Roma - Per anni l'intelligenza artificiale è cresciuta in un vuoto. Le aziende costruivano sistemi capaci di riconoscere un volto in mezzo alla folla, valutare l'affidabilità di chi chiede un prestito, generare in pochi secondi un'immagine indistinguibile dalla realtà. E lo facevano senza che esistesse una legge a dire cosa fosse permesso e cosa no. L'Unione europea ha deciso di colmare quel vuoto con l'AI Act, il Regolamento (UE) 2024/1689: la prima legge organica al mondo sull'intelligenza artificiale.
Questa tecnologia ha smesso di essere materia per soli ingegneri. Decide chi viene assunto e chi no, quali notizie compaiono sullo schermo, se una domanda di mutuo passa o si ferma. Quando un sistema sbaglia, o quando viene usato per manipolare, le conseguenze ricadono su persone in carne e ossa. L'AI Act nasce per stabilire chi risponde di quegli errori e dove si trova il confine da non superare.
Una piramide di rischi
Il meccanismo della legge ruota attorno a un'idea facile da afferrare: più un sistema può fare danni, più regole deve rispettare. Bruxelles ha immaginato quattro gradini.
In cima, il rischio inaccettabile. Qui finiscono le applicazioni semplicemente vietate in tutta l'Unione. Il social scoring, cioè l'assegnazione di un punteggio ai cittadini in base al loro comportamento, sul modello già sperimentato altrove nel mondo. I sistemi che manipolano le persone con tecniche subliminali. Il riconoscimento delle emozioni applicato sul posto di lavoro o a scuola. Per questi non esiste un modo «corretto» di usarli: la legge li mette fuori gioco.
Sul gradino sotto sta il rischio alto. Sono i sistemi che incidono su diritti e sicurezza: software che selezionano i curriculum, algoritmi usati nella sanità, nella giustizia, nel credito, nella gestione delle infrastrutture. Restano permessi, ma a condizioni severe: documentazione tecnica, sorveglianza umana, controlli di qualità, tracciabilità. Chi li produce deve dimostrare che funzionano e che è possibile contestarne le decisioni.
Più in basso il rischio limitato, dove valgono soprattutto gli obblighi di trasparenza. Qui rientra gran parte di ciò che usiamo ogni giorno. Se parli con un chatbot, devi sapere che dall'altra parte c'è una macchina. Se un'immagine, un audio o un video sono stati generati artificialmente, vanno segnalati come tali. È la norma pensata contro i deepfake, e tocca da vicino soprattutto il mondo dell'informazione. Quello serio.
In fondo, il rischio minimo: filtri antispam, suggerimenti di acquisto, videogiochi. Nessun obbligo particolare, perché il pericolo per le persone è trascurabile.
I grandi modelli e il calendario
Una categoria a parte riguarda i modelli «per finalità generali», la famiglia a cui appartengono i sistemi come quelli che generano testo o immagini su richiesta. A chi li sviluppa la legge chiede trasparenza sui dati di addestramento, documentazione tecnica e attenzione ai rischi sistemici, quelli capaci di propagarsi su scala enorme.
Tutto questo non scatta in un colpo solo. L'AI Act è entrato formalmente in vigore il 1° agosto 2024, ma le sue regole arrivano a tappe. I divieti sui sistemi a rischio inaccettabile valgono dal 2 febbraio 2025. Gli obblighi per i grandi modelli e l'impianto di governance europeo dal 2 agosto 2025. Il grosso delle disposizioni, comprese le regole di trasparenza sui contenuti generati artificialmente, entra in applicazione il 2 agosto 2026, fra poche settimane. L'ultimo blocco, dedicato ai sistemi ad alto rischio incorporati in prodotti già regolati come dispositivi medici e macchinari, arriva il 2 agosto 2027.
A dare forza al tutto ci sono le sanzioni. Per le violazioni più gravi, come l'uso di un sistema vietato, le multe possono raggiungere i 35 milioni di euro o il 7% del fatturato annuo mondiale dell'azienda. Cifre pensate per farsi sentire anche dai colossi tecnologici.
L'Italia in anticipo, e le pressioni per frenare
Il Regolamento si applica direttamente in ogni Stato membro, senza bisogno di recepimento. Quello che spetta ai governi nazionali è indicare le autorità incaricate dei controlli e fissare le pene. L'Italia si è mossa prima di molti: la Legge n. 132/2025, in vigore dal 10 ottobre scorso, ha costruito la cornice interna e il sistema sanzionatorio.
Resta un'incognita politica. Il 19 novembre 2025 la Commissione europea ha presentato il pacchetto Digital Omnibus, una serie di modifiche pensate per alleggerire gli obblighi a carico delle imprese. Tra le ipotesi, il rinvio delle regole più stringenti sui sistemi ad alto rischio, legandone l'entrata in vigore alla disponibilità degli standard tecnici. La proposta deve ancora superare il negoziato tra Parlamento e Consiglio, e se non venisse approvata resterebbe valida la scadenza del 2 agosto 2026. Ma il segnale è chiaro: davanti alla concorrenza di Stati Uniti e Cina, una parte dell'Europa teme che regole troppo dure rallentino l'industria, e preme per ammorbidire proprio la parte più protettiva della legge.
Cosa cambia, in concreto
Per il cittadino, l'AI Act significa qualche garanzia in più. Il diritto di sapere quando si sta interagendo con una macchina. La possibilità di riconoscere un contenuto falso prodotto da un algoritmo. La certezza che certe pratiche, dal punteggio sociale alla sorveglianza emotiva, sono bandite. E, quando un sistema ad alto rischio prende una decisione che lo riguarda, il diritto di chiederne conto.
Per le aziende, significa adeguarsi in fretta. Mappare i propri sistemi, classificarli per livello di rischio, dotarsi di documentazione e controlli. Chi arriva impreparato alla scadenza di agosto rischia molto.
L'Europa ha scelto di muoversi per prima, accettando il rischio di scrivere regole su una tecnologia che cambia ogni mese. Se quelle regole reggeranno, o se verranno smussate prima ancora di funzionare, lo capiremo proprio nelle prossime settimane.