Primo post di una serie sull’AI Act: la cornice generale
L’AI Act europeo viene spesso presentato in due modi opposti e ugualmente sbagliati. Per alcuni è una gabbia burocratica destinata a soffocare innovazione e competitività. Per altri è una specie di scudo perfetto che proteggerà automaticamente cittadini, lavoratori, studenti, artisti e consumatori da ogni abuso dell’intelligenza artificiale. Le fonti ufficiali europee raccontano una storia più seria e più complessa. L’AI Act non vieta “l’AI” in generale, non è un rifiuto della tecnologia e non è neppure una bacchetta magica. È una grande legge europea che prova a mettere ordine in un campo già molto potente, molto opaco e molto diseguale, usando una logica basata sul rischio. Il suo scopo dichiarato è migliorare il funzionamento del mercato interno e, insieme, garantire che i sistemi di AI immessi sul mercato o usati nell’Unione siano sicuri e rispettino diritti fondamentali, democrazia, Stato di diritto e ambiente.
Il punto di partenza è importante: l’Unione europea non sta dicendo che tutta l’AI è pericolosa allo stesso modo. Sta dicendo che alcune applicazioni sono quasi innocue, altre richiedono trasparenza, altre ancora sono ad alto rischio e devono rispettare obblighi severi, mentre un nucleo ristretto di pratiche viene considerato inaccettabile. Questa architettura a livelli è la vera chiave della legge. È anche il motivo per cui l’AI Act verrà discusso per anni: perché non parla solo di software, ma di potere, classificazione, sorveglianza, mercato e responsabilità.
La logica della legge: non tutto l’AI è uguale
L’AI Act adotta una struttura “risk-based”, cioè orientata al rischio. Significa che il trattamento giuridico cambia a seconda dell’impatto potenziale del sistema. Alcuni sistemi sono soggetti a obblighi minimi o nulli, altri devono rispettare regole di trasparenza, altri ancora rientrano nella categoria dei sistemi ad alto rischio, con requisiti severi su dati, documentazione tecnica, supervisione umana, robustezza, gestione del rischio e monitoraggio. Una piccola parte di pratiche, invece, viene vietata perché considerata incompatibile con i valori fondamentali europei. È una distinzione decisiva, perché impedisce sia il panico generalizzato sia la deregulation totale.
Questa impostazione ha un pregio e un limite. Il pregio è la precisione: la legge non tratta un filtro fotografico e un sistema di scoring biometrico come se fossero la stessa cosa. Il limite è che il mondo reale è più ambiguo delle categorie legali. Molti sistemi stanno nel mezzo, si ibridano, cambiano funzione, vengono incorporati in piattaforme più grandi o vengono usati in contesti diversi da quelli dichiarati. Per questo l’AI Act non va letto come un oggetto statico, ma come una cornice che richiederà interpretazioni, linee guida, contenziosi e verifiche continue. La stessa Commissione europea ha pubblicato FAQ, linee guida e codici di pratica proprio perché il testo normativo da solo non basta a chiarire tutti i casi concreti.
Cosa vieta l’AI Act e perché è importante
Una delle parti più discusse della legge riguarda le pratiche proibite. Dal 2 febbraio 2025 sono diventate applicabili le prime regole dell’AI Act, che comprendono la definizione di sistema di AI, l’obbligo di AI literacy e un numero limitato di pratiche vietate che pongono rischi inaccettabili. La Commissione ha pubblicato linee guida specifiche sulle pratiche proibite il 4 febbraio 2025 proprio per aiutare imprese, amministrazioni e cittadini a capire dove passa la linea rossa.
Qui bisogna essere molto precisi. L’AI Act non vieta genericamente ogni forma di biometria o di profilazione. Vieta invece alcune pratiche ritenute particolarmente lesive dei diritti fondamentali. La Commissione spiega che queste linee guida riguardano pratiche considerate inaccettabili per i loro rischi verso valori europei e diritti fondamentali. In questa area rientrano, tra le altre, forme di manipolazione dannosa, sfruttamento di vulnerabilità in modi specifici, alcune pratiche di social scoring e alcuni usi di identificazione biometrica remota in tempo reale da parte delle forze dell’ordine, salvo eccezioni molto limitate previste dalla legge. È qui che si vede con maggiore chiarezza il cuore politico dell’AI Act: non tutto ciò che è tecnicamente possibile viene considerato legittimo in una democrazia costituzionale.
Questo passaggio conta moltissimo perché rompe un mito tossico del dibattito tecnologico contemporaneo: l’idea che l’innovazione valga di per sé e che la società debba adattarsi a tutto ciò che il mercato riesce a immettere in circolazione. L’AI Act, almeno in questo nucleo, fa l’opposto. Dice che esistono limiti politici e morali prima ancora che commerciali. È un segnale forte, anche se naturalmente il vero banco di prova sarà l’applicazione concreta e non l’enunciazione dei principi.
La timeline vera: che cosa vale già e che cosa scatterà dopo
Uno degli errori più comuni è parlare dell’AI Act come se fosse tutto già pienamente in vigore o, al contrario, come se fosse ancora lontanissimo e quindi irrilevante. La realtà è più sfumata. La Commissione europea ricorda che l’AI Act è entrato in vigore il 1 agosto 2024 e sarà pienamente applicabile due anni dopo, cioè il 2 agosto 2026, con alcune eccezioni e anticipazioni. Dal 2 febbraio 2025 sono già applicabili le regole sulla definizione di sistema di AI, sull’AI literacy e sulle pratiche proibite. Le regole sui modelli di general-purpose AI, o GPAI, si applicano dal 2 agosto 2025. Le altre disposizioni principali diventano applicabili dal 2 agosto 2026.
Questa timeline è fondamentale perché spiega perché oggi si moltiplicano linee guida, FAQ, codici di condotta e strumenti interpretativi. Non siamo nella fase in cui “si vedrà poi”. Siamo già nella fase in cui una parte della legge produce effetti concreti e un’altra parte spinge imprese, pubbliche amministrazioni e provider di modelli a ripensare documentazione, governance, conformità e responsabilità. Parlare dell’AI Act nel 2026 non è quindi una discussione astratta sul futuro. È una discussione sul presente.
AI literacy: la parte meno spettacolare e forse più radicale
Tra le norme già applicabili dal febbraio 2025 ce n’è una che passa spesso in secondo piano e che invece è politicamente potentissima: l’obbligo di AI literacy. La Commissione spiega che l’articolo 4 richiede a provider e deployer di sistemi AI di garantire un livello sufficiente di alfabetizzazione AI del proprio personale e delle altre persone che usano tali sistemi per loro conto, tenendo conto della conoscenza tecnica, dell’esperienza, dell’istruzione, della formazione e del contesto d’uso.
Questa parte della legge è interessante perché sposta il discorso. Non basta più dire “abbiamo installato un sistema AI”. Bisogna anche poter dimostrare che chi lo usa sa, almeno in misura adeguata, che cos’è, come funziona, dove può sbagliare, quali effetti può produrre e su chi ricadono quei rischi. In termini concreti, vuol dire che l’AI non può più essere venduta come scatola magica da affidare a personale non formato. Questo vale soprattutto in contesti sensibili come lavoro, scuola, sanità, selezione del personale, amministrazione pubblica e servizi ai cittadini.
A mio avviso questa è una delle parti più intelligenti dell’AI Act. Non perché risolva tutto, ma perché riconosce una verità semplice: la pericolosità o l’utilità di un sistema dipendono anche da chi lo usa e da quanto lo capisce. L’alfabetizzazione non è un dettaglio pedagogico: è una condizione democratica minima. Senza literacy, la governance dell’AI resta un affare per specialisti, vendor e grandi imprese, mentre la società viene trattata come pubblico passivo. La Commissione, nelle sue Q&A, è molto esplicita su questo punto.
General-purpose AI: perché i grandi modelli sono entrati nel mirino
Un altro asse centrale dell’AI Act riguarda i modelli di general-purpose AI, i cosiddetti GPAI. Qui il legislatore europeo ha cercato di rispondere a un problema ormai evidente: i grandi modelli generalisti non sono semplici prodotti di nicchia, ma infrastrutture capaci di essere incorporate in moltissimi altri sistemi e settori. Per questo, accanto alla disciplina dei sistemi AI ad alto rischio, l’Unione ha costruito un capitolo specifico per i provider dei modelli GPAI. La Commissione spiega che le regole GPAI si applicano dal 2 agosto 2025 e che il Code of Practice serve come strumento volontario per aiutare l’industria a conformarsi agli obblighi del regolamento su trasparenza, copyright e, per i modelli con rischio sistemico, sicurezza e gestione dei rischi.
Questo è un passaggio molto importante perché segna una novità: non si regolano solo le applicazioni finali, ma anche i livelli più alti dell’infrastruttura modellistica. In altre parole, l’Europa ha capito che aspettare di vedere il danno solo a valle non basta più, perché i modelli generalisti diventano rapidamente mattoni di interi ecosistemi. La volontà di intervenire a questo livello mostra anche quanto il dibattito si sia spostato dalla sola “AI applicata” alla governance delle piattaforme modellistiche.
Va però detto con chiarezza che il Code of Practice è presentato dalla Commissione come uno strumento volontario, non come la legge stessa. Serve a facilitare la conformità, non sostituisce il regolamento. Questo dettaglio è fondamentale perché evita due errori opposti: pensare che il codice volontario sia irrilevante, oppure immaginare che basti firmarlo per cancellare i problemi strutturali del mercato dei modelli.
Trasparenza, deepfake e contenuti generati
Un altro capitolo che merita attenzione riguarda la trasparenza sui contenuti generati dall’AI. La Commissione ha pubblicato FAQ e pagine dedicate alle obbligazioni di trasparenza dell’articolo 50, spiegando che esse servono a ridurre rischi di inganno, impersonificazione e disinformazione e a far sì che le persone sappiano quando interagiscono con un sistema AI o sono esposte a contenuti generati artificialmente. Le regole specifiche dell’articolo 50 relative a questi obblighi si applicano dal 2 agosto 2026. Nel giugno 2026 la Commissione ha pubblicato anche un Code of Practice dedicato alla marcatura e all’etichettatura dei contenuti generati.
Questa parte della legge è cruciale per il presente mediatico. Non risolve il problema culturale dei contenuti falsi, manipolati o sintetici, ma prova almeno a costruire una base giuridica minima per rendere tracciabile e riconoscibile parte della produzione artificiale. È una risposta ancora parziale, ma non banale, a un ecosistema in cui la confusione tra vero, plausibile, imitato e generato rischia di diventare strutturale.
L’AI Act protegge davvero oppure no?
Questa è probabilmente la domanda più importante. La risposta onesta è: protegge in parte, se viene applicato bene, ma non basta da solo. L’AI Act ha il merito di introdurre limiti, obblighi e categorie che prima non esistevano in modo così sistematico a livello europeo. Stabilisce un linguaggio comune, impone conformità, obbliga a distinguere tra usi accettabili e inaccettabili, chiede literacy, interviene sui modelli generalisti e costruisce strumenti per trasparenza e controllo. Tutto questo è reale.
Ma sarebbe ingenuo pensare che una legge, da sola, risolva la sproporzione di potere tra cittadini e grandi provider, tra scuole o amministrazioni e vendor, tra lavoratori e sistemi opachi di valutazione automatizzata. L’efficacia dell’AI Act dipenderà da enforcement, interpretazioni, risorse delle autorità, qualità delle linee guida, capacità delle istituzioni di resistere alle pressioni industriali e livello di literacy diffuso nella società. La Commissione stessa, con il proliferare di FAQ, guidelines e codici, mostra implicitamente che il testo normativo ha bisogno di essere accompagnato, tradotto e continuamente chiarito.
La mia tesi
La mia tesi è questa: l’AI Act europeo conta molto perché prova a rimettere la politica dentro un campo che il mercato tecnologico aveva occupato con velocità impressionante. Non è una legge perfetta, non chiude tutte le falle, non elimina l’asimmetria tra chi costruisce i sistemi e chi li subisce. Però compie un gesto fondamentale: afferma che l’intelligenza artificiale non è soltanto un settore economico o una questione tecnica, ma una materia di diritti, potere e responsabilità pubblica. Ed è proprio per questo che va letta bene, criticata seriamente e seguita ambito per ambito.
La chiusura più utile, allora, non è dire “ci penserà Bruxelles” e neppure “tanto non servirà a nulla”. È un’altra: finalmente esiste una cornice europea che consente di fare domande più precise. Chi decide che un sistema è accettabile? Chi risponde quando crea danno? Chi deve essere formato? Chi deve essere trasparente? Chi può essere escluso, sorvegliato o classificato da una macchina, e con quali limiti? L’AI Act non chiude il dibattito. Lo apre nel modo giusto.
Glossario dei concetti più difficili
AI Act
La legge europea che stabilisce regole armonizzate sull’intelligenza artificiale.
Approccio basato sul rischio
Modo di regolare l’AI in base alla gravità del rischio che un sistema può creare.
Pratiche proibite
Usi dell’AI considerati inaccettabili perché troppo pericolosi per diritti e valori fondamentali.
High-risk AI systems
Sistemi di AI ad alto rischio, soggetti a requisiti più severi.
General-purpose AI, GPAI
Modelli generalisti che possono essere usati in molti contesti diversi, come i grandi modelli linguistici.
Rischio sistemico
Rischio che non colpisce solo un caso isolato ma può avere effetti ampi e diffusi.
AI literacy
Capacità di capire che cos’è l’AI, come funziona, dove può sbagliare e quali effetti può produrre.
Deployers
Soggetti che usano un sistema AI nel proprio contesto operativo, per esempio un’impresa o un’amministrazione.
Providers
Soggetti che sviluppano o immettono sul mercato un sistema o modello AI.
Trasparenza dei contenuti AI
Obbligo di informare le persone quando interagiscono con AI o vedono contenuti generati artificialmente in certi casi.
Code of Practice
Strumento volontario che aiuta imprese e operatori a conformarsi alla legge.
Enforcement
Applicazione concreta della legge da parte delle autorità competenti.
In parole semplici
- L’AI Act non vieta tutta l’intelligenza artificiale.
- Mette regole diverse a seconda di quanto un sistema può essere pericoloso.
- Alcuni usi molto rischiosi sono vietati.
- I grandi modelli generalisti devono rispettare obblighi specifici.
- Le aziende e gli enti che usano AI devono anche formare le persone che la usano.
- Dal febbraio 2025 alcune regole sono già attive.
- Dal 2026 molte altre parti della legge diventeranno pienamente applicabili.
- La legge da sola non basta, ma obbliga finalmente a parlare di diritti, responsabilità e limiti.
Note semplici sulle istituzioni e sui documenti citati
Commissione europea, Shaping Europe’s Digital Future
È il portale ufficiale della strategia digitale UE. Qui si trovano spiegazioni pratiche, FAQ, linee guida e aggiornamenti sull’AI Act.
EUR-Lex
È il portale ufficiale del diritto dell’Unione europea. Qui si trova il testo autentico del Regolamento (UE) 2024/1689, cioè l’AI Act vero e proprio.
European AI Office
È la struttura europea che segue l’implementazione e il coordinamento di alcune parti del nuovo quadro AI, soprattutto sul lato GPAI e trasparenza.
Commenti