La riscrittura continua dell’AI Act

Sommario: 1. Un cantiere normativo permanente – 2. Il cuore della riforma: ricalibrare l’AI Act prima del suo debutto – 3. La svolta epocale: dati sensibili come antidoto al bias – 4. L’alfabetizzazione svanita: dalla prescrizione alla promozione volontaria – 5. Governance tra centralizzazione e frammentazione: il dualismo irrisolto – 6. Conclusioni: verso un equilibrio precario

1. Un cantiere normativo permanente

Il panorama normativo digitale europeo assomiglia sempre più a un vasto cantiere in perenne ristrutturazione, nel quale le impalcature non vengono mai del tutto rimosse e i progetti restano esposti a revisioni continue. L’immagine omerica della tela di Penelope, tessuta di giorno e disfatta di notte, si presta con inquietante precisione a descrivere lo sforzo legislativo dell’Unione Europea. Il pacchetto digitale, concepito come un edificio armonioso di regole, si sta trasformando, sotto i nostri occhi, in un work in progress potenzialmente senza fine.

Il 19 novembre scorso, la Commissione UE ha avviato formalmente questo processo di “manutenzione straordinaria” con il primo pacchetto di proposte correttive, noto come Digital Omnibus, concentrandosi su quattro pilastri critici: governance dei dati e GDPR, intelligenza artificiale, cybersicurezza e regolazione delle piattaforme. Questo primo intervento, tuttavia, non rappresenta che l’inizio di un complesso negoziato istituzionale che coinvolgerà Consiglio e Parlamento in un trilogo destinato a incidere profondamente sull’ecosistema digitale europeo del prossimo decennio.

La narrazione ufficiale valorizza l’obiettivo della semplificazione e della riduzione degli oneri, con risparmi stimati in 6 miliardi di euro. Tuttavia, una lettura più critica del documento di lavoro e delle bozze proposte lascia emergere tensioni profonde tra l’esigenza di pragmatismo applicativo e la tutela, non negoziabile, dei diritti fondamentali. L’affermazione della Commissione secondo cui questi ultimi non verrebbero intaccati risulta, allo stato, più un auspicio che una certezza dimostrabile (European Commission, 2023).

In tale contesto, l’Italia appare come un attore in ombra, essendosi collocata in fondo alla classifica dei contributi alla consultazione preliminare. È un dato che solleva interrogativi sulla capacità del Paese di partecipare in modo strategico a un dibattito destinato a definire la sovranità digitale continentale. Quando il cantiere è europeo, arrivare senza casco e senza progetto non è mai una scelta prudente.

2. Il cuore della riforma: ricalibrare l’AI Act prima del suo debutto

Tra tutti gli ambiti interessati dal Digital Omnibus, le modifiche proposte all’Artificial Intelligence Act risultano le più significative e controverse. Il dato è paradossale, se si considera che l’AI Act non è ancora pienamente operativo. La Commissione sta, dunque, già riscrivendo le regole del gioco prima che il gioco sia ufficialmente iniziato: un segnale evidente delle pressioni ricevute e delle criticità emerse nella fase preparatoria.

Il testo originario, pionieristico nella sua ambizione di classificare il rischio e regolamentare l’IA secondo un approccio orizzontale, si è scontrato con la complessità dell’implementazione concreta. La mancata pubblicazione degli standard armonizzati da parte degli organismi CEN-CENELEC entro la scadenza dell’agosto 2025 ha creato un vuoto normativo problematico, lasciando le imprese in una zona grigia, prive di indicazioni certe per dimostrare la conformità (Mökander & Floridi, 2023).

La risposta della Commissione è stata l’introduzione di una timeline “dinamica”, che collega l’entrata in vigore delle regole più stringenti per i sistemi ad alto rischio alla disponibilità effettiva di tali standard. Da un lato, si tratta di un’ammissione di realismo; dall’altro, essa introduce un elemento di incertezza procedurale e ritarda, di fatto, la protezione dei cittadini.

I sistemi considerati ad alto rischio “di per sé”, come quelli impiegati in ambito giudiziario, nelle assunzioni o nella gestione delle infrastrutture critiche, potrebbero vedere slittare fino al 2028 la piena applicazione delle norme. Questo rinvio solleva una domanda cruciale: quanti diritti potrebbero essere erosi nel frattempo, in attesa che la macchina burocratica degli standard tecnici si metta effettivamente in moto?

3. La svolta epocale: dati sensibili come antidoto al bias

La modifica più radicale e potenzialmente dirompente contenuta nel pacchetto riguarda l’utilizzo delle categorie speciali di dati personali, i cosiddetti dati “sensibili”. L’articolo originario dell’AI Act (Art. 10.5) consentiva, in via eccezionale e a condizioni stringenti, soltanto ai fornitori di sistemi ad alto rischio di utilizzare tali dati — idonei a rivelare origine razziale, opinioni politiche, orientamento sessuale e altre caratteristiche protette — per testare e correggere i bias algoritmici.

La proposta del Digital Omnibus abroga questa limitazione, aprendo la possibilità a tutti i fornitori e utilizzatori di sistemi di IA, a prescindere dalla classificazione di rischio, di trattare dati sensibili per finalità di mitigazione della discriminazione algoritmica.

Questa apertura rappresenta un vero cambio di paradigma nel pensiero regolatorio europeo. Per anni, il principio guida è stato quello della minimizzazione e del divieto: i dati sensibili erano considerati un terreno ad alto rischio, da evitare nel trattamento algoritmico per prevenire abusi (Wachter & Mittelstadt, 2019). Ora, la Commissione sembra adottare una visione più sfumata, riconoscendo che, per combattere efficacemente la discriminazione algoritmica, è necessario comprendere le caratteristiche protette che spesso costituiscono l’origine stessa del bias.

Non si può correggere un pregiudizio di genere o razziale se l’algoritmo viene deliberatamente reso cieco a quelle categorie nella fase di testing. La proposta cerca, quindi, di trasformare il dato sensibile da minaccia a risorsa per l’equità.

Tuttavia, questo slittamento concettuale non è privo di rischi rilevanti. La deroga al divieto generale previsto dal GDPR (Art. 9) viene subordinata a garanzie rigorose: valutazione d’impatto obbligatoria (DPIA), misure tecniche e organizzative rafforzate, limitazioni all’accesso e alla conservazione, divieto di trasferimento a terzi.

La sfida, come spesso accade, risiederà nell’enforcement. Chi controllerà che tali garanzie siano effettivamente rispettate? La creazione di vasti repository di dati sensibili, anche per finalità apprezzabili, aumenta esponenzialmente la superficie di attacco e il rischio di violazioni di particolare gravità. Senza un meccanismo di supervisione trasparente e indipendente, affidato a un’autorità come il futuro AI Office in stretta collaborazione con il Comitato Europeo per la Protezione dei Dati (EDPB), questa deroga rischia di trasformarsi in una scappatoia per forme di sorveglianza di massa o di profilazione illegittima, vanificando decenni di sforzi per la protezione della privacy in Europa (Zuboff, 2019).

4. L’alfabetizzazione svanita: dalla prescrizione alla promozione volontaria

Un altro segnale emblematico della ricalibrazione in atto riguarda la sorte riservata all’AI literacy. La bozza originaria dell’AI Act prevedeva un obbligo orizzontale per fornitori e utilizzatori di garantire un adeguato livello di competenza e consapevolezza sull’intelligenza artificiale al proprio personale e, in alcuni casi, agli utenti finali.

Nel Digital Omnibus, questo obbligo diretto è stato sostituito da una formula molto più debole: un invito alla Commissione e agli Stati membri a “incoraggiare” tali soggetti a formare il proprio personale. L’unico obbligo concreto che sopravvive riguarda il personale incaricato della sorveglianza umana sui sistemi ad alto rischio.

Questa scelta è chiaramente ispirata alla volontà di ridurre gli oneri amministrativi e i costi di compliance, stimati in oltre 200 milioni di euro annui. Tuttavia, essa riflette una visione miope e potenzialmente controproducente. Trasformare l’alfabetizzazione digitale da diritto e responsabilità condivisa in mera opzione volontaria significa privatizzare la costruzione delle competenze necessarie per orientarsi nella società dell’IA.

Il rischio è quello di creare un divario sempre più marcato tra una ristretta élite di tecnici e decisori, da un lato, e una cittadinanza — nonché una forza lavoro — lasciata in balia di tecnologie che non comprende, dall’altro. Come sostenuto da diversi studiosi di etica digitale, l’AI literacy non è un lusso, ma un prerequisito dell’agency umana in un mondo sempre più automatizzato (Floridi et al., 2018).

La sua rimozione dal novero degli obblighi indebolisce la prospettiva di un’adozione democratica e consapevole dell’IA, favorendo un modello di implementazione top-down e opaco.

5. Governance tra centralizzazione e frammentazione: il dualismo irrisolto

Le proposte di modifica rivelano una tensione irrisolta nella governance europea dell’IA. Da un lato, si registra una spinta verso la centralizzazione delle competenze più delicate. L’AI Office, organismo di vigilanza paneuropeo, vede ampliati i propri poteri, ottenendo la supervisione diretta sui modelli di IA di capacità generale — i cosiddetti “foundation models” — e su quelli integrati nelle piattaforme online molto grandi (VLOPs/VLOSEs), già regolate dal Digital Services Act.

Questo rafforzamento è essenziale per garantire una visione d’insieme e un’applicazione coerente delle regole nei confronti dei grandi player tecnologici globali, il cui potere e la cui influenza trascendono i confini nazionali.

Dall’altro lato, si ratifica e si tenta di governare la frammentazione inevitabile a livello degli Stati membri. Molti Paesi, infatti, hanno suddiviso le competenze di sorveglianza del mercato tra diverse autorità nazionali — protezione dei dati, sicurezza dei prodotti, tutela dei consumatori e altri settori regolatori — creando un panorama complesso e potenzialmente contraddittorio.

La Commissione ammette ritardi significativi nella designazione di tali autorità e propone misure transitorie per evitare blocchi al mercato. Tuttavia, il rischio di forum shopping regolatorio, nel quale le imprese cercheranno gli Stati con l’interpretazione più favorevole o la supervisione più permissiva, rimane concreto.

La soluzione proposta — rafforzare la cooperazione tra autorità e pubblicare linee guida comuni — è necessaria, ma forse non sufficiente. L’efficacia del sistema dipenderà dalla capacità dell’AI Office di imporsi come arbitro forte e autorevole, capace di dettare l’agenda e risolvere i conflitti, anziché limitarsi a coordinare entità nazionali portatrici di interessi e sensibilità divergenti.

6. Conclusioni: verso un equilibrio precario

Il Digital Omnibus, nella parte dedicata all’AI Act, è il sintomo di un legislatore europeo che tenta di fare un passo indietro rispetto al carattere pionieristico e talvolta idealistico del testo originario, per abbracciare un pragmatismo applicativo. Questo aggiustamento è, almeno in parte, inevitabile e salutare. Collegare le scadenze alla disponibilità degli strumenti tecnici, riconoscere il ruolo dei dati sensibili nella lotta al bias e snellire gli obblighi per le piccole e medie imprese sono correttivi dettati dalla realtà.

Tuttavia, il processo di “manutenzione” rischia di trasformarsi in un indebolimento strutturale, se non verrà sorvegliato con attenzione. I rinvii delle scadenze dilazionano le tutele; l’eccezione sui dati sensibili deve essere circondata da controlli rigorosi, per non diventare una falla nel GDPR; la rinuncia a un obbligo generale di AI literacy mina alla base la costruzione di una società resiliente e consapevole.

Il trilogo che si apre dovrà dunque operare come un bilanciere delicato, cercando non soltanto il compromesso politico, ma soprattutto l’equilibrio sistemico tra innovazione competitiva, certezza del diritto per le imprese e protezione inviolabile dei cittadini.

La “tela di Penelope” digitale europea potrebbe continuare a essere tessuta e disfatta per anni. L’auspicio è che, alla fine, emerga non un insieme di rattoppi e correzioni, ma un disegno coerente: forte nei principi, flessibile nell’applicazione e capace di guidare l’Europa attraverso la complessa transizione algoritmica senza smarrire la sua anima fondata sui diritti umani.

Riferimenti

European Commission. (2023). Commission Staff Working Document accompanying the Proposal for a Regulation on laying down harmonised rules on artificial intelligence (Artificial Intelligence Act) and amending certain Union legislative acts (SWD(2023) 646 final). Bruxelles.

Floridi, L., Cowls, J., Beltrametti, M., Chatila, R., Chazerand, P., Dignum, V., … & Vayena, E. (2018). AI4People—An ethical framework for a good AI society: Opportunities, risks, principles, and recommendations. Minds and Machines, 28(4), 689-707.

Mökander, J., & Floridi, L. (2023). The US, the EU, and the UK are all revising their AI regulations. Nature Machine Intelligence, 5(10), 1042-1044.

Wachter, S., & Mittelstadt, B. (2019). A right to reasonable inferences: re-thinking data protection law in the age of big data and AI. Columbia Business Law Review, 2019(2), 494-620.

Zuboff, S. (2019). The age of surveillance capitalism: The fight for a human future at the new frontier of power. PublicAffairs.