Il 13 marzo 2024, il Parlamento europeo ha approvato l’AI Act, il primo corpus normativo organico dedicato all’intelligenza artificiale nel mondo occidentale. È stato salutato come un momento storico, il segno tangibile che l’Europa intende governare le tecnologie emergenti prima che queste la governino. Eppure, a chi conosce la storia del GDPR — il Regolamento Generale sulla Protezione dei Dati entrato in vigore nel 2018 — è impossibile non avvertire una certa inquietudine.
Il GDPR è stato, nei suoi limiti, un testo robusto: fondato su principi chiari, ancorato a diritti già riconosciuti dalla Carta dei diritti fondamentali dell’Unione europea, e sorretto da un oggetto normativo — il dato personale — relativamente stabile nel tempo. L’AI Act, al contrario, nasce già in ritardo, insegue una tecnologia in trasformazione accelerata, e deve fare i conti con una realtà che cambia più velocemente di qualsiasi ciclo legislativo.
Questo articolo analizza le ragioni strutturali per cui l’AI Act rischia di essere meno efficace del GDPR, non per demeriti dei suoi redattori, ma per le caratteristiche intrinseche dell’oggetto che si propone di regolare.
Il GDPR e il vantaggio della stabilità ontologica
Che cos’è un dato personale: una definizione che regge
Il GDPR ruota attorno a un concetto cardine: il dato personale, definito come «qualsiasi informazione riguardante una persona fisica identificata o identificabile». Questa definizione, per quanto apparentemente semplice, ha una caratteristica preziosa: è ontologicamente stabile. Un nome, un indirizzo IP, una foto, una cronologia di acquisti — la natura di queste informazioni non cambia radicalmente da un anno all’altro. Le sfide interpretative ci sono state e continuano a esserci, ma il perimetro concettuale ha tenuto.
Questa stabilità ha permesso ai giuristi, alle autorità di controllo e alle imprese di costruire nel tempo un corpus di decisioni, linee guida e prassi applicative coerenti. Il Comitato europeo per la protezione dei dati (EDPB) ha potuto emettere orientamenti credibili perché l’oggetto della norma non si trasformava radicalmente mentre venivano scritti.
I diritti degli interessati come architrave
Un’altra forza del GDPR risiede nel fatto che i diritti che riconosce — accesso, rettifica, cancellazione, portabilità — sono diritti esercitabili. Un individuo può chiedere a un’azienda di cancellare i propri dati e ottenere una risposta concreta. Il diritto non è astratto: produce obblighi verificabili, inadempimenti misurabili, sanzioni proporzionate.
Questa struttura ha permesso all’enforcement di funzionare, almeno in parte. Le sanzioni inflitte dal Garante irlandese a Meta, dal Garante italiano a OpenAI, o dalle autorità francesi a Google dimostrano che il meccanismo, seppur lento, ha dei denti.
L’AI Act e il problema dell’oggetto mutevole
Definire l’intelligenza artificiale: una sfida epistemica
Il primo nodo critico dell’AI Act è definitorio. L’articolo 3 definisce i sistemi di IA come «sistemi basati su macchine che, per un insieme di obiettivi definiti dall’uomo, sono in grado di generare output come previsioni, raccomandazioni, decisioni o contenuti che influenzano ambienti reali o virtuali». Una definizione volutamente ampia, costruita per resistere all’invecchiamento tecnologico.
Il problema è che questa ampiezza genera opacità applicativa. Cosa rientra e cosa no? Un sistema di raccomandazione basato su regole deterministiche è IA? Un algoritmo di scoring creditizio degli anni Novanta? Le aziende con maggiore capacità legale riusciranno a navigare queste ambiguità a proprio vantaggio. Le imprese più piccole si troveranno in un limbo normativo costoso.
Il GDPR aveva lo stesso problema con i Big Data, ma in misura molto più contenuta: l’elaborazione di dati personali rimaneva riconoscibile anche nelle sue forme più sofisticate.
La classificazione per rischio: un’architettura che scricchiola
L’AI Act adotta un approccio basato sul rischio, suddividendo i sistemi di IA in quattro categorie: inaccettabile, alto rischio, limitato e minimo. I sistemi ad alto rischio — in ambiti come la biometria, l’istruzione, l’occupazione, i servizi essenziali, l’applicazione della legge — sono soggetti agli obblighi più stringenti: valutazione della conformità, documentazione tecnica, supervisione umana, registrazione negli archivi europei.
Questa architettura sembra solida sulla carta. Il problema è che presuppone una certa stabilità delle categorie. Ma l’IA generativa, emersa in forma dirompente dopo il 2022, non si inserisce facilmente in nessuno dei cassetti previsti. Un modello fondazionale può alimentare simultaneamente applicazioni ad alto rischio e applicazioni a rischio minimo: come si regola il modello a monte? L’AI Act ha tentato di rispondere con gli obblighi sui General Purpose AI Models (GPAI), ma la soluzione è parziale e già contestata dai principali operatori del settore.
La velocità dell’innovazione contro i cicli legislativi
Il GDPR è stato negoziato tra il 2012 e il 2016, entrato in vigore nel 2018. In quegli anni, la tecnologia di riferimento — la raccolta e il trattamento di dati — era già ampiamente dispiegata. Il Regolamento inseguiva una realtà già consolidata, ma almeno la inseguiva da vicino.
L’AI Act è stato negoziato tra il 2021 e il 2024. In questo arco di tempo, il panorama dell’IA è stato rivoluzionato almeno due volte: prima dai transformer e dai Large Language Models, poi dall’IA generativa di massa con GPT-4, Claude, Gemini e i loro successori. Già durante i triloghi, i negoziatori si sono trovati a discutere di sistemi che non esistevano quando era iniziata la stesura del testo.
Questo non è un difetto dei legislatori: è la natura del problema. Ma è un limite strutturale che il GDPR non aveva in questa misura.
Le debolezze specifiche dell’AI Act
La dipendenza da standard tecnici non ancora definiti
Una parte rilevante degli obblighi concreti dell’AI Act è demandata a standard tecnici armonizzati che dovranno essere sviluppati da CEN-CENELEC e dall’ENISA. Fino a quando questi standard non esisteranno, le imprese operano in un’incertezza applicativa significativa.
Il GDPR ha fatto ricorso anch’esso a standard tecnici — si pensi alle linee guida sulla pseudonimizzazione o alla cifratura — ma si trattava di tecnologie già mature. Gli standard per la trasparenza algoritmica, la robustezza dei sistemi di IA, la documentazione dei training data sono un territorio in gran parte inesplorato, su cui la comunità scientifica stessa non ha ancora trovato consenso.
Il rischio di cattura regolatoria
L’AI Act prevede meccanismi di consultazione con l’industria che, se non bilanciati adeguatamente, possono portare a fenomeni di cattura regolatoria: le imprese più grandi, con maggiori risorse e accesso ai tavoli di negoziazione, finiscono per influenzare l’interpretazione delle norme a proprio vantaggio.
Non si tratta di un’accusa: è una dinamica strutturale documentata in molti contesti regolatori. Nel campo dell’IA, il rischio è amplificato dal fatto che le autorità di vigilanza spesso non dispongono delle competenze tecniche necessarie per valutare in modo autonomo le affermazioni delle imprese sulla conformità dei propri sistemi.
L’extraterritorialità: più difficile da far valere
Il GDPR ha dimostrato una certa capacità di proiezione extraterritoriale: aziende americane hanno dovuto adeguarsi, pena l’esclusione dal mercato europeo. L’AI Act punta a replicare questo modello — il cosiddetto “effetto Bruxelles” — ma con l’IA il meccanismo è più complicato.
Un modello addestrato al di fuori dell’UE e accessibile via API è molto più difficile da controllare di un flusso di dati. Le API possono cambiare, i modelli possono essere aggiornati silenziosamente, la supply chain dell’IA è globale e opaca. L’enforcement extraterritoriale dell’AI Act sarà una sfida legale e diplomatica di prim’ordine.
Cosa salva l’AI Act dalla irrilevanza
Il valore della cornice normativa
Nonostante le criticità, sarebbe sbagliato concludere che l’AI Act sia inutile. Anche una norma imperfetta ha il valore di creare una cornice di riferimento: stabilisce principi, individua responsabilità, impone la documentazione e la trasparenza come valori. Questo, nel medio periodo, orienta i comportamenti anche là dove l’enforcement è debole.
Il GDPR stesso, nei suoi primi anni di vita, è stato più simbolico che operativo. Eppure ha modificato la cultura aziendale verso una maggiore attenzione alla privacy, almeno nelle organizzazioni che prendono sul serio il rischio reputazionale.
I divieti assoluti come nucleo duro
L’AI Act contiene un nucleo di divieti assoluti — sistemi di social scoring governativo, riconoscimento facciale in spazi pubblici senza autorizzazione, manipolazione subliminale — che sono relativamente chiari e applicabili. Questi divieti costituiscono il punto di maggiore robustezza del testo, perché riguardano applicazioni già esistenti e non dipendono dalla definizione di standard tecnici.
Su questo nucleo duro, l’applicazione può essere più efficace e meno soggetta all’obsolescenza tecnologica.
Conclusioni: il diritto come inseguimento
Il GDPR è nato come regolatore di una tecnologia matura, con oggetti giuridici riconoscibili e diritti fondamentali già articolati. Aveva il vantaggio di correre quasi alla stessa velocità di ciò che inseguiva.
L’AI Act nasce in una condizione diversa: deve regolare una tecnologia che si trasforma più rapidamente di qualsiasi ciclo normativo, con definizioni necessariamente vaghe, standard tecnici ancora da costruire, e una catena di responsabilità distribuita su scala globale. Non è un fallimento della volontà politica: è la struttura del problema.
Il vero rischio non è che l’AI Act non funzioni del tutto, ma che funzioni poco e male laddove sarebbe più necessario — nei sistemi ad alto rischio, nelle applicazioni che toccano diritti fondamentali — mentre crea oneri sproporzionati per le imprese più piccole che non possono permettersi di navigare l’incertezza normativa.
Il diritto che insegue la tecnologia non è una novità storica: è accaduto con la stampa, con l’elettricità, con Internet. La differenza, questa volta, è che la tecnologia corre più veloce. E questo obbliga a pensare non solo a regole migliori, ma a metodi di regolazione più adattivi: clausole di revisione automatica, autorità con competenze tecniche reali, spazi sperimentali regolati (sandbox) e, soprattutto, la capacità istituzionale di aggiornare le norme prima che il mondo le abbia già rese obsolete.
Articolo redatto a fini di analisi giuridico-tecnologica. I riferimenti normativi si basano sul testo dell’AI Act pubblicato nella Gazzetta Ufficiale dell’Unione europea e sul Regolamento (UE) 2016/679 (GDPR).
L’Europa in un contesto globale: USA e Cina a confronto
Il modello americano: frammentazione e autoregolazione
Mentre l’Europa legiferava, gli Stati Uniti hanno scelto una strada radicalmente diversa. L’Executive Order on Safe, Secure, and Trustworthy AI firmato da Biden nell’ottobre 2023 ha tracciato alcune linee guida federali, ma senza creare obblighi vincolanti per il settore privato. L’approccio americano resta fondamentalmente settoriale e affidato all’autoregolazione: la FTC interviene sull’IA nei limiti delle sue competenze in materia di pratiche commerciali sleali, la FDA regola i dispositivi medici basati su algoritmi, ma non esiste un quadro orizzontale paragonabile all’AI Act. Questo modello offre alle imprese americane una flessibilità operativa che le controparti europee non hanno, con il rischio concreto di un arbitraggio normativo: sviluppare e sperimentare oltreoceano, distribuire in Europa solo ciò che supera il vaglio regolatorio. Il cambio di amministrazione nel 2025 ha ulteriormente allontanato gli Stati Uniti da qualsiasi prospettiva di regolazione federale stringente, rendendo ancora più marcata la divergenza transatlantica.
Il modello cinese: controllo senza trasparenza
All’estremo opposto si colloca la Cina, che ha adottato una serie di regolamenti verticali sull’IA — sulle raccomandazioni algoritmiche (2022), sui deep fake (2022), sull’IA generativa (2023) — con una logica opposta a quella europea: non tutela dei diritti individuali, ma controllo del contenuto e allineamento con gli obiettivi dello Stato. Il modello cinese è per certi versi più coerente dell’AI Act nella sua applicabilità immediata, perché non si preoccupa di bilanciare innovazione e diritti fondamentali: sacrifica i secondi sull’altare del primo e della stabilità politica. Questo confronto mette in luce una tensione che l’Europa fatica ad ammettere apertamente: regolare l’IA in modo genuinamente garantista, senza sacrificare la competitività tecnologica né cedere al controllo statale, è forse la sfida normativa più difficile del nostro tempo. L’AI Act è un tentativo serio di percorrere questa via stretta, ma la strada è lunga e il terreno è sdrucciolevole.
