AI Act un anno dopo: chiarezza, conformità e controversie all’orizzonte

È passato quasi un anno dall’entrata in vigore dell’AI Act dell’UE, eppure l’Europa sta ancora cercando di orientarsi tra le sue ambiguità. Sebbene una regolamentazione sia necessaria per modellare l’impatto dell’AI sulla società, l’attuale quadro normativo spesso risulta eccessivo e paternalistico, più che abilitante. Servono regole più chiare, non ulteriori restrizioni, per bilanciare innovazione e responsabilità. Se un cittadino sceglie di condividere pubblicamente i propri dati, tale scelta dovrebbe essere rispettata. Fortunatamente, la normativa include meccanismi flessibili che potrebbero consentire correzioni di rotta. Il 2 agosto 2025 rappresenta una scadenza cruciale per la conformità—e potenzialmente un punto di svolta per le ambizioni regolatorie dell’UE.

Punti chiave

• 2 agosto 2025: scadenze fondamentali per la conformità dei modelli GPAI (General-Purpose AI) e per gli obblighi di reporting.
• Gli Stati membri dell’UE devono designare le autorità nazionali competenti e notificarle alla Commissione Europea.
• I fornitori di GPAI affrontano nuovi obblighi di trasparenza, copyright e mitigazione dei rischi.
• Nessuna azione legale pubblica è stata ancora intrapresa ai sensi dell’AI Act, ma i casi GDPR già affrontano l’uso dei dati legato all’AI.
• Crescono le critiche secondo cui l’UE starebbe ammorbidendo le regole sull’AI sotto la pressione degli Stati Uniti per restare competitiva.
• Un report degli stakeholder chiede definizioni più chiare e un’applicazione più pragmatica.
• L’applicazione legale completa delle regole per l’AI ad alto rischio inizierà il 2 agosto 2026.

Analisi approfondita

Governance e applicazione: si entra nel vivo

Entro il 2 agosto 2025, tutti gli Stati membri dell’UE dovranno designare formalmente le autorità nazionali competenti per l’applicazione dell’AI Act. Questi enti supervisioneranno le valutazioni di conformità dei sistemi AI ad alto rischio e riferiranno all’European AI Office, che inizierà ufficialmente il proprio ruolo di supervisione sui modelli GPAI in quella stessa data. Queste istituzioni costituiranno l’ossatura operativa della struttura regolatoria dell’AI Act.

Fornitori di GPAI: trasparenza e responsabilità

L’AI Act impone obblighi significativi ai fornitori di sistemi GPAI:

• Documentazione tecnica: devono essere mantenuti registri completi e aggiornati sul funzionamento e l’addestramento dei modelli.
• Conformità al copyright: i fornitori devono dimostrare il rispetto della normativa europea sul copyright, in particolare per quanto riguarda le fonti dei dati di training (Orrick Law Center).
• Trasparenza sui dati di training: deve essere resa pubblica una sintesi dei dataset utilizzati.
• Mitigazione dei rischi sistemici: i fornitori devono valutare e affrontare rischi sistemici, come vulnerabilità di sicurezza o potenziali abusi, e segnalare eventuali incidenti.

Questi requisiti mirano a rendere lo sviluppo dell’AI più responsabile, ma aumentano i costi di conformità—soprattutto per gli sviluppatori più piccoli.

Sanzioni, reporting e lacune nell’applicazione

La mancata conformità può comportare sanzioni fino a 15 milioni di euro o al 3% del fatturato globale. Ogni Stato membro dovrà inoltre presentare una relazione biennale sulle risorse finanziarie e umane dedicate all’applicazione. A metà 2025, non sono ancora state avviate azioni legali dirette ai sensi dell’AI Act, ma l’applicazione del GDPR già tocca questioni legate all’AI.

Precedenti stabiliti dal GDPR, non dall’AI Act

Due casi mostrano come i diritti sui dati vengano messi alla prova con le normative attuali:

• X (ex Twitter) è stato oggetto di una denuncia da parte di NOYB Austria per l’uso di dati personali nell’addestramento dell’AI senza consenso, in presunta violazione del GDPR (Reuters).
• Meta ha affrontato un’azione simile per l’intenzione di addestrare modelli AI usando dati di utenti europei di Facebook e Instagram senza consenso esplicito. È in valutazione una possibile class action.

Questi casi dimostrano che la protezione dei dati resta il fronte principale, anche se le controversie specifiche sull’AI Act sono ancora agli inizi.

Retromarcia regolatoria o riallineamento pragmatico?

Sotto pressione da parte di leader industriali statunitensi e stakeholder europei, la Commissione Europea sta rivedendo alcune delle sue proposte più rigide. Henna Virkkunen, responsabile per le politiche digitali dell’UE, ha annunciato il ritiro della norma che consentiva ai cittadini di citare in giudizio le aziende AI per danni—un tentativo di creare un ambiente più favorevole agli investimenti.

Meta, ad esempio, ha ripreso l’addestramento dei propri modelli AI sui dati degli utenti europei, dopo averlo sospeso a causa dell’incertezza normativa. I critici sostengono che l’UE stia cedendo alle pressioni statunitensi, ma i regolatori negano di aver compromesso le tutele fondamentali.

Percorsi divergenti all’orizzonte

È improbabile che emerga un quadro normativo globale unico per l’AI. Persistono divergenze su trasparenza dei modelli, diritti sui dati e classificazione dei rischi. Tuttavia, aziende come Meta e OpenAI sostengono regole più armonizzate per ridurre la frammentazione e i costi di conformità.

Implicazioni per il business

• Pressione normativa: gli sviluppatori europei devono destinare risorse significative a documentazione e reporting, con possibile impatto sull’innovazione.
• Rischio legale: anche prima dell’applicazione piena dell’AI Act, le aziende affrontano sfide legate al GDPR. Le future sanzioni specifiche per l’AI potrebbero amplificare l’esposizione legale.
• Dinamiche competitive: l’atteggiamento più morbido dell’UE segnala un tentativo di trattenere innovazione e investimenti—ma introduce anche incertezza regolatoria.
• Strategia sui dati: le aziende devono chiarire i meccanismi di consenso e garantire la tracciabilità completa dei dataset di training per evitare cause o divieti futuri.
• Accesso ai mercati globali: requisiti di conformità frammentati tra le regioni potrebbero ostacolare la diffusione globale dell’AI, a meno che non emerga una maggiore convergenza.

Perché è importante

Il 2 agosto 2025 segna il passaggio dalla preparazione normativa all’applicazione operativa. Le aziende che operano in Europa devono considerare questa data come una scadenza vincolante, soprattutto per la trasparenza dei modelli GPAI e l’allineamento con le autorità nazionali. Dal 2 agosto 2026, i sistemi AI ad alto rischio saranno pienamente soggetti a controllo.

I decisori politici devono sfruttare questo periodo di transizione per chiarire i termini ambigui e garantire che le regole siano applicabili senza soffocare l’innovazione. L’ultimo report degli stakeholder sollecita definizioni più precise per concetti critici come “adaptiveness” e chiede linee guida concrete su pratiche vietate—come la sorveglianza biometrica in tempo reale e il riconoscimento delle emozioni.

In definitiva, il successo dell’AI Act dell’UE dipenderà dalla sua capacità di regolamentare senza bloccare il progresso. Un approccio più agile, chiaro e proporzionato servirà meglio sia gli innovatori che i cittadini.