L'AI Act europeo: tra trasparenza e strategie di evasione aziendale

L'Unione Europea ha compiuto un passo storico con l'entrata in vigore dell'AI Act, la prima normativa completa al mondo sull'intelligenza artificiale. Questo atto rivoluzionario, che pone l'Europa all'avanguardia nella governance dell'IA, stabilisce un quadro normativo basato sul rischio che mira a bilanciare innovazione e protezione dei diritti fondamentali. Tuttavia, il regolamento rappresenta anche l'ennesima manifestazione del cosiddetto "Brussels Effect" - la tendenza dell'UE a imporre le proprie norme su scala globale attraverso il potere del suo mercato, senza necessariamente guidare l'innovazione tecnologica.

Mentre gli Stati Uniti e la Cina guidano lo sviluppo dell'IA con massicci investimenti pubblici e privati (rispettivamente il 45% e il 30% degli investimenti globali nel 2024), l'Europa ha attratto solo il 10% degli investimenti globali in IA. In risposta, l'UE cerca di compensare il suo ritardo tecnologico attraverso la regolamentazione, imponendo standard che finiscono per influenzare l'intero ecosistema globale.

La domanda centrale è: l'Europa sta creando un ambiente che promuove l'innovazione responsabile o sta semplicemente esportando burocrazia in un settore dove non riesce a competere?

La dimensione extraterritoriale della regolamentazione europea

L'AI Act si applica non solo alle aziende europee, ma anche a quelle che operano sul mercato europeo o i cui sistemi di IA hanno un impatto su cittadini dell'UE. Questa giurisdizione extraterritoriale è particolarmente evidente nelle disposizioni relative ai modelli GPAI, dove il considerando 106 dell'Act stabilisce che i fornitori devono rispettare il diritto d'autore dell'UE "indipendentemente dalla giurisdizione in cui avviene l'addestramento dei modelli".

Tale approccio è stato fortemente criticato da alcuni osservatori, che lo vedono come un tentativo dell'UE di imporre le proprie norme su aziende che non hanno sede nel suo territorio. Secondo i critici, questo potrebbe creare una frattura nell'ecosistema tecnologico globale, con aziende costrette a sviluppare versioni separate dei loro prodotti per il mercato europeo o ad adottare gli standard europei per tutti i mercati per evitare costi di compliance aggiuntivi.

Le multinazionali tecnologiche si trovano dunque in una posizione difficile: ignorare il mercato europeo non è un'opzione praticabile, ma conformarsi all'AI Act richiede investimenti significativi e potrebbe limitare le possibilità di innovazione. Questo effetto è ulteriormente amplificato dalla tempistica ambiziosa dell'implementazione e dall'incertezza interpretativa di molte disposizioni.

Il calendario di implementazione e il quadro normativo

L'AI Act è entrato in vigore il 1° agosto 2024, ma la sua applicazione seguirà un calendario scaglionato:

• 2 febbraio 2025: Entrata in vigore del divieto di sistemi di IA che comportano rischi inaccettabili (come il social scoring governativo) e degli obblighi di alfabetizzazione sull'IA
• 2 maggio 2025: Termine per la finalizzazione del Codice di Condotta per i modelli di IA per scopi generali (GPAI)
• 2 agosto 2025: Applicazione delle norme sui modelli di IA per scopi generali, sulla governance e sulle autorità di notifica
• 2 agosto 2026: Piena applicazione delle disposizioni relative ai sistemi ad alto rischio e degli obblighi di trasparenza
• 2 agosto 2027: Applicazione delle norme per i sistemi ad alto rischio soggetti alla legislazione sulla sicurezza dei prodotti

Il regolamento adotta un approccio basato sul rischio, classificando i sistemi di IA in quattro categorie: rischio inaccettabile (vietati), alto rischio (soggetti a rigorosi requisiti), rischio limitato (con obblighi di trasparenza) e rischio minimo o nullo (uso libero). Questa categorizzazione determina gli obblighi specifici per sviluppatori, fornitori e utilizzatori.

Le nuove disposizioni sulla trasparenza: ostacolo all'innovazione?

Una delle innovazioni più significative dell'AI Act riguarda gli obblighi di trasparenza, che mirano ad affrontare la natura "black box" dei sistemi di IA. Questi obblighi includono:

• L'obbligo per i fornitori di modelli GPAI di pubblicare un "riassunto sufficientemente dettagliato" dei dati di addestramento, facilitando il controllo da parte dei titolari di copyright e di altre parti interessate
• La necessità per i sistemi che interagiscono con esseri umani di informare gli utenti che stanno comunicando con un sistema di IA
• L'obbligo di etichettare chiaramente i contenuti generati o modificati dall'IA (come i deepfake)
• L'implementazione di documentazione tecnica esaustiva per i sistemi ad alto rischio

Questi requisiti, sebbene progettati per proteggere i diritti dei cittadini, potrebbero costituire un significativo onere per le aziende, in particolare per le startup e le PMI innovative. La necessità di documentare in dettaglio i processi di sviluppo, i dati di addestramento e le logiche decisionali potrebbe rallentare i cicli di innovazione e aumentare i costi di sviluppo, ponendo le aziende europee in una posizione di svantaggio rispetto ai concorrenti di altre regioni con regolamentazioni meno stringenti.

Casi di studio: l'evasione nella pratica

Credit Scoring e processi decisionali automatizzati

La sentenza del Caso C-203/22 evidenzia come le aziende inizialmente resistano ai mandati di trasparenza. L'imputato, un fornitore di telecomunicazioni, ha sostenuto che rivelare la logica del suo algoritmo di credit scoring avrebbe rivelato segreti commerciali, mettendo a rischio il suo vantaggio competitivo⁶ . La CGUE ha respinto questa tesi, affermando che l'Articolo 22 del GDPR dà diritto alle persone a una spiegazione dei "criteri e della logica" alla base delle decisioni automatizzate, anche se semplificata⁶ .

IA generativa ed evasione del copyright

Secondo il sistema a due livelli dell'AI Act, la maggior parte dei modelli di IA generativa rientra nel Livello 1, richiedendo il rispetto del diritto d'autore dell'UE e riassunti dei dati di addestramento² . Per evitare rivendicazioni di violazione del copyright, aziende come OpenAI sono passate a dati sintetici o contenuti con licenza, ma persistono lacune nella documentazione.

Le implicazioni sul diritto d'autore: l'Europa detta legge globalmente

L'AI Act contiene disposizioni specifiche relative al diritto d'autore che estendono l'influenza normativa dell'UE ben oltre i suoi confini. I fornitori di modelli GPAI devono:

• Rispettare le riserve di diritti stabilite dalla Direttiva sul mercato unico digitale (2019/790)
• Fornire un riepilogo dettagliato dei contenuti utilizzati per l'addestramento, bilanciando la necessità di proteggere i segreti commerciali con quella di consentire ai titolari di copyright di far valere i propri diritti

Il considerando 106 dell'AI Act stabilisce che i fornitori devono rispettare il diritto d'autore dell'UE, "indipendentemente dalla giurisdizione in cui avviene l'addestramento dei modelli". Questo approccio extraterritoriale solleva interrogativi sulla compatibilità con i principi di territorialità del diritto d'autore e potrebbe creare conflitti normativi con altre giurisdizioni.

Strategie aziendali: evasione o conformità al "Brussels Effect"?

Per le aziende tecnologiche globali, l'AI Act presenta una scelta strategica fondamentale: adattarsi al "Brussels Effect" e conformarsi agli standard europei a livello globale, o sviluppare approcci differenziati per diversi mercati? Diverse strategie sono emerse:

Strategie di evasione e mitigazione

1. Lo scudo dei segreti commerciali: Molte aziende stanno cercando di limitare la divulgazione invocando le protezioni del segreto commerciale previste dalla Direttiva UE sui segreti commerciali. Le aziende sostengono che divulgazioni dettagliate dei dati di addestramento o delle architetture dei modelli esporrebbero informazioni proprietarie, minando la loro competitività. Questo approccio confonde il requisito dell'Act per un riepilogo dei dati con la divulgazione completa.
2. La complessità tecnica come difesa: La natura intrinsecamente complessa dei moderni sistemi di IA offre un'altra via di mitigazione. Le aziende producono riassunti tecnicamente conformi ma eccessivamente prolissi o pieni di gergo tecnico che soddisfano formalmente i requisiti legali senza consentire un esame significativo. Ad esempio, un riepilogo dei dati di addestramento potrebbe elencare ampie categorie di dati (es. "testi pubblicamente disponibili") senza specificare fonti, proporzioni o metodi specifici.
3. La scappatoia dell'autovalutazione: Le modifiche all'Articolo 6 dell'AI Act introducono un meccanismo di autovalutazione che consente agli sviluppatori di esentare i propri sistemi dalla categorizzazione ad alto rischio se ritengono i rischi "trascurabili". Questa scappatoia concede alle aziende l'autorità unilaterale di evitare rigorosi obblighi di conformità.
4. Forum shopping regolamentare: L'AI Act delega l'applicazione alle autorità nazionali di sorveglianza del mercato, portando a potenziali disparità in termini di rigore e competenza. Alcune aziende stanno strategicamente localizzando le loro operazioni europee in Stati membri con approcci più permissivi all'applicazione o con minori risorse per il controllo.

Il "modello duale" come risposta al Brussels Effect

Alcune grandi aziende tecnologiche stanno sviluppando un "modello duale" di operatività:

1. Versioni "conformi all'UE" dei loro prodotti di IA con funzionalità limitate ma pienamente conformi all'AI Act
2. Versioni "globali" più avanzate disponibili in mercati con regolamentazioni meno stringenti

Questo approccio, sebbene costoso, permette di mantenere una presenza sul mercato europeo senza compromettere l'innovazione a livello globale. Tuttavia, questa frammentazione potrebbe portare a un divario tecnologico crescente, con gli utenti europei che avrebbero accesso a tecnologie meno avanzate rispetto a quelli di altre regioni.

L'incertezza normativa come ostacolo all'innovazione europea

L'AI Act europeo rappresenta un punto di svolta nella regolamentazione dell'IA, ma la sua complessità e le ambiguità interpretative generano un clima di incertezza che potrebbe influenzare negativamente l'innovazione e gli investimenti nel settore. Le aziende si trovano ad affrontare diverse sfide:

L'incertezza regolatoria come rischio aziendale

Il panorama normativo in continua evoluzione rappresenta un rischio significativo per le aziende. L'interpretazione di concetti chiave come "riassunto sufficientemente dettagliato" o la classificazione dei sistemi ad "alto rischio" rimane ambigua. Questa incertezza potrebbe tradursi in:

1. Costi di conformità imprevedibili: Le aziende devono destinare risorse significative alla compliance senza avere piena certezza sui requisiti definitivi.
2. Strategie di mercato prudenziali: L'incertezza normativa potrebbe portare a decisioni di investimento più conservatrici e a ritardi nello sviluppo di nuove tecnologie, particolarmente in Europa.
3. Frammentazione del mercato digitale europeo: L'interpretazione non uniforme delle norme tra i diversi Stati membri rischia di creare un mosaico normativo difficile da navigare per le imprese.
4. Competizione globale asimmetrica: Le aziende europee potrebbero trovarsi a operare con vincoli più stringenti rispetto ai concorrenti di altre regioni, influenzando la loro competitività globale.

Il divario nell'innovazione e la sovranità tecnologica

Il dibattito sul "Brussels Effect" si inserisce nel più ampio contesto della sovranità tecnologica europea. L'UE si trova nella difficile posizione di dover bilanciare la necessità di promuovere l'innovazione interna con quella di regolamentare le tecnologie sviluppate principalmente da attori non europei.

Nel 2024, le aziende europee hanno attratto solo il 10% degli investimenti globali in IA, mentre gli Stati Uniti e la Cina hanno dominato il settore con una combinazione di massicci investimenti pubblici e privati, politiche favorevoli all'innovazione e accesso a grandi quantità di dati. L'Europa, con la sua frammentazione linguistica, culturale e normativa, fatica a generare "campioni" tecnologici in grado di competere a livello globale.

I critici sostengono che l'approccio europeo incentrato sulla regolamentazione rischia di soffocare ulteriormente l'innovazione e di dissuadere gli investimenti, mentre i sostenitori ritengono che la creazione di un quadro normativo affidabile possa in realtà stimolare lo sviluppo di IA "by design" etiche e sicure, creando un vantaggio competitivo a lungo termine.

Conclusione: regolamentazione senza innovazione?

Il "Brussels Effect" dell'AI Act mette in luce una tensione fondamentale nell'approccio europeo alla tecnologia: la capacità di stabilire standard globali attraverso la regolamentazione non è accompagnata da una corrispondente leadership nell'innovazione tecnologica. Questa asimmetria solleva interrogativi sulla sostenibilità a lungo termine di tale approccio.

Se l'Europa continua a regolamentare tecnologie che non sviluppa, rischia di trovarsi in una posizione di crescente dipendenza tecnologica, dove le sue regole potrebbero diventare sempre meno rilevanti in un ecosistema globale in rapida evoluzione. Inoltre, le aziende extraeuropee potrebbero progressivamente ritirarsi dal mercato europeo o offrirvi versioni limitate dei loro prodotti, creando una "fortezza digitale Europa" sempre più isolata dai progressi globali.

D'altra parte, se l'UE riuscisse a bilanciare l'approccio regolamentare con una strategia efficace di promozione dell'innovazione, potrebbe effettivamente definire una "terza via" tra il capitalismo americano e il controllo statale cinese, ponendo i diritti umani e i valori democratici al centro dello sviluppo tecnologico. Vaste programme direbbero in Francia.

Il futuro dell'IA in Europa dipenderà non solo dall'efficacia dell'AI Act nella protezione dei diritti fondamentali, ma anche dalla capacità dell'Europa di accompagnare la regolamentazione con adeguati investimenti nell'innovazione e di semplificare il quadro normativo per renderlo meno opprimente. In caso contrario, l'Europa rischia di trovarsi in una situazione paradossale: leader mondiale nella regolamentazione dell'IA, ma marginale nel suo sviluppo e nella sua applicazione.

Riferimenti e fonti

1. Commissione Europea. (2024). "Regolamento (UE) 2024/1689 che stabilisce norme armonizzate sull'intelligenza artificiale". Gazzetta ufficiale dell'Unione europea.
2. Ufficio europeo per l'IA. (2025, aprile). "Linee guida preliminari sugli obblighi per i fornitori di modelli GPAI". Commissione Europea.
3. Corte di Giustizia dell'Unione Europea. (2025, febbraio). "Sentenza nella Causa C-203/22 Dun & Bradstreet Austria". CGUE.
4. Warso, Z., & Gahntz, M. (2024, dicembre). "How the EU AI Act Can Increase Transparency Around AI Training Data". TechPolicy.Press. https://www.techpolicy.press/how-the-eu-ai-act-can-increase-transparency-around-ai-training-data/
5. Wachter, S. (2024). "Limitations and Loopholes in the EU AI Act and AI Liability Directives". Yale Journal of Law & Technology, 26(3). https://yjolt.org/limitations-and-loopholes-eu-ai-act-and-ai-liability-directives-what-means-european-union-united
6. European Digital Rights (EDRi). (2023, settembre). "EU legislators must close dangerous loophole in AI Act". https://www.amnesty.eu/news/eu-legislators-must-close-dangerous-loophole-in-ai-act/
7. Future of Life Institute. (2025). "AI Act Compliance Checker". https://artificialintelligenceact.eu/assessment/eu-ai-act-compliance-checker/
8. Dumont, D. (2025, febbraio). "Understanding the AI Act and its compliance challenges". Help Net Security. https://www.helpnetsecurity.com/2025/02/28/david-dumont-hunton-andrews-kurth-eu-ai-act-compliance/
9. Guadamuz, A. (2025). "The EU's Artificial Intelligence Act and copyright". The Journal of World Intellectual Property. https://onlinelibrary.wiley.com/doi/full/10.1111/jwip.12330
10. White & Case LLP. (2024, luglio). "Long awaited EU AI Act becomes law after publication in the EU's Official Journal". https://www.whitecase.com/insight-alert/long-awaited-eu-ai-act-becomes-law-after-publication-eus-official-journal