Il Parlamento europeo ha adottato la propria posizione sul cosiddetto digital omnibus, il settimo pacchetto di semplificazione che interviene, tra gli altri, sull’AI Act. Il comunicato istituzionale presenta l’intervento come un aggiustamento tecnico: rinvii, maggiore flessibilità per le imprese, coordinamento con normative settoriali, introduzione di nuovi divieti mirati.
Una lettura limitata al dato normativo rischia però di perdere il punto. Non siamo davanti a una semplice calibrazione dei tempi di applicazione o a una razionalizzazione degli obblighi: il pacchetto interviene su alcune delle tensioni strutturali dell’AI Act, collocandosi tra ambizione regolatoria e sostenibilità economica, tra tutela dei diritti fondamentali e competitività industriale.
Il digital omnibus segna l’avvio di una trasformazione dell’AI Act da regolazione “valoriale” a strumento sempre più vicino alla politica industriale.
Indice degli argomenti
Il rinvio come sintomo: l’Europa non era pronta?
Il rinvio dell’applicazione delle norme sui sistemi di IA ad alto rischio è uno degli elementi più evidenti del comunicato. Il Parlamento ha introdotto date certe: dicembre 2027 per i sistemi esplicitamente elencati (biometria, infrastrutture critiche, occupazione, giustizia) e agosto 2028 per quelli disciplinati da normative settoriali.
La giustificazione ufficiale è quella di consentire lo sviluppo di linee guida e standard tecnici adeguati. Nonostante si tratti di una motivazione plausibile, il rinvio introduce un riconoscimento implicito dell’incompletezza del quadro regolatorio.
L’AI Act, presentato come modello globale di governance dell’intelligenza artificiale, necessita ora di tempo per diventare effettivamente applicabile. Il precedente del GDPR è inevitabile, ma con una differenza sostanziale.
Nel 2018, l’oggetto della regolazione (il trattamento dei dati personali) era infatti già consolidato, mentre, nel caso dell’IA, la tecnologia evolve a una velocità che rende il differimento un possibile fattore di disallineamento tra norma e realtà.
Il rischio è l’apertura di un periodo di regolazione sospesa, in cui gli obblighi esistono formalmente ma restano, di fatto, inapplicati.
Dalla regolazione dei rischi alla politica industriale
Ma l’elemento più rilevante del pacchetto è la ridefinizione del perimetro economico della regolazione.
L’estensione delle misure di sostegno alle small mid-cap rappresenta infatti un passaggio significativo, poiché finora il discorso europeo si era concentrato su una dicotomia semplificata: PMI da proteggere e Big Tech da contenere.
Il riconoscimento delle imprese di medie dimensioni come soggetti strategici modifica in modo significativo questa impostazione e evidenzia che la regolazione dell’IA, da mezzo per il contenimento dei rischi, diventa uno strumento per favorire la crescita di un tessuto imprenditoriale intermedio, capace di scalare senza essere schiacciato né dagli oneri regolatori né dalla competizione globale.
L’AI Act si avvicina così a una funzione che, nelle intenzioni originarie, gli era estranea, cioè quella di abilitare un posizionamento competitivo europeo nel mercato dell’intelligenza artificiale.
Il punto cieco: dati personali e correzione dei bias
Tra le modifiche proposte, c’è inoltre la possibilità, per i fornitori di servizi digitali, di trattare dati personali degli utenti per individuare e correggere distorsioni nei sistemi di IA, purché ciò avvenga nel rispetto del principio di stretta necessità.
Il riferimento, pur sintetico nel comunicato, apre una questione affatto secondaria. La correzione dei bias è un obiettivo assolutamente coerente con l’impianto dell’AI Act; tuttavia, il ricorso a dati personali come leva per migliorare le performance dei sistemi introduce una tensione potenziale con il quadro della protezione dei dati.
Si tratta di una delle poche aperture esplicite, all’interno del dibattito sull’AI Act, verso un utilizzo funzionale dei dati personali legato allo sviluppo e alla correzione dei sistemi. Senza intervenire formalmente sul GDPR, il legislatore europeo sembra riconoscere che alcune esigenze tecniche (come, appunto, la mitigazione dei bias) possono richiedere margini operativi più ampi rispetto a quelli tradizionalmente associati al principio di limitazione della finalità.
Resta da capire se questa apertura resterà circoscritta o se rappresenta l’inizio di un adattamento più ampio del quadro della protezione dei dati alle logiche dello sviluppo dell’intelligenza artificiale.
Divieto di “nudificazione”: norma simbolica o cambio di metodo
L’introduzione di un divieto specifico per i sistemi di IA che generano o manipolano immagini intime senza consenso (le cosiddette applicazioni di “nudificazione”) appare, a prima vista, una misura circoscritta.
In realtà, è indicativa di un cambiamento nel modo di legiferare sull’IA.
L’AI Act è costruito su una logica risk-based, che classifica i sistemi in base al livello di rischio e attribuisce obblighi conseguenti; il divieto in questione è, invece, puntuale e fenomenologico e nasce come risposta diretta a un problema sociale emergente.
Questo approccio introduce un elemento nuovo: accanto alla struttura sistemica, si affianca una regolazione “reattiva”, orientata a intercettare casi emblematici. Il rischio è una progressiva stratificazione normativa, in cui coesistono principi generali e divieti specifici, non sempre perfettamente coerenti tra loro.
La frammentazione regolatoria e il rischio di asimmetrie
Un altro asse di intervento riguarda il coordinamento con le normative settoriali. Il Parlamento propone di rendere meno stringenti gli obblighi dell’AI Act per prodotti già disciplinati da regole specifiche, come dispositivi medici o apparecchiature radio.
L’obiettivo è quello di evitare duplicazioni e sovrapposizioni, ma la soluzione adottata introduce un effetto collaterale. Se gli obblighi variano in funzione del settore, il risultato è una frammentazione del regime giuridico dell’IA, in cui sistemi tecnologicamente simili potrebbero essere soggetti a livelli di regolazione diversi a seconda del contesto applicativo.
Questa asimmetria apre la porta a fenomeni di regulatory arbitrage: la scelta del settore o della qualificazione del prodotto potrebbe diventare una variabile strategica per ridurre gli oneri normativi.
L’AI Act, concepito come quadro unitario, rischia così di trasformarsi in una meta-norma, il cui contenuto effettivo dipende dall’interazione con altri regimi regolatori.
Un diritto dell’IA sempre più ibrido
Le modifiche introdotte dal digital omnibus, sebbene siano presentate come interventi di semplificazione, se osservate nel loro insieme, sembrano produrre un effetto diverso: non tanto uno snellimento del quadro normativo, quanto una sua progressiva ibridazione.
Ciascuno degli interventi proposti, preso singolarmente, appare del tutto comprensibile. Nel loro insieme, però, essi delineano un impianto normativo che rischia di perdere una delle sue caratteristiche originarie, vale a dire la sua coerenza interna.
L’AI Act era stato concepito come una regolazione sistemica, fondata su una logica chiara (quella del rischio) e su un impianto unitario e il suo obiettivo era quello di fornire una griglia di principi e categorie in grado di orientare l’innovazione nel tempo.
Proprio questo impianto sembra oggi entrare in tensione con la realtà applicativa.
Le esigenze emerse nel confronto con il mercato (tempi di adeguamento, sostenibilità degli obblighi, coordinamento con altre normative) stanno portando a interventi correttivi che, pur risolvendo problemi immediati, introducono elementi di discontinuità. Tutto ciò fa sì che il sistema si stia allontanando progressivamente dal modello originario per avvicinarsi a una struttura più stratificata e sempre meno lineare.
Il GDPR, pur nella sua forza sistematica, ha mostrato nel tempo una simile difficoltà strutturale, cioè quella di tradurre principi ampi e flessibili in applicazioni concrete, coerenti e prevedibili. Ma l’indeterminatezza, in quel caso, era (almeno in parte) fisiologica.
Nel contesto dell’intelligenza artificiale, la dimensione è diversa. L’IA è un fenomeno complesso, ma anche rapido, evolutivo e spesso imprevedibile. Per questo, una regolazione basata su principi generali rischia di richiedere continui adattamenti, che finiscono per erodere la chiarezza del quadro complessivo.
L’AI Act nasce, infatti, con l’ambizione di fornire una traiettoria stabile per lo sviluppo tecnologico, evitando interventi frammentari e reattivi; al contrario, le modifiche oggi in discussione, pur animate da esigenze pragmatiche, sembrano muoversi nella direzione opposta, cioè verso una regolazione sempre più adattiva e sempre più disomogenea.
Nonostante gli intenti di semplificazione, un quadro regolatorio ibrido, costruito per stratificazione successiva, può diventare difficile da interpretare per gli operatori, oneroso da applicare per le imprese e meno efficace nel garantire gli obiettivi di tutela che si era prefissato.
Per questo, almeno nel medio periodo, la “semplificazione” potrebbe rivelarsi una forma diversa di complessità, derivante, non più dall’ampiezza dei principi, bensì dalla loro progressiva frammentazione.
La questione, a ben vedere, riguarda il modello regolatorio europeo nel suo complesso, e non solo l’AI Act.
Un sistema fondato su principi etici e categorie astratte mostra quasi inevitabilmente limiti strutturali nel governare fenomeni tecnologici che si manifestano in forme concrete, puntuali e in continua evoluzione. Tuttavia, come si potrebbe regolare a monte ogni specifico caso concreto?
Tra principi e realtà: il limite strutturale della regolazione
La previsione e regolamentazione a monte di ogni specifico caso concreto è di fatto impraticabile. La varietà delle applicazioni dell’intelligenza artificiale, la loro evoluzione continua e la capacità di generare usi imprevisti rendono impossibile una normazione esaustiva e anticipatoria.
Proprio questa impossibilità aveva giustificato l’impostazione originaria dell’AI Act, pensato quale sistema regolatorio contenente principi e categorie (e non come lista di divieti o obblighi puntuali), capace per questo di adattarsi nel tempo.
Il problema emerge nel momento in cui questo impianto si confronta con la realtà operativa, dal momento che i principi, per funzionare, richiedono interpretazione, traduzione in prassi, mediazione tra interessi diversi. Questo è lo spazio in cui si inseriscono interventi correttivi quali deroghe, rinvii, specificazioni, eccezioni.
È evidente la tensione strutturale tra la necessità di mantenere un quadro flessibile (l’unico realisticamente in grado di seguire l’evoluzione tecnologica) e la pressione a rendere quella flessibilità concretamente applicabile, attraverso interventi puntuali.
Il risultato è un equilibrio instabile con un sistema che non può essere completamente dettagliato, e che, nel tentativo di diventarlo, rischia di perdere la coerenza che lo rendeva, (almeno in teoria) governabile.
Il punto di equilibrio: meno regole, ma più cornici stabili
La stratificazione normativa, lungi dall’essere la soluzione, è piuttosto parte del problema, perché rende la regolazione dell’IA più complessa e, in alcuni casi, meno prevedibile.
Se una regolazione interamente puntuale è impraticabile e una regolazione progressivamente ibrida rischia di diventare incoerente, allora, senza aggiungere nuove regole, occorrerebbe ripensarne il ruolo.
Governare l’intelligenza artificiale potrebbe richiedere meno interventi correttivi e più capacità di fissare condizioni, responsabilità e limiti chiari, all’interno dei quali sistemi e sviluppatori possano muoversi, anziché essere inseguiti da una regolazione sempre più frammentata e sempre meno governabile.
