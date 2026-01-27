Nel vuoto creato dall’incertezza normativa di questa legge, le decisioni non restano sospese: vengono semplicemente prese da altri, e il vero rischio è quello di restare relegati al ruolo di semplici consumatori di tecnologie altrui Alfonso Scarano e Simone Simoncini

Su Appunti leggi anche

L’ipotesi di una vera strategia americana Manlio Graziano · Jan 24 La vera strategia che si intuisce non è quella enunciata nella National Security Strategy, dunque non dar vita a tre «pan-regioni» (comandate da Stati Uniti, Cina e Russia), ma appaltare la difesa degli interessi strategici americani in Asia e in Europa ai cosiddetti «alleati», Read full story

La legge italiana sull’intelligenza artificiale (n. 132/2025) non rischia di frenare l’innovazione perché “regola troppo”, ma perché non rende stimabile il rischio. In un settore strategico dove pochi mesi valgono anni di evoluzione lineare, l’incertezza normativa non è un fattore neutro: è già una scelta, ovvero quella di rimandare gli investimenti significativi.

Chi sceglie di aspettare finisce per diventare cliente di chi ha già uffici legali strutturati e prodotti pronti all’uso.

Il punto nodale non è aggiungere ulteriore burocrazia, ma scrivere regole operative chiare: definire chi fa cosa, quali siano i controlli minimi richiesti e quali margini di sperimentazione siano concessi agli innovatori.

La legge italiana soffre di un eccessivo rinvio ai decreti attuativi, lasciando al momento confini mobili e interpretazioni soggettive.

Questa ambiguità è sufficiente a costringere a limitarsi a progetti pilota di piccole dimensioni che, pur fornendo un’illusione di progresso, hanno un’aspettativa di rimanere confinati alla fase di sola sperimentazione.

Questa esperienza, definibile come una “tempesta nel bicchier d’acqua”, finisce paradossalmente per indurre imprese e Pubblica amministrazione a rifugiarsi nell’acquisto di soluzioni estere ‘chiavi in mano’, rinunciando allo sviluppo di un ecosistema nazionale.

Se vogliamo davvero sciogliere la nebbia che attualmente avvolge il settore, i decreti devono invece prioritariamente trasformare i principi teorici in procedure concrete, standardizzate e applicabili.

È necessario farlo con estrema urgenza: la delega legislativa prevede già tempi stretti, soprattutto considerando che il “tempo amministrativo” italiano resta un bradipo rispetto al “tempo tecnologico” del mercato globale.

Per sbloccare i progetti oggi in forse , i decreti attuativi dovrebbero intervenire su cinque pilastri normativi con poche righe di estrema chiarezza:

La definizione della responsabilità operativa: la questione non è solo ‘cosa fare’ o ‘chi paga’ se l’IA ‘sbaglia’, ma nel mappare l’intera catena del valore e delle responsabilità specifiche: chi configura il sistema? Chi ne monitora il comportamento? Chi valida l’uso finale?.

Servono criteri pratici basati sul grado effettivo di coinvolgimento umano, sullo scopo applicativo, sul settore industriale di riferimento e su chi ci mette la faccia.

È fondamentale che esista un controllo effettivo e differenziato tra i soggetti coinvolti: il provider (chi sviluppa il modello), l’integratore (chi lo adatta) e il deployer (chi lo mette in esercizio), con doveri specifici di verifica che siano strettamente proporzionati al ruolo svolto.

Trasparenza tecnica e standardizzazione dei log: per gestire la conformità non serve solo un trattato giuridico, ma ben di più, una precisa specifica tecnica.

Bisogna stabilire quali registrazioni (log di sistema) siano obbligatorie per eventualmente e successivamente ricostruire incidenti e contestazioni: dalla versione specifica del modello utilizzato alla base di conoscenza (knowledge base) impiegata, fino alla conservazione dei prompt e degli output rilevanti, unitamente alle metriche di performance e agli alert di sistema.

Questa “scatola bianca”, al contrario di una “scatola nera impenetrabile”, deve essere accessibile e leggibile per garantire la difesa legale e la possibile correzione tecnica.

Valutazione del rischio semplificata (light) per i casi d’uso comuni: l’attuale approccio, comunque complesso per qualsiasi dimensione di progetto, rischia di paralizzare il mercato: se ogni piccolo progetto di automazione viene trattato come un reattore nucleare, sarà veramente improbabile che un decisore inizi il percorso di esplorazione concreta di utilizzo di questa tecnologia.

Occorre una procedura standard semplificata che preveda una classificazione rapida tramite questionari pre-approvati e controlli obbligatori, garantendo comunque una revisione periodica di questo sistema di verifiche.

Solo così l’IA può diventare uno strumento di produttività concreta e non un privilegio per pochi settori ultra-regolamentati. In questi casi, probabilmente vitali per l’adozione nei processi produttivi delle PMI, un adeguato assetto organizzativo potrebbe assumere rilevanza per consentire uno sviluppo adeguato senza ossessivi obblighi di rendicontazione.

Sandbox regolatorie: per i progetti a rischio non trascurabile, serve una “Sandbox vera”. Una sandbox non è un laboratorio teorico, ma un ambiente (virtuale) di prova controllato e a tempo, dove un’organizzazione può testare un sistema di IA sotto la supervisione diretta del regolatore. In questo spazio protetto vigono regole chiare sulla gestione dei dati, sulle garanzie per i cittadini e sui protocolli di audit.

Si tratta di un patto di trasparenza: l’impresa sperimenta e l’autorità fornisce guida ed eventuali criteri per un percorso di conformità verso la produzione.

Il Parlamento europeo stesso vede nelle sandbox lo strumento per permettere sia a chi innova che a chi regola di “imparare” facendo concretamente. Come previsto dall’AI Act, la sandbox deve diventare una modalità di funzionamento operativa e leale tra i soggetti coinvolti, con flussi informativi adeguati verso le unità specialistiche del regolatore.

Acquisti della PA (procurement) e portabilità del dato tra sistemi: la Pubblica amministrazione deve poter acquistare tecnologia avanzata senza cedere la propria sovranità digitale sui dati di sua responsabilità.

È indispensabile inserire nei bandi di gara requisiti minimi sull’esportabilità dei dati, loro tracciabilità completa e concreta e clausole di reversibilità contrattuale che contrastino il lock in tecnologico, ovvero il rimanere ostaggio del fornitore e dunque favorire l’innovazione tecnologica e la competizione in questo mercato.

La PA deve rimanere proprietaria del patrimonio informativo elaborato e accumulato durante l’addestramento e l’utilizzo del sistema indipendentemente dal fornitore corrente per poterlo eventualmente utilizzare con altri fornitori

Due esempi internazionali dimostrano come la teoria possa diventare pratica utile:

Spagna (2022): Il governo spagnolo, in collaborazione con la Commissione Europea, ha lanciato un progetto pilota di sandbox proprio per “operazionalizzare” i requisiti della futura regolazione europea.

L’obiettivo è testare la conformità e le attività post-market in un ambiente reale ma protetto, riducendo l’attrito tra norma e realtà operativa.

Norvegia: Il Garante per la protezione dei dati personali gestisce una sandbox dedicata all’IA che produce report pubblici accessibili a tutti.

Un caso emblematico è il progetto “Finterai”, che ha sperimentato tecniche di federated learning per l’antiriciclaggio. Questo ha permesso di addestrare modelli su dati sensibili che non potevano essere condivisi, dimostrando che la sandbox serve a costruire soluzioni tecniche e criteri di conformità in collaborazione con il regolatore.

Decidere nel mondo dell’incertezza è la vera sfida. Cosa devono fare da domani imprese e Pa? Il primo passo è smettere di chiedere “si può?” in termini puramente astratti.

Occorre poter passare alla fase progettuale scrivendo, in una singola pagina: lo scopo applicativo, la natura dei dati, il livello di rischio stimato, i controlli previsti, la gestione dei log e il piano di uscita (sia in caso di chiusura del progetto che di passaggio in produzione).

Se un’organizzazione non è in grado di definire questi punti, non è di fronte a un progetto, ma a una mera idea.

A che serve la legge

Una legge è realmente utile non quando rassicura, ma quando rende possibile decidere con cognizione di causa.

Nel vuoto creato dall’incertezza normativa di questa legge, le decisioni non restano sospese: vengono semplicemente prese da altri, e il vero rischio è quello di restare relegati al ruolo di semplici consumatori di tecnologie altrui.

Gli strumenti tecnici per rendere trasparente l’intelligenza artificiale e gestirne i rischi ci sarebbero. Paradossalmente, questi strumenti potrebbero essere più efficaci di quelli che utilizziamo attualmente per rendere trasparenti le decisioni umane.

Il compito della politica e dei decreti attuativi è quello di metterli a sistema. Non invidiamo chi sarà incaricato di redigere effettivamente la normativa secondaria. Si tratta comunque di un lavoro fondamentale per la sopravvivenza tecnologica del nostro Paese.

Lascia un commento

Su Appunti leggi anche

Regala un'iscrizione