AI Act: la visione europea sull’intelligenza artificiale

L’intelligenza artificiale è ormai una presenza costante nella nostra quotidianità, dai servizi digitali che utilizziamo al lavoro alle applicazioni che supportano le decisioni pubbliche e private; se ne parla con crescente intensità, spesso con toni entusiastici, ma anche con timori legati alla trasparenza, alla sicurezza e ai diritti fondamentali.
Per rispondere a queste sfide, l’Unione Europea ha adottato l’AI Act, il primo regolamento al mondo volto a disciplinare l’impiego dell’intelligenza artificiale; tuttavia, non sono mancate le critiche, sia da parte di osservatori internazionali che da stakeholder europei, circa l’effettiva efficacia, la portata e l’impatto del nuovo quadro normativo.

Per orientarsi in questo scenario complesso, la sezione seguente propone una sintesi articolata e approfondita di cosa si intenda oggi per “intelligenza artificiale” e dei principali contenuti dell’AI Act; se ne perdoni la corposità, in quanto proporzionata alla complessità e all’estensione della normativa.
Chi invece conosce già questi elementi, o preferisce approfondire direttamente le implicazioni operative e le criticità emergenti, potrà procedere sull’ultimo paragrafo.

 L’Intelligenza Artificiale e l’AI ACT

L’Intelligenza Artificiale (IA) o Artificial Intelligence (AI), è un campo dell’informatica che si concentra sulla creazione di sistemi in grado di eseguire compiti difficilmente perseguibili con una comune programmazione, e che normalmente richiederebbero l’intelligenza umana. Questi compiti includono ad esempio la comprensione del linguaggio naturale, il riconoscimento di immagini o suoni, la capacità di prendere decisioni, risolvere problemi e imparare dall’esperienza (apprendimento automatico o machine learning).
La creazione di un’IA avviene per mezzo di quattro fasi principali:
1. Raccolta dei dati – in questa fase vengono raccolte grandi quantità di dati (testi, immagini, audio, numeri…) da cui l’IA possa imparare; per esempio, se si desidera creare un’IA che sia capace di riconoscere volti nelle fotografie, è necessario raccogliere migliaia di immagini di persone in diverse condizioni di luce, angolazione e contesto.
2. Allenamento del modello (training) – il cuore dell’IA è un “modello”, simile a un cervello virtuale; lo si allena “mostrandogli” i dati molte volte, finché le strutture che lo simulano non imparano a dedurre e riconoscere schemi ricorrenti, come ad esempio la forma degli occhi, la posizione del naso o la distanza tra i tratti del viso.
3. Validazione e test – dopo l’allenamento, si verifica se l’IA funziona bene usando dati “nuovi” (mai visti prima); se sbaglia troppo, si torna a correggere o migliorare.
4. Messa in produzione – quando l’IA è pronta, viene “messa al lavoro” in app, siti web o dispositivi, dove può interagire con le persone o effettuare analisi in automatico.

L’IA rappresenta quindi una delle tecnologie più trasformative della nostra epoca, non è semplicemente un insieme di algoritmi, ma un paradigma che può modificare profondamente la nostra economia, i processi decisionali, l’equilibrio geopolitico, l’organizzazione sociale e i diritti fondamentali.
Per questo motivo, l’Unione Europea ha scelto di essere la prima al mondo a dotarsi di un quadro giuridico completo, che promuovesse l’innovazione in modo coerente alla nostra Carta dei diritti fondamentali: l’AI Act, entrato in vigore il 2 agosto 2024.
Il regolamento ha un obiettivo fondamentale: promuovere un’IA antropocentrica e affidabile, che rispetti la dignità umana, i diritti fondamentali e i valori europei; una IA quindi al servizio dell’uomo e non sostitutiva, uno strumento volto ad aumentare il benessere e non ad erodere la libertà.

I sette principi cardine alla base di tale obiettivo sono:

1. Centralità umana e supervisione – Il benessere dell’utente deve essere al centro delle funzionalità del sistema IA. È essenziale mantenere forme di controllo umano (in-the-loop, on-the-loop o in-command) per garantire una supervisione responsabile.
2. Robustezza tecnica e sicurezza – I sistemi IA devono essere affidabili, resilienti agli attacchi e dotati di piani di emergenza. Le decisioni devono essere accurate e riproducibili, con meccanismi di sicurezza integrati a tutela della salute fisica e mentale.
3. Privacy e governance dei dati – La protezione dei dati va garantita lungo tutto il ciclo di vita dell’IA. È fondamentale usare set di dati per l’apprendimento che siano di qualità ed evitino bias (ovvero distorsioni che possono contenere pregiudizi comunemente presenti nella società), documentare ogni fase (raccolta, addestramento, test, uso) e governare adeguatamente l’accesso alle informazioni.
4. Trasparenza – Bisogna documentare l’intero processo decisionale dell’IA, dai dati all’algoritmo. Le decisioni devono essere spiegabili e comunicate chiaramente ai vari stakeholder, con indicazione di capacità e limiti del sistema.
5. Diversità, non discriminazione ed equità – L’IA deve tener conto della varietà umana e garantire accessibilità a tutti, anche alle persone con disabilità, adottando un approccio di design universale per favorire pari opportunità.
6. Benessere sociale e ambientale – L’IA dovrebbe promuovere la sostenibilità ambientale e il benessere umano, considerando anche l’impatto sulle generazioni future e contribuendo alla salvaguardia dell’ecosistema.
7. Responsabilità – Devono esistere meccanismi chiari di responsabilità prima e dopo l’uso dell’IA. È cruciale rendere i sistemi verificabili, valutare e minimizzare gli impatti negativi e favorire la fiducia tramite trasparenza e tracciabilità.

Devono inoltre essere adottate misure per garantire, nella misura possibile, un livello sufficiente di alfabetizzazione in materia di IA da parte del personale coinvolto nel funzionamento e nell’utilizzo dei sistemi di IA, considerando le loro conoscenze tecniche, esperienza, istruzione e formazione, nonché il contesto e le persone o gruppi su cui tali sistemi devono essere utilizzati.

Struttura e ambito di applicazione dell’AI Act

Il regolamento si applica a chiunque sviluppi, immetta sul mercato o utilizzi sistemi di IA nell’UE, inclusi attori extra-UE i cui servizi siano destinati al mercato europeo; sono escluse le applicazioni militari, di difesa o di sicurezza nazionale, e le attività di ricerca e sviluppo pre-commerciale.
Le misure previste includono:

• Requisiti per i modelli di IA a finalità generali (GPAI)
• Requisiti per i sistemi di IA ad alto rischio
• Divieti per pratiche particolarmente lesive dei diritti fondamentali
• Obblighi di trasparenza su sistemi IA specifici
• Misure a sostegno dell’innovazione
• Sorveglianza di mercato e governance

Modelli di IA per finalità generali (GPAI)

I GPAI (General Purpose AI), sono tipologie di IA capaci di svolgere molti compiti diversi in modo efficace, non limitandosi a un solo scopo; anche se addestrate su grandi quantità di dati (spesso in modo automatico), sono IA che possono essere usate in vari contesti, in molti prodotti o applicazioni diverse.
I fornitori di modelli GPAI sono soggetti a specifici obblighi, di seguito sintetizzati:

• Documentazione Tecnica – occorre redigere e mantenere aggiornata la documentazione tecnica del modello (inclusi il processo di addestramento, le prove e i risultati della sua valutazione) da rendere disponibile, su richiesta, all’Ufficio per l’IA e alle autorità nazionali competenti.
• Informazioni per i Fornitori a Valle – occorre elaborare, mantenere aggiornate e mettere a disposizione informazioni e documentazione per i fornitori di sistemi di IA che intendono integrare il modello. Queste informazioni devono consentire ai fornitori a valle di comprendere le capacità e i limiti del modello, nonché di adempiere a loro volta ai loro obblighi.
• Politica sul Diritto d’Autore – occorre attuare una politica volta a rispettare il diritto dell’Unione in materia di diritto d’autore e diritti connessi.
• Sintesi dei Contenuti di Addestramento – occorre redigere e mettere a disposizione del pubblico una sintesi sufficientemente dettagliata dei contenuti utilizzati per l’addestramento del modello, secondo un formato fornito dall’Ufficio per l’IA.
• Cooperazione – è richiesta la disponibilità a cooperare, secondo necessità, con la Commissione e le autorità nazionali competenti

Modelli di IA per finalità generali con rischio sistemico

In generale, un modello GPAI viene classificato come a rischio sistemico quando presenta una capacità di impatto elevato, e quindi quando presenta una quantità cumulativa di calcolo utilizzata per il suo addestramento superiore a 10²⁵ operazioni in virgola mobile (FLOPS).
In tal caso sono previsti ulteriori obblighi specifici, che si aggiungono a quelli generali precedentemente descritti, tra cui:

• Valutazione dei modelli – occorre effettuare una valutazione dei modelli in conformità di protocolli e strumenti standardizzati che riflettano lo stato dell’arte; in particolare questa valutazione deve includere l’esecuzione e la documentazione degli adversarial testing (tecniche per testare la robustezza di un sistema AI mediante input intenzionalmente manipolati per indurre errori o comportamenti imprevisti)
• Valutazione e attenuazione dei rischi sistemici – occorre valutare e attenuare continuamente i possibili rischi, ad esempio attraverso apposite politiche di gestione, processi di responsabilità e governance, monitoraggio successivo all’immissione sul mercato e cooperazione con gli attori della catena del valore dell’IA.
• Segnalazione di incidenti gravi – è necessario tenere traccia, documentare e riferire senza indebito ritardo all’Ufficio per l’IA le informazioni pertinenti su incidenti gravi e le eventuali misure correttive adottate
• Protezione della cybersicurezza – occorre garantire un livello adeguato di protezione della cybersicurezza per il modello e la sua infrastruttura fisica, in modo proporzionato ai rischi

Occorre inoltre inviare notifica alla Commissione entro due settimane dal raggiungimento dei requisiti, allegando le prove tecniche; se la Commissione viene a conoscenza di un modello rischioso non notificato, può procedere d’ufficio alla designazione del modello come “a rischio sistemico”.

Sistemi di IA ad alto rischio

Rientrano in questa categoria i sistemi di IA destinati ad essere utilizzati come componenti di sicurezza di un prodotto e comunque quando effettui profilazione di persone fisiche.
L’allegato III della normativa elenca inoltre ulteriori e molteplici tipologie di sistemi di IA considerati ad alto rischio, che si sintetizzano di seguito:

• Sistemi per identificazione biometrica remota, se consentiti dalle normative UE o nazionali (es. riconoscimento facciale a distanza), escludendo quelli usati solo ai fini di autenticazione
• Sistemi IA impiegati come componenti di sicurezza nella gestione e funzionamento di infrastrutture digitali critiche, traffico stradale, distribuzione di acqua, gas, calore, elettricità
• Sistemi per determinare accesso o assegnazione degli studenti ad istituti a tutti i livelli, valutare risultati di apprendimento, monitorare e individuare comportamenti vietati durante esami
• Sistemi per analisi curricula e valutazione candidati, per decisioni lavorative (promozioni, licenziamenti), assegnazione di compiti personalizzata, e monitoraggio e valutazione delle prestazioni e comportamento dei lavoratori
• Sistemi usati da autorità pubbliche per valutare l’ammissibilità a prestazioni e servizi essenziali (es. sanità), per la valutazione della solvibilità creditizia e per la valutazione e classificazione delle chiamate d’emergenza
• Sistemi per valutare il rischio che una persona diventi vittima di reato, per valutare l’affidabilità delle prove e per profilare persone
• Sistemi per esaminare domande di asilo, visto, permessi di soggiorno e per rilevare, riconoscere o identificare persone nel contesto migratorio/frontaliero
• Sistemi IA utilizzati per influenzare l’esito di elezioni o referendum.

In questi casi i requisiti possono essere raggruppati su sette ambiti:

• Sistema di gestione dei rischi – adozione di un sistema di gestione dei rischi che non sia una tantum, ma un processo continuo, iterativo e documentato
• Dati e governance dei dati – durante l’addestramento tramite dati è obbligatorio che i dataset utilizzati per addestramento, validazione e test soddisfino criteri stringenti di qualità, che i dati siano pertinenti, rappresentativi, privi di errori sistemici noti e aggiornati in modo adeguato, e che siano adottate misure tecniche e organizzative per prevenire distorsioni (bias), errori o manipolazioni nei dataset, in linea con gli obblighi previsti anche per la prevenzione dei rischi sistemici
• Documentazione tecnica – deve essere predisposta prima della messa sul mercato o dell’entrata in servizio del sistema e descrivere dettagliatamente il funzionamento del sistema, i suoi limiti, i controlli implementati, le valutazioni effettuate e la conformità ai requisiti legali; deve inoltre essere mantenuta costantemente aggiornata, anche a seguito di modifiche sostanziali al sistema o del verificarsi di incidenti significativi, e resa disponibile per 10 anni dall’immissione sul mercato
• Conservazione delle registrazioni – dev’essere implementata, a livello tecnico, la registrazione automatica degli eventi rilevanti; in particolare la capacità di log deve essere attiva per l’intera durata del ciclo di vita del sistema, i dati devono essere conservati per almeno sei mesi ed includere almeno le date e gli orari precisi di utilizzo del sistema, la banca dati di riferimento utilizzata per la verifica degli input, i dati di input che hanno generato una corrispondenza con il database, gli identificativi delle persone fisiche coinvolte nella verifica dei risultati
• Trasparenza e fornitura di informazioni – occorre redigere un manuale che includa almeno l’identità e i dati di contatto del fornitore, una descrizione delle caratteristiche del sistema, delle sue prestazioni, dei suoi limiti, nonché delle risorse computazionali e hardware necessarie e le misure previste per garantire il controllo umano sul funzionamento del sistema
• Sorveglianza umana – occorre sviluppare il sistema con interfacce che permettano Il monitoraggio attivo e continuo da parte di operatori umani
• Accuratezza, robustezza e cybersicurezza – il sistema dev’essere sviluppato in modo da offrire garanzie circa l’accuratezza, la robustezza (ad esempio attraverso meccanismi di backup o fail-safe) e la sicurezza informatica per tutto il ciclo di vita del sistema; inoltre, occorre includere specifiche misure tecniche che prevengono e rilevano alterazioni del dataset di addestramento (data poisoning) o dei modelli pre-addestrati (model poisoning), difendono da input manipolati appositamente per indurre errori (adversarial examples o model evasion) e proteggono da attacchi alla riservatezza dei dati o vulnerabilità intrinseche del modello.

Prima di immettere sul mercato o mettere in servizio un sistema di intelligenza artificiale classificato come “ad alto rischio” il fornitore o il suo rappresentante autorizzato deve registrare sé stesso e il sistema nell’apposita banca dati pubblica dell’UE, deve inoltre effettuare una procedura di valutazione della conformità, elaborarne una dichiarazione e apporre marchiatura CE.
Il fornitore deve anche implementare un sistema documentato di gestione qualità, coerente con il Regolamento AI, per esempio tramite politiche interne, procedure operative standard e modelli di documentazione specifici per l’AI.

Sussistono obblighi anche per gli utilizzatori di IA ad alto rischio, in particolare:

• Fare un uso del sistema in modo conforme alle sue istruzioni
• Operare una sorveglianza umana tramite persone fisiche competenti
• Controllare i dati di input
• Monitorare funzionamento e segnalare anomalie ai fornitori ed autorità
• Conservare i log per 6 mesi, se sotto il proprio controllo
• Informare i lavoratori se il sistema di IA viene utilizzato sul luogo di lavoro
• Effettuare una valutazione d’impatto come da GDPR

Obblighi di trasparenza per sistemi IA specifici

I sistemi di IA che interagiscono direttamente con persone fisiche devono essere implementati in modo tale da:

• informare l’utente in modo chiaro e comprensibile sul fatto che stia interagendo con un sistema automatizzato
• per i sistemi AI generativi (testo, audio, immagini, video) che producono contenuti artificiali, tali contenuti devono essere marcati in modo leggibile da macchina e riconoscibili come generati o manipolati da un’IA
• Chi impiega sistemi AI di riconoscimento delle emozioni o categorizzazione biometrica è tenuto a informare chiaramente le persone esposte sull’esistenza e funzionamento del sistema ed a trattare i dati personali in conformità con i regolamenti privacy
• Analogamente, è obbligatoria l’informazione specifica quando il sistema genera o manipola contenuti visivi o audio che costituiscono deepfake o produce testi artificiali destinati a informare il pubblico su temi di interesse generale.

Misure a sostegno dell’innovazione

Il Regolamento prevede la creazione di spazi di sperimentazione normativa (regulatory sandboxes) entro il 2 agosto 2026, ambienti controllati gestiti da autorità pubbliche che permettono di testare tecnologie di IA innovative:

• in condizioni reali o quasi reali;
• con regole temporaneamente adattate;
• sotto supervisione istituzionale.

I fornitori o potenziali fornitori possono testare sistemi ad alto rischio elencati nell’Allegato III anche prima della loro immissione sul mercato, da soli o in collaborazione con uno o più utilizzatori.

 Monitoraggio post-commercializzazione e incident reporting

I fornitori di sistemi di IA ad alto rischio devono istituire un sistema di monitoraggio post-immissione sul mercato:

• proporzionato alla natura e ai rischi del sistema;
• volto a raccogliere informazioni sull’efficacia, la sicurezza e le anomalie.

Qualsiasi incidente grave che coinvolge un sistema ad alto rischio deve essere segnalato entro 15 giorni all’autorità di vigilanza competente, sia dal fornitore sia, se applicabile, dagli utilizzatori.

 Accesso al codice sorgente per le autorità

Le autorità nazionali di vigilanza del mercato possono accedere al codice sorgente dei sistemi ad alto rischio su richiesta motivata, qualora ciò risulti necessario per verificare la conformità alle norme europee.

 Pratiche vietate

È vietata l’immissione sul mercato, la messa in servizio o l’uso di sistemi di IA che possono provocare danni, ovvero i sistemi che:

• Utilizzano tecniche manipolative subliminali
• Sfruttano vulnerabilità legate a età, disabilità o condizioni sociali
• Realizzano sistemi di social scoring pregiudizievoli
• Valutano il rischio criminale di individui
• Raccolgono dati biometrici da fonti pubbliche in modo indiscriminato (es. foto o video su Internet)
• Rilevano emozioni nei contesti lavorativi e scolastici
• Classificano individui in base a caratteristiche biometriche per dedurre informazioni sensibili quali razza, opinioni politiche, appartenenza sindacale, convinzioni religiose o filosofiche, vita sessuale o orientamento sessuale
• Usano identificazione biometrica remota in tempo reale su spazi accessibili al pubblico a fini di polizia (con rare eccezioni)

Timeline e sanzioni

L’applicazione dell’AI Act sarà graduale:

• 2 febbraio 2025: applicazione delle disposizioni generali e pratiche vietate
• 2 agosto 2025: applicazione delle regole per GPAI, vigilanza e sanzioni
• 2 agosto 2026: applicazione generale
• 2 agosto 2027: applicazione per sistemi di IA ad alto rischio che sono componenti di sicurezza di prodotti
• 2 agosto 2030: applicazione per fornitori e utilizzatori di sistemi di IA ad alto rischio destinati ad essere utilizzati dalle autorità pubbliche
• 31 dicembre 2030: applicazione per sistemi di IA che sono componenti di sistemi IT su larga scala istituiti dagli atti giuridici elencati nell’Allegato X, e che sono stati immessi sul mercato o messi in servizio prima del 2 agosto 2027

Le sanzioni sono proporzionali alla gravità delle infrazioni riscontrate:

• Fino a 35 milioni di euro o 7% del fatturato mondiale annuo per pratiche vietate
• Fino a 15 milioni di euro o 3% del fatturato mondiale annuo per altre violazioni, inclusi i GPAI
• Fino a 7,5 milioni di euro o 1% del fatturato mondiale annuo per informazioni inesatte

Codice di Condotta per l’IA a finalità generale (GPAI)

Il GPAI Code of Practice, recentemente pubblicato il 10 luglio 2025, rappresenta uno strumento volontario a supporto dei fornitori di modelli di intelligenza artificiale (IA) a finalità generali, che si articola in tre capitoli principali:

1. Trasparenza – corredato di un Model Documentation Form, fornisce indicazioni ai provider sulle opportune modalità per conformarsi agli obblighi di trasparenza.
2. Diritto d’autore – fornisce una guida operativa su come gestire e comunicare in maniera corretta i diritti d’autore relativi a dati, output e componenti dei modelli.
3. Sicurezza e protezione – fornisce buone pratiche per la gestione dei rischi sistemici e la resilienza dei sistemi

Unione Europea ed IA: dinosauro o ultimo baluardo?

La storia ci insegna che nel Giappone dell’800, gli orgogliosi samurai combatterono per preservare valori e tradizioni che la modernità stava invece rapidamente superando al suon di armi da fuoco. In modo analogo, l’Unione Europea, con l’AI Act, si è posta come pioniera nella regolamentazione dell’intelligenza artificiale, rischiando però di apparire, agli occhi di alcuni, come una forza conservatrice che ostacola l’innovazione, mentre altri attori globali avanzano senza vincoli apparenti. È pur vero che la storia è scritta dai vincitori, ma la domanda che dobbiamo porci è: quale rischio è realmente maggiore?
Innovare senza regole può sembrare efficace nel breve periodo, ma rinunciare oggi alla gestione dei rischi, alla progettazione documentata e all’adozione di scelte etiche che pongano dei limiti di salvaguardia, potrebbe lasciarci, domani, senza alcun controllo su tecnologie che influenzeranno profondamente la nostra società. In un futuro in cui le successive generazioni potrebbero dover chiedere chiarimenti direttamente a sistemi autonomi intelligenti, potranno davvero fidarsi delle loro risposte?
L’AI Act si fonda sui principi costituzionali europei, che pongono al centro la dignità umana, i diritti fondamentali e il benessere collettivo. Non tutti i Paesi condividono questa impostazione: in alcuni ordinamenti, gli interessi commerciali sono prevalenti anche a livello costituzionale, e ciò spiega le forti divergenze nella percezione e nell’accettazione della normativa europea.

Le critiche più aspre, provenienti anche da grandi aziende e Paesi extra-UE, derivano dal fatto che l’AI Act impone obblighi anche a chi opera al di fuori dell’Unione, ma intende offrire servizi sul suo territorio. Tra questi obblighi rientrano, ad esempio, il rispetto dei diritti d’autore, la documentazione tecnica, l’analisi dei rischi e la tracciabilità delle scelte progettuali: attività viste da molti come costose o rallentanti, ma fondamentali per garantire affidabilità e responsabilità. L’alternativa, oggi adottata in altri contesti, è quella di sviluppare modelli avanzati raccogliendo dati dalla rete senza distinzione né consenso, senza valutare impatti o predisporre garanzie. È come costruire un’automobile assemblando pezzi altrui, senza verificare la sicurezza dei componenti, solo per arrivare primi sul mercato. E se poi quell’auto fosse dotata di un’intelligenza autonoma e imprevedibile, saremmo pronti a salirci a bordo?
Altro importante insegnamento che possiamo trarre dal passato riguarda l’introduzione dei social network, un’innovazione che, almeno nelle intenzioni iniziali, mirava a facilitare la condivisione di contenuti, a favorire nuove forme di socializzazione e a creare comunità digitali più coese. Tuttavia, il loro lancio sul mercato è avvenuto in un momento in cui il quadro normativo non era ancora pronto ad affrontarne le implicazioni, e questo ha lasciato ampi spazi a dinamiche impreviste e spesso dannose.
Come sappiamo, con il tempo sono emersi numerosi effetti collaterali negativi: l’ascesa degli hater e la proliferazione dei discorsi d’odio, il fenomeno del cyberbullismo, soprattutto tra i più giovani, e l’utilizzo delle piattaforme come strumenti di distrazione di massa o di manipolazione dell’informazione; a questi si sono aggiunti l’impatto sulla salute mentale, l’amplificazione delle polarizzazioni sociali e politiche e la creazione di ambienti digitali tossici, dove l’anonimato può trasformarsi in un’arma.

Oggi, a distanza di anni, gestire e mitigare questi effetti richiede sforzi considerevoli da parte delle istituzioni, delle aziende tecnologiche e della società civile, in un contesto in cui il danno è già in parte compiuto; l’esperienza dei social network ci ricorda quanto sia cruciale anticipare, per quanto possibile, la regolamentazione delle tecnologie emergenti, affinché l’innovazione non si traduca in nuovi rischi per i diritti, la sicurezza e il benessere dei cittadini.
Pur riconoscendo che l’AI Act comporta oneri significativi, in particolare sotto il profilo documentale, ciò che chiede in fondo è di “fare le cose per bene” prima di rendere disponibile al pubblico un sistema IA.
Questo approccio (non sempre gradito nemmeno all’interno dell’UE, come dimostra la recente richiesta di moratoria firmata da 44 aziende per timore di rimanere indietro rispetto ai competitor esteri), mira a tutelare i cittadini da manipolazioni (ad esempio distorcendo le informazioni durante i periodi elettorali), truffe (ad esempio sfruttando le debolezze che i sistemi IA imparano a riconoscere in noi), discriminazioni (ad esempio su selezioni lavorative, o per ideologie, razza, religione, …), sorveglianza incontrollata (ad esempio con l’identificazione automatica di individui tramite webcam pubbliche) e abusi sull’identità personale (ad esempio con la produzione di falsi video offensivi con le sembianze di una persona reale).

In definitiva, l’AI Act rappresenta un primo passo verso un ecosistema digitale in cui l’uomo resti al centro. Sempre più spesso invece, nelle dichiarazioni pubbliche di influenti esponenti del settore tecnologico internazionale, si avverte un entusiasmo quasi visionario verso lo sviluppo di sistemi di intelligenza artificiale sempre più potenti, complessi e, in alcuni casi, imprevedibili persino per i loro stessi creatori; un approccio che talvolta sembra riflettere un’ambizione di dominio tecnologico quasi assoluto.
Guardiamo dunque all’AI Act come a un primo, fondamentale passo verso una governance dell’intelligenza artificiale più equa e sostenibile. Nessuna norma nasce perfetta, ma questo impianto regolatorio offre un quadro di riferimento solido, che consente di mantenere il controllo sullo sviluppo tecnologico e di migliorare progressivamente i meccanismi di tutela. È una scelta che mette al centro il benessere collettivo, in alternativa a una corsa incontrollata verso scenari potenzialmente distopici, in cui i benefici dell’innovazione rischiano di concentrarsi nelle mani di pochi, lasciando indietro molti.

Marcello David