Il 13 marzo 2024, il Parlamento Europeo ha approvato l'AI Act — il primo quadro normativo completo sull'intelligenza artificiale al mondo. È un momento storico, paragonabile al GDPR del 2016 per la protezione dei dati. Come il GDPR, l'AI Act potrebbe diventare un modello globale — o restare un'eccezione europea in un mondo dominato da approcci più permissivi.
L'AI Act adotta un approccio basato sul rischio. I sistemi di AI sono classificati in quattro livelli. Rischio inaccettabile: sistemi vietati, come il social scoring governativo, la manipolazione subliminale e il riconoscimento biometrico di massa in tempo reale in spazi pubblici. Rischio alto: sistemi in ambiti sensibili (giustizia, sanità, credito, istruzione, assunzione) che devono rispettare requisiti rigorosi di trasparenza, documentazione, supervisione umana e gestione del rischio. Rischio limitato: sistemi con obblighi di trasparenza (es. chatbot che devono dichiarare di essere AI). Rischio minimo: la maggior parte dei sistemi AI, senza requisiti specifici.
L'AI Act ha punti di forza significativi. Il divieto del social scoring e della manipolazione subliminale stabilisce limiti chiari a usi inaccettabili. L'obbligo di trasparenza per i sistemi ad alto rischio è un passo importante verso la responsabilizzazione. Il requisito di valutazione d'impatto sui diritti fondamentali per i sistemi ad alto rischio è innovativo. E le sanzioni — fino al 7% del fatturato globale — sono potenzialmente deterrenti.
Ma ha anche lacune importanti. Le eccezioni per la sicurezza nazionale e le forze dell'ordine sono ampie: il riconoscimento facciale è vietato "in tempo reale" ma permesso "a posteriori", una distinzione difficile da applicare. La classificazione dei sistemi generativi (come GPT) è stata oggetto di lunghe negoziazioni e il risultato è un compromesso: i modelli foundation hanno obblighi di trasparenza ma non sono classificati come "alto rischio" di default. Inoltre, l'implementazione sarà graduale (le regole entreranno pienamente in vigore nel 2026) e l'applicazione dipenderà dalle autorità nazionali, con il rischio di enforcement diseguale tra i paesi membri.
Nel panorama globale, gli approcci sono molto diversi. Gli Stati Uniti hanno adottato un approccio frammentario: executive orders presidenziali, linee guida NIST, proposte di legge statali, ma nessun quadro federale organico. La Cina ha una regolamentazione selettiva: restrizioni sui deepfake e sulla raccolta dati, ma il governo stesso è il principale utilizzatore di AI per la sorveglianza. Il Regno Unito post-Brexit ha scelto un approccio "pro-innovazione" basato sui principi piuttosto che su regole specifiche.
La frammentazione globale crea un rischio di "corsa al ribasso": i paesi competono per attrarre aziende AI abbassando gli standard. Senza coordinamento internazionale — come quello proposto dall'AI Safety Summit di Bletchley Park nel 2023 — le regolamentazioni più protettive rischiano di essere vanificate dalla mobilità delle corporation.