Nell'Ue sono entrate in vigore pochi giorni fa nuove norme sull'AI, ma non è chiaro come ci si regolerà con le Big Tech Usa
L’AI Act rappresenta la prima regolamentazione organica sull’intelligenza artificiale (IA) adottata dall’Unione europea. Si tratta di una normativa pionieristica a livello globale, che si pone l’obiettivo di garantire un utilizzo sicuro, trasparente ed etico dei sistemi di IA, proteggendo persone, imprese e diritti fondamentali, pur avendo l’ambizione di promuovere l’innovazione e il mercato unico digitale europeo.
La caratteristica precipua dell’AI Act è che si tratta di un approccio basato sul rischio. In esso, difatti, vengono distinti quattro livelli di rischio (inaccettabile, alto, limitato, minimo o nullo) regolamentando ciascuna categoria con requisiti diversi.
Il primo livello di rischio interessa la manipolazione dell’opinione pubblica, il social scoring, il riconoscimento biometrico “in tempo reale” in luoghi pubblici, ecc. I sistemi ad alto rischio sono quelli soggetti a obblighi stringenti (IA in ambito sanitario, infrastrutture critiche, giustizia, impiego, educazione), mentre gli ultimi due, i sistemi a rischio limitato e minimo, sono quelli soggetti solo a obblighi di trasparenza o esclusi da requisiti specifici.
Dopo le iniziali disposizioni normative, introdotte lo scorso 2 febbraio 2025, relative al divieto delle pratiche rischiose e di obbligo di alfabetizzazione del personale impegnato nel funzionamento o utilizzo dei sistemi di IA – derivanti dall’applicazione dell’art. 5, quali:
i) tecniche manipolative subliminali; ii) sfruttamento di vulnerabilità quali età, disabilità o situazione socioeconomica; iii) social scoring; iv) classificazione di dati biometrici in base a razza, orientamento politico, affiliazioni sindacali, credenze religiose o filosofiche, vita sessuale o orientamento sessuale; v) riconoscimento facciale indiscriminato –
il 2 agosto sono entrate in vigore una nuova serie di norme per operatori, imprese e amministrazioni pubbliche europee con obblighi specifici che coinvolgono sia i fornitori, sia gli utilizzatori di modelli di IA di uso generale (GPAI, General Purpose AI), ma anche la designazione ufficiale delle Autorità nazionali di vigilanza.
In precedenza, la Commissione Ue, aveva già pubblicato, il 10, 18 e 24 luglio, altri tre documenti significativi quali il Codice di Condotta per la responsabilità e la trasparenza dei fornitori (volontario ma strategico), le Linee Guida interpretative con indicazioni su cosa integra effettivamente un GPAI e il Template per la disclosure dei dati di training e per la pubblicazione di un riepilogo dei contenuti utilizzati per l’addestramento, anche per i modelli distribuiti gratuitamente o open source (obbligatorio).
Ciò premesso, il nuovo pacchetto normativo prevede:
1 – Obblighi di trasparenza per i modelli GPAI in quanto tutti i fornitori, d’ora in poi, saranno tenuti a fornire una documentazione standardizzata e dettagliata sui propri modelli, in particolare sul processo di addestramento, le fonti e le categorie dei dati utilizzati, i relativi rischi e le misure di sicurezza adottate. Gli operatori dovranno ottemperare, dunque, all’obbligo di pubblicare una sintesi dettagliata, dichiarando eventuali lacune informative qualora la raccolta completa dei dati fosse irragionevolmente gravosa;
2 – Definizioni puntuali di GPAI in quanto un modello dovrà essere considerato GPAI se supererà la soglia di 10^23 FLOP (unità di potenza di calcolo per il training) e sarà in grado di generare output multimodali (testo, immagini, audio, video). Tuttavia, anche modelli che non raggiungessero tale soglia, ma che dimostrassero una chiara finalità di IA generale, ricadrebbero nella disciplina GPAI;
3 – Responsabilità lungo tutto il ciclo di vita dal momento che i fornitori saranno responsabili anche per modifiche future al modello. Se un utilizzatore dovesse modificare significativamente un modello GPAI, diventerebbe a sua volta “fornitore” e titolare degli obblighi di trasparenza, risk management e documentazione;
4 – Sanzioni e vigilanza perché dal 2 agosto potranno essere inflitte sanzioni per violazioni agli obblighi già in vigore sui GPAI, incluse multe e ritiro dal mercato dei modelli non conformi;
5 – Designazione delle Autorità nazionali in quanto gli Stati membri dovranno aver designato, entro il 2 agosto, le Autorità competenti per vigilanza, ricezione di notifiche, segnalazioni, controlli e irrogazione delle sanzioni. Nel caso dell’Italia, in base al disegno di legge promosso dal Governo Meloni, sono state individuate, come autorità nazionali responsabili dell’attuazione e vigilanza, due soggetti principali:
l’Agenzia per l’Italia Digitale (AgID), la quale avrà il compito di promuovere l’innovazione, implementare la strategia nazionale sull’IA e valutare la conformità dei sistemi IA rispetto alle norme italiane ed europee, nonché l’Agenzia per la Cybersicurezza Nazionale (ACN), la quale sarà responsabile della vigilanza, con poteri ispettivi e sanzionatori, sull’applicazione del quadro normativo nelle materie assegnate. Questa scelta di governance “duale” è stata confermata dal testo del disegno di legge approvato dal Consiglio dei ministri e attualmente in discussione al Parlamento.
Come si inserisce l’adozione di tali norme rispetto al recente accordo tra Stati Uniti e Unione europea su tasse e regole per big tech e AI? Da questo punto di vista, oggigiorno, le relazioni transatlantiche Usa-Ue risultano particolarmente complesse e caratterizzate da una marcata incertezza normativa e fiscale.
L’ultimo accordo commerciale, difatti, firmato il 27 luglio 2025, ha effettivamente cercato di regolamentare alcuni aspetti del commercio digitale, tra cui i dazi su settori strategici come chip per AI, semiconduttori e farmaceutica. Tuttavia, nelle questioni cruciali riguardanti la tassazione delle grandi piattaforme digitali (come Google, Apple, Meta) e la governance dei sistemi di IA, molte ambiguità permangono irrisolte. La posizione europea spinge per una “digital tax” sulle attività pubblicitarie e i servizi digitali, ma l’Amministrazione trumpiana si è mostrata radicalmente contraria e minaccia ritorsioni, rendendo i progressi fragili e soggetti a continui mutamenti.
In generale, infine, è da sottolineare che l’accordo favorisce gli interessi delle big tech statunitensi le quali continueranno a godere di trattamenti normativi e fiscali più vantaggiosi rispetto a quelle europee, consolidando la loro posizione dominante, aggravando così la dipendenza delle imprese nazionali ed europee da chip, terre rare e componenti fondamentali della supply chain.
In definitiva, sul piano delle regole per l’IA, la situazione resta ambigua: l’AI Act europeo impone una regolamentazione stringente e risk-based, con obblighi severi di trasparenza, governance e audit, ai quali le big tech statunitensi dovranno conformarsi per operare nel mercato europeo. Gli Stati Uniti, invece, non hanno ancora adottato una normativa nazionale integrata sull’IA e hanno espresso forte preoccupazione riguardo all’impatto extraterritoriale delle regole Ue, che potrebbero minacciare l’innovazione e la sovranità regolatoria statunitense.
La situazione è caratterizzata, quindi, da una marcata opacità e da un’evoluzione costante: sulla carta, Stati Uniti e Unione europea concordano sull’importanza di regole comuni e interoperabili per assicurare la fiducia nell’IA, ma in concreto la partita si sta giocando tra esigenze di digital sovereignty, interessi industriali e frequenti utilizzi di dazi e nuovi tributi come strumenti negoziali. Le imprese, gli operatori e le amministrazioni pubbliche, di conseguenza, saranno costrette, nei prossimi mesi, a districarsi tra regolamenti in evoluzione, minacce di sanzioni incrociate e grandi margini di incertezza operativa.
— — — —
Abbiamo bisogno del tuo contributo per continuare a fornirti una informazione di qualità e indipendente.