando la tecnologia supera la norma
La critica più incisiva all'AI Act arriva da chi quotidianamente si confronta con le applicazioni pratiche dell'intelligenza artificiale. Arnau Roca di Overstand Intelligence sottolinea come l'evoluzione tecnologica stia superando la capacità normativa, citando esempi concreti di richieste di progetti che si collocano al confine tra l'etico e l'abusivo. Strumenti come il riconoscimento di immagini in tempo reale, i deep fake istantanei e i modelli multimodali che combinano testo, immagini e audio rappresentano sfide che la normativa attuale fatica a contemplare.
Particolarmente preoccupante risulta il fatto che molte applicazioni dell'IA sfuggono completamente al perimetro normativo. Rodríguez evidenzia come le applicazioni militari sui campi di battaglia o l'utilizzo di tecnologie di sorveglianza di massa attraverso piattaforme come Palantir rimangano sostanzialmente non regolamentate, creando un paradosso tra controllo civile e libertà d'azione in ambiti strategici.
Le prospettive di adattamento normativo
La consapevolezza dei limiti attuali ha portato i legislatori europei a progettare meccanismi di adattamento continuo. La struttura dell'AI Act, che definisce principi generali lasciando i dettagli tecnici agli standard internazionali armonizzati, dovrebbe facilitare gli aggiornamenti senza necessità di riaprire l'intero processo legislativo. Tuttavia, permangono zone d'ombra significative, particolarmente nel campo dell'open source, dove la definizione di "fornitore" risulta confusa e l'impatto su progetti come Llama rimane incerto.
La pressione politica e sociale potrebbe accelerare una revisione formale dell'AI Act prima della scadenza quinquennale prevista dal testo. Segarra identifica nella revisione continua dei modelli post-commercializzazione uno degli aspetti più delicati, suggerendo la necessità di valutazioni sistematiche dell'impatto sui diritti fondamentali una volta che i sistemi di IA sono già operativi sul mercato.
Tra ambizioni globali e realtà operative
L'aspirazione europea di replicare il successo del GDPR attraverso il cosiddetto "effetto Bruxelles" si scontra con una realtà più complessa. La divisione tra i giganti tecnologici - con Google che ha accettato di firmare il Codice di Condotta per l'IA Generale e Meta che si è rifiutata - segnala come il consenso internazionale sia più difficile da raggiungere rispetto a quanto accaduto con la protezione dei dati personali. L'arrivo della nuova amministrazione Trump negli Stati Uniti aggiunge un ulteriore elemento di incertezza al panorama normativo globale.
Il timore delle aziende riguardo alla fuga di segreti commerciali attraverso il database centralizzato per i sistemi ad alto rischio, unito alle preoccupazioni di alcuni Stati membri sulla centralizzazione del potere normativo a Bruxelles, evidenzia come l'AI Act debba ancora trovare un equilibrio tra efficacia regolatoria e accettabilità pratica. La sfida principale rimane quella di creare un framework sufficientemente agile da adattarsi all'evoluzione tecnologica senza perdere la certezza giuridica necessaria per orientare comportamenti e investimenti nel settore dell'intelligenza artificiale.