🤖 AI Act: a che punto siamo? - Legge Zero #85
Dal 2 agosto 2025 diventano applicabili alcune importanti disposizioni dell'AI Act. Abbiamo preparato una piccola guida all'attuazione del Regolamento Europeo, ad un anno dalla sua entrata in vigore.
Questo è l’ultimo numero di LeggeZero prima di una breve pausa estiva. Vi proponiamo un punto della situazione sull’attuazione dell’AI Act, alcune segnalazioni da approfondire e un cruciverba da fare durante le vacanze.
Buona lettura!
🧠 La calda estate della governance dell’IA
L’attuale governance globale dell’IA è ancora frammentata. I Paesi hanno grandi divergenze, in particolare su concetti regolatori e quadro istituzionale. Dovremmo rafforzare il coordinamento per formare al più presto un framework di governance dell’IA che goda di un ampio consenso internazionale. Altrimenti, l’intelligenza artificiale rischia di diventare “un gioco esclusivo per pochi Paesi e poche imprese”.
Queste parole sono state pronunciate dal primo ministro cinese Li Qiang a Shanghai alla fine di luglio, durante la conferenza World Artificial Intelligence Conference (WAIC). In quell’occasione, Li Qiang - presentando il nuovo action plan cinese in materia di intelligenza artificiale (lo trovate, in cinese, qui) - ha proposto la creazione di un organismo internazionale per la cooperazione sull’IA, sottolineando la volontà della Cina di collaborare con altre nazioni e di promuovere una governance condivisa dello sviluppo dell’intelligenza artificiale e delle sue regole.
Pochi giorni prima, il 23 luglio, il Presidente Trump aveva presentato il proprio action plan sull’IA che non potrebbe essere più lontano dall’approccio cinese, a partire dal titolo “Winning the AI Race”, ovvero “vincere la corsa all’intelligenza artificiale” (potete scaricarlo, in inglese, qui sotto).
In breve, il piano USA punta a:
innovare più velocemente, semplificando ulteriormente il quadro regolatorio in modo da ridurre i vincoli per i provider IA;
costruire la capacità produttiva e di calcolo necessaria, con rilevanti investimenti grazie alla collaborazione pubblico-privato;
proiettare all’estero l’ecosistema tecnologico statunitense, con l’obiettivo dichiarato di mantenere la supremazia globale degli Stati Uniti nell’intelligenza artificiale (a scapito della Cina).
Coerentemente, Trump ha firmato tre ordini esecutivi in materia di IA immediatamente dopo il lancio del piano, ciascuno mirato a uno degli obiettivi chiave della strategia:
Accelerating Federal Permitting of Data Center Infrastructure: semplifica i permessi per la costruzione di megadata-center;
Preventing Woke AI in the Federal Government: impone alle agenzie federali di acquistare solo modelli IA ritenuti “veritieri e ideologicamente neutrali” (in sintesi, non “politicamente corretti”). L’ordine esecutivo - di difficile applicazione - prevede la risoluzione dei contratti e penali per i fornitori che non rispettano questi principi.
Promoting the Export of the American AI Technology Stack: lancia l’American AI Exports Program per fornire ai paesi alleati pacchetti completi (chip, software, servizi) e nel contempo inasprisce i controlli sulle esportazioni per negare il supercalcolo ai rivali strategici.
Insomma, una logica imperialista in cui ci sono alleati e nemici (e l’importante è arrivare primi).
E l’Europa?
In questo scenario, l’Unione Europea - che è stata la prima a muoversi sul piano regolatorio - da tempo ha scelto una via differente sia dalla Cina che dagli USA. E continua a perseguirla senza farsi troppo condizionare dal contesto geopolitico.
Il punto fermo della strategia europea è un quadro normativo completo (che significa anche complesso, ovviamente) e condiviso, frutto del lungo e lento processo democratico comunitario (la democrazia ha i suoi tempi, si sa). Questo approccio si è concretizzato nell’AI Act, il regolamento europeo sull’intelligenza artificiale che ha l’obiettivo di tutelare i diritti fondamentali e assicurare lo sviluppo di un’IA affidabile e antropocentrica. La scommessa dell’AI Act è quella di delineare regole tecnologicamente neutre, vale a dire non legate a specifiche tecnologie e quindi (si spera) in grado di resistere meglio all’obsolescenza, in un settore in cui i grandi provider rendono disponibili ogni settimana strumenti più performanti.
Ovviamente, come si dice, “Roma non è stata costruita in un giorno”. È quindi del tutto fisiologico che l'implementazione di un quadro normativo così complesso richieda tempi lunghi, permettendo a istituzioni, provider e utilizzatori di adattarsi gradualmente.
Di conseguenza, la timeline dell'AI Act procede con una apparente serenità, senza lasciarsi troppo influenzare dalle turbolenze geopolitiche attuali, seguendo i tempi previsti dal legislatore europeo.
Qui sotto trovate una sintesi dei principali avanzamenti compiuti nel primo anno di attuazione del Regolamento UE.
Le scadenze del 2 agosto 2025
Un anno dopo l’entrata in vigore, è arrivata la prima grande deadline: dal 2 agosto 2025 diventano applicabili alcune norme particolarmente rilevanti. In particolare: gli obblighi per i modelli di IA generali, il sistema di governance e il regime sanzionatorio. Vediamoli in dettaglio.
Obblighi per i modelli di IA
I primi obblighi sono quelli per i fornitori di modelli di IA a uso generale (GPAI). Si tratta di norme che sono destinate a cambiare (vedremo quanto) i modelli di IA generativa per come li conosciamo. In particolare, i provider devono attivarsi per:
predisporre una specifica documentazione tecnica comprensiva di un riepilogo dei dati utilizzati per l’addestramento e di una policy sul diritto d’autore in cui siano illustrate le cautele poste in essere per rispettare la normativa vigente;
attuare procedure di gestione e mitigazione dei rischi (inclusi test di sicurezza) e, se generano contenuti sintetici, garantire un’adeguata etichettatura (per combattere i rischi legati ai deep-fake);
Se il modello di IA rientra tra quelli più potenti (c.d. “a rischio sistemico”) - come ChatGPT, Gemini, Claude, Grok, Llama e Mistral - scattano obblighi rafforzati.
Inoltre, i fornitori con sede fuori dall’UE che immettono tali modelli sul mercato europeo devono nominare un rappresentante autorizzato nell’Unione.
Governance europea e autorità nazionali competenti
Dal 2 agosto 2025, l’architettura di governance dell’AI Act è divenuta operativa, ma non tutti gli ingranaggi sono già a regime. L’European AI Office funziona da cabina di regia e sorveglia i modelli GPAI, ma la tabella di marcia ha messo sotto pressione perfino Bruxelles. I due organi consultivi pensati per rafforzare il know how tecnico e il dialogo con gli stakeholder - che avrebbero dovuto essere già funzionanti - devono ancora essere completati: la call per lo Scientific Panel di esperti indipendenti e quella per l’Advisory Forum (imprese, PMI, società civile) resteranno aperte fino a settembre 2025, per cui l’insediamento slitterà in autunno.
Sul fronte nazionale, la situazione sembra ancora più complicata. Entro la stessa data del 2 agosto 2025 ogni Stato membro avrebbe dovuto designare almeno un’autorità di sorveglianza del mercato (che vigila sui sistemi di IA immessi in commercio) e una notifying authority (che accredita e controlla gli organismi di valutazione di conformità). Al momento, però, solo tre Paesi hanno completato formalmente queste designazioni, mentre gli altri – tra cui l’Italia – non hanno ancora provveduto (colpisce che in questo elenco figurino anche Stati come Francia, Paesi Bassi e Austria).
Nel Belpaese, salvo sorprese, in base a quanto previsto nel DDL IA (che dopo 15 mesi non è stato ancora licenziato dalle Camere), ACN sarà l’autorità di vigilanza sul mercato, mentre Agid la notifying authority. Le attende un compito molto gravoso, rimediare alla lentezza del processo di designazione e dotarsi di risorse, competenze e processi in modo da essere un punto di riferimento autorevole per il mercato, le amministrazioni e i cittadini.
Regime sanzionatorio
In linea teorica, dal 2 agosto 2025 diventano applicabili le sanzioni previste dal regolamento:
fino a 35 milioni di Euro (o fino al 7% del fatturato globale annuo) per violazione delle norme sulle pratiche vietate dall’art. 5 dell’AI Act;
fino a 15 milioni di Euro (o fino al 3% del fatturato globale annuo) per la mancata osservanza di tutti gli altri obblighi del Regolamento;
fino a 7,5 milioni di Euro (o fino al 1% del fatturato globale annuo) in caso vengano fornite informazioni false o incomplete alle autorità.
Tuttavia - e qui sta il nodo principale - le sanzioni previste possono essere comminate solo dalle autorità nazionali di vigilanza, autorità che molti Paesi non hanno ancora designato. Quindi, finché la governance nazionale resta incompleta, l’intero quadro sanzionatorio rischia di rimanere lettera morta: nessuna autorità, nessuna sanzione, nessuna tutela per le persone che il Regolamento vuole proteggere. Certo, la Commissione può intervenire aprendo una procedura d’infrazione contro gli Stati inadempienti, ma questo non significa garantire che le violazioni del regolamento saranno tempestivamente affrontate.
Inoltre, bisogna sottolineare che l’AI Office potrà sanzionare - fino a 15 milioni di Euro (o fino al 3% del fatturato) - i provider di GPAI solo a partire dal 2 agosto 2026, allo scadere del termine che essi hanno per adeguarsi alle disposizioni del Regolamento per i modelli IA lanciati dopo il 2 agosto 2025 (mentre per quelli lanciati prima c’è tempo fino ad agosto 2027 per adeguarsi). Questo significa, ad esempio, che ChatGPT-5 (di cui si attende il lancio a giorni) dovrà essere conforme all’AI Act entro il prossimo anno, mentre per i modelli precedenti (come ChatGPT-4o) c’è tempo fino al 2027 (anche se sarà più probabile che vengano dismessi).
AI ACT: what’s next?
Non c’è molto spazio per respirare né per recuperare il terreno perso: il conto alla rovescia per le prossime scadenze è già partito e quasi tutte guardano al 2 agosto 2026. In quella data, il Regolamento diventerà pienamente operativo non solo per i provider ma anche per tutte le aziende e amministrazioni che usano sistemi di intelligenza artificiale. Tra un anno, ad esempio, dovranno essere operative le sandbox normative: ambienti regolati a livello nazionale dove sarà possibile testare sistemi IA in condizioni sicure, con la supervisione delle autorità competenti.
Ad agosto 2027, invece, diventeranno applicabili:
le norme sui sistemi di IA integrati in un prodotto che deve rispettare specifiche normative UE (come quelle su dispositivi medici, macchine, veicoli, ecc.);
gli obblighi di conformità per i fornitori di modelli di IA generativa messi in commercio prima del 2 agosto 2025;
le disposizioni ai sistemi IA integrati in grandi infrastrutture europee, come quelle legate ai visti o alla cooperazione giudiziaria e di polizia.
Nei prossimi mesi la Commissione europea pubblicherà linee guida tecniche per aiutare tutte le organizzazioni a destreggiarsi nella (non sempre facile) interpretazione del regolamento. Ma una cosa è chiara fin da adesso: provider, aziende e amministrazioni devono organizzarsi subito. La compliance non si improvvisa, servono budget, processi, tecnologia e consulenti dedicati.
Buon lavoro a tutti!
🧩 Il cruciverba di LeggeZero
Quanto conoscete l’AI Act? Abbiamo pensato a un modo divertente per aiutarvi a ripassare il Regolamento europeo sull’intelligenza artificiale. Se volete cimentarvi, lo trovate qui. Invece, per le soluzioni basta scorrere fino alla fine di questo numero.
⚖️ L’UE ha varato il primo Codice di condotta europeo per l’IA generativa
Dopo un anno di lavoro, è stato pubblicato il primo Codice di condotta UE dedicato ai modelli di IA generativa. Il testo era stato messo in cantiere il 30 luglio 2024 con una call for participation e, dopo quattro bozze e oltre mille contributi, ha visto la luce il 10 luglio 2025.
Diviso in tre capitoli - Trasparenza, Copyright, Sicurezza & Rischio sistemico - il Codice traduce in pratica le norme dell’AI Act: schede tecniche, standard per l’addestramento e audit di sicurezza per i modelli più potenti.
L’adesione è su base volontaria, ma - per le imprese firmatarie - le conseguenze sono concrete: la sottoscrizione anticipa l’applicazione del regolamento europeo (rispetto alle scadenze che abbiamo visto sopra). A oggi hanno aderito al Codice 26 provider: tra i big USA figurano Amazon, Google, Microsoft, IBM, OpenAI e Anthropic; la francese Mistral e la tedesca Aleph Alpha guidano il fronte UE, mentre xAI di Elon Musk ha firmato solo la parte sulla sicurezza e Meta ha polemicamente annunciato che non aderirà (per ora). L’Italia è presente con tre provider da Almawave, Fastweb+Vodafone (provider del modello MIIA) e Domyn (già iGenius).
⚖️ Negli USA 🇺🇸 Tesla giudicata (parzialmente) responsabile per un incidente mortale e condannata a pagare 243 milioni di dollari di danni
Il nostro sistema di frenata d’emergenza può rilevare qualunque cosa, persino un’astronave aliena.
Secondo una giuria federale di Miami (USA), questo tipo di affermazioni (di Elon Musk) ha contribuito a convincere gli utenti Tesla che l’Autopilot fosse più sicuro di quanto realmente era. Il verdetto, reso pubblico il 1° agosto 2025, ha stabilito che Tesla è responsabile dell’incidente avvenuto il 18 maggio 2019 a Key Largo (Florida), quando una Model S con Autopilot inserito travolse un auto ferma e, per rimbalzo, colpì due giovani che camminavano sul ciglio della strada: la ventiduenne Naibel Benavides Leon morì sul colpo, mentre il fidanzato Dillon Angulo rimase gravemente ferito.
I giurati hanno messo a fuoco un punto chiave: l’Autopilot di Tesla nasce per l’uso autostradale, ma il software non impedisce né avverte il conducente quando il veicolo si trova su strade extraurbane o con segnaletica assente. Questo elemento, unito alle dichiarazioni pubbliche di Elon Musk — giudicate “esagerate” perché lasciavano intendere un livello di sicurezza superiore a quello reale — ha convinto la giuria ad attribuire a Tesla il 33 % di colpa, pur riconoscendo al guidatore George McGee il restante 67 %. Quest’ultimo, però, non era tra i convenuti in giudizio e non dovrà risarcire i danni.
Sul piano economico, la società dovrà versare 243 milioni a titolo di risarcimento danni. Si tratta del primo caso negli Stati Uniti in cui un terzo perde la vita in un sinistro in cui è coinvolto un sistema di guida assistita; anche per questo motivo, si tratta di un precedente potenzialmente dirompente per tutto il settore dei veicoli a guida autonoma.
Tesla ha già reso noto che impugnerà la decisione, sostenendo che l’incidente fu causato esclusivamente dalla distrazione del guidatore.
La sentenza potrebbe spingere la casa automobilistica a introdurre limitazioni d’uso più stringenti (ad esempio consentendo l’impiego dell’Autopilot solo su strade adeguate) e avviare una nuova stagione del marketing delle funzioni “Full Self-Driving” (magari con annunci meno roboanti).
💊 IA in pillole (per fare bella figura sotto l’ombrellone)
È uno scenario da film distopico quello che si profila nel Wyoming (USA): un futuro mega-data center d’intelligenza artificiale consumerà più energia elettrica di quanta ne richiedano tutte le abitazioni (e quindi gli umani) dello Stato.
A proposito di distopia. Se c’era qualcosa che credevamo l’IA non potesse fare era superare captcha e controlli simili. E invece è crollata anche questa certezza: nei giorni scorsi, il nuovo ChatGPT Agent di OpenAI ha superato il test antibot di Cloudflare.
Ricordate il film Minority Report (2002)? Era fantascienza ed è diventata realtà: il governo inglese ha annunciato un progetto in cui l’IA sarà utilizzata per analizzare profili, comportamenti e chat clandestine dei detenuti e quindi predire le violenze in carcere (ad esempio le risse). L’obiettivo dichiarato è proteggere il personale e gli stessi detenuti. Ma uno scenario simile solleva interrogativi inquietanti. Possiamo davvero limitare la libertà di qualcuno in base a un reato non ancora commesso? Che ne è della presunzione d’innocenza, se un algoritmo ci bolla come pericolosi prima di qualsiasi fatto concreto? E i rischi di pregiudizio? Un sistema del genere potrebbe accanirsi su determinati gruppi se i dati di cui si nutre riflettono bias razziali o sociali. Senza contare la questione della sorveglianza: per anticipare la violenza bisogna frugare in ogni angolo della vita carceraria - dai filmati delle telecamere ai messaggi sui cellulari sequestrati ai detenuti - spingendo il controllo a livelli da Grande Fratello. Ma soprattutto: quali garanzie abbiamo che questo sistema funzioni davvero?
“È la fine dei voli low cost”. Così alcuni hanno commentato l’annuncio di Delta Air Lines che sta sperimentando l’IA per fissare i prezzi dei voli sulla base dei dati (e quindi della capacità di spesa) dei clienti, eliminando le tariffe fisse. La notizia ha fatto molto discutere e alcuni parlamentari USA hanno già lavorato a una proposta di legge per vietare tale pratica.
Cosa succede se si violano i termini d’uso di un servizio IA? Anthropic ha chiuso l’accesso alle API di Claude a OpenAI, accusandola di aver usato il servizio per addestrare GPT-5 (i termini d’uso di Anthropic vietano alle aziende di utilizzare Claude per creare servizi concorrenti).
Attenzione alle impostazioni dei chatbot IA che usate (e alle condivisioni dei risultati). OpenAI ha disattivato la funzione che consentiva l’indicizzazione delle conversazioni avute con ChatGPT. Molti utenti - non avendo capito che utilizzandola avrebbero reso disponibile la chat su Google - hanno condiviso informazioni altamente riservate (e persino l’ammissione di reati).
E se bastassero poche parole per farsi produrre una serie TV? Amazon ha investito nella startup Fable che lancia Showrunner (sceneggiatore): una “Netflix dell’IA” dove chiunque potrà generare - e modificare - interi episodi di serie animate con un prompt. Gli unici limiti saranno la creatività degli utenti …e il copyright.
😂 IA Meme
Se usate molto i servizi IA, forse è il caso di valutare l’ipotesi di pagare un abbonamento. Le versioni free raramente sono l’opzione migliore.
😂 Meme IA che non lo erano
Avete visto anche voi il video dei conigli che saltano su un tappeto elastico? Carini, vero? Ha totalizzato oltre 200 milioni di visualizzazioni, ma è falso (e non c’è scritto). Lo abbiamo scritto in LeggeZero #84, non possiamo più fidarci di quello che vediamo… specialmente sui social.
📚 Consigli di lettura: quali sono le professioni più a rischio con l’IA (e quali meno)
Quanto del tuo lavoro quotidiano potrebbe già essere facilitato - o addirittura svolto interamente -da un chatbot IA? A questa domanda prova a rispondere “Working with AI: Measuring the Occupational Implications of Generative AI”, studio fresco di pubblicazione a firma dei ricercatori di Microsoft. Gli autori hanno passato al setaccio duecentomila conversazioni anonime con Bing Copilot per calcolare un “AI Applicability Score” relativo a oltre mille professioni.
Dall’analisi emerge che l’intelligenza artificiale viene sfruttata soprattutto per raccogliere informazioni, scrivere, spiegare procedure.
Le occupazioni più “esposte” sono gli addetti alle vendite, i traduttori, gli sviluppatori, gli storici e gli scrittori, mentre - coerentemente con quanto aveva dichiarato il Premio Nobel Hinton qualche settimana fa - sembrano al sicuro gli operai, gli infermieri e gli addetti alle pulizie.
Ma gli autori avvertono: ciò che decreterà l’effetto economico non saranno solo le capacità tecniche, bensì le scelte di business, proprio come accadde con l’introduzione dei bancomat (quando l’automazione fu utilizzata non per licenziare dipendenti ma per aprire più filiali).
Perché vale la pena leggere questo lavoro? Innanzitutto per il metodo, basato sui dati e lontano dall’hype. Inoltre, non c’è periodo migliore delle vacanze per ragionare su come sta evolvendo il nostro lavoro (qualunque sia la nostra occupazione).
📺 Consigli di visione: il pensiero di Gates e Amodei
Bill Gates (fondatore di Microsoft), in un’intervista con CNN (durata 15 minuti), discute il presente e il futuro dell'intelligenza artificiale, esplorando il suo impatto sul mercato del lavoro, la distinzione tra IA e AGI (che sta arrivando) e come questa tecnologia possa migliorare produttività, istruzione e sanità. Nell’intervista c’è spazio anche per i rischi che, per Gates, sono specialmente quelli legati alla (veloce, secondo lui) sostituzione del lavoro umano, specialmente nel settore terziario.
Dario Amodei (CEO di Anthropic) - ospite del podcast di Alex Kantrowitz (durata 1 ora) - discute della crescita esponenziale dell'IA, della competizione nel settore, delle preoccupazioni sulla sicurezza dell'IA e della sua motivazione personale per un'IA responsabile (in cui - secondo lui - c’è poco spazio per l’open source).
📣 A grande richiesta, torna il Master di LeggeZero: ‘Il CAIO per la pubblica amministrazione’
Siete interessati alla figura del Chief AI Officer e volete approfondire i temi legati all’adozione dell’intelligenza artificiale nella pubblica amministrazione?
Dopo il successo della prima edizione, torna il nostro Master breve sull’IA nella PA. Il corso è dedicato a tutti coloro che vogliono guidare - magari proprio come CAIO - la sfida dell’intelligenza artificiale nelle pubbliche amministrazioni.
Il nostro corso, articolato in 6 appuntamenti dal 22 ottobre al 10 novembre 2025 (per un totale di 24 ore di formazione), affronta le complesse sfide dell'implementazione dell'IA negli uffici pubblici attraverso una prospettiva multidimensionale:
Aspetti tecnologici: strumenti e metodologie per l'adozione consapevole dei sistemi di IA.
Aspetti normativi: conformità alle regolamentazioni emergenti in materia di tecnologie digitali (dall’AI ACT al GDPR, passando per il CAD, le Linee Guida Agid e - ovviamente - la futura legge italiana sull’IA).
Aspetti organizzativi: strategie di governance dell'innovazione e gestione del cambiamento.
Particolarmente rilevante sarà il focus sull'evoluzione del ruolo del Responsabile per la Transizione Digitale (RTD), figura chiave nell'ecosistema dell'innovazione pubblica.
Non mancheranno esperienze e casi di studio per apprendere dai colleghi di altre amministrazioni buone prassi e errori da evitare.
Se vi interessa, trovate qui info su docenti, programma, iscrizione e costi.
🔎 Le soluzioni del cruciverba
Hai terminato il nostro cruciverba? Scarica qui le soluzioni e controlla se hai indovinato tutto.
🙏 Grazie per averci letto!
Per ora è tutto, torniamo dopo una (breve) pausa estiva. Buone vacanze!
P.S. Se la newsletter ti è piaciuta, sostienici: metti like, commenta o fai girare!