Come al solito in queste occasioni, il dibattito si è diviso tra due fronti: chi celebra la mossa come un atto di coraggio normativo a tutela dei cittadini, e chi la denuncia come l'ennesima dimostrazione del nanismo tecnologico europeo, destinata a soffocare l'innovazione e a favorire USA e Cina.

Come al solito, la verità è più sfumata di entrambe le posizioni.
 

Cosa prevede l'AI Act

Il cuore della norma è una classificazione dei sistemi AI in base al livello di rischio che presentano per le persone. Si va dai sistemi a rischio inaccettabile — che vengono vietati tout court, come il riconoscimento facciale di massa in spazi pubblici o i sistemi di social scoring alla cinese — ai sistemi ad alto rischio, soggetti a requisiti stringenti di trasparenza, audit e certificazione, fino ai sistemi a basso rischio, praticamente liberi da obblighi specifici.

I sistemi ad alto rischio includono quelli utilizzati in aree critiche come la selezione del personale, la concessione di credito, la diagnostica medica, la gestione delle infrastrutture, le decisioni giudiziarie. Chiunque voglia usare AI in questi ambiti dovrà documentare i dati di addestramento, garantire la supervisione umana, certificare l'accuratezza del sistema.

L'ultimo emendamento approvato dal Parlamento riguarda i modelli foundation come GPT-4 e i sistemi generativi come ChatGPT: dovranno rispettare obblighi di trasparenza sui dati usati per l'addestramento e sulle capacità del sistema, e qualsiasi contenuto generato da AI dovrà essere identificabile come tale.
 

Le preoccupazioni dell'industria tech

Le grandi aziende tecnologiche — americane ed europee — hanno risposto con preoccupazione, e alcune delle loro obiezioni non sono infondate.

Il primo problema è la velocità. L'AI evolve a una velocità che il processo legislativo europeo non riesce a seguire. Una norma pensata per GPT-4 rischia di essere già obsoleta prima di entrare in vigore, se nel frattempo emergeranno sistemi radicalmente diversi.

Il secondo è la complessità di applicazione. Definire cosa costituisca un sistema ad "alto rischio" nella pratica è enormemente più complicato che scriverlo in un testo di legge. Un sistema di selezione del personale basato su AI — soggetto a obblighi stringenti — può essere una funzionalità di un software HR generico, che potrebbe non sapersi neanche di avere. Come si regola qualcosa che è integrato in migliaia di prodotti diversi?

Il terzo è la competitività. Se le aziende europee devono sostenere costi di compliance che le loro concorrenti americane e cinesi non hanno, rischiano di perdere terreno nei mercati internazionali. È una preoccupazione legittima, anche se va contestualizzata: le stesse preoccupazioni si fecero quando arrivò il GDPR, e il mercato digitale europeo non è collassato.
 

Il GDPR come modello (con i suoi limiti)

Il paragone con il GDPR è inevitabile. Anche in quel caso l'Europa fu la prima a legiferare sulla privacy dei dati, con critiche feroci sul fatto che avrebbe ucciso l'innovazione. Quello che è successo invece è che il GDPR è diventato di fatto uno standard globale: molte aziende americane e asiatiche si sono adeguate alle sue norme perché preferivano gestire un unico regime di compliance piuttosto che standard diversi per ogni mercato.

Lo stesso effetto "Brussels effect" potrebbe verificarsi con l'AI Act: non è detto che regolamentare per primi significhi perdere competitività. Può significare definire le regole del gioco a cui tutti gli altri dovranno adeguarsi.

Il problema del GDPR che non vorremmo vedere replicato è l'applicazione. La norma sulla privacy ha prodotto migliaia di pagine di linee guida, anni di incertezza interpretativa, e sanzioni che nella grande maggioranza dei casi hanno colpito le PMI incapaci di sostenere i costi legali della compliance, mentre i giganti tech americani continuano a operare con modelli di business che molti esperti giudicano incompatibili con la norma.

Se l'AI Act avrà la stessa applicazione asimmetrica, il risultato sarà che le startup europee e le PMI saranno strangolate dalla burocrazia mentre Google, OpenAI e Meta la gestiranno con i loro eserciti di legali.
 

Cosa significa per chi usa AI nel lavoro quotidiano

Per chi, come noi, usa strumenti basati su AI nel lavoro di ogni giorno — dalla generazione di contenuti all'analisi dei dati, dall'ottimizzazione SEO alla creazione di immagini — l'AI Act nella sua forma attuale non cambierà molto nell'immediato.

Le norme si applicheranno principalmente ai fornitori di sistemi AI, non agli utenti finali. L'impatto pratico dipenderà da come i grandi provider — OpenAI, Google, Adobe, Microsoft — si adegueranno ai requisiti di trasparenza e dai costi che trasmetteranno a valle.

Ciò che cambierà, e già sta cambiando, è la consapevolezza: clienti e fornitori iniziano a fare domande sull'AI che usano. Da dove vengono i dati di addestramento? Come vengono gestiti i contenuti immessi? Quali garanzie ci sono sulla riservatezza? Sono domande legittime a cui occorre saper rispondere.
 

La nostra posizione

Siamo favorevoli alla regolamentazione dell'AI. Non per conservatorismo tecnologico — anzi — ma perché sistemi potenti senza regole producono danni concreti a persone reali. L'abbiamo visto con i social media, dove l'assenza di regole ha permesso la proliferazione di disinformazione, hate speech e manipolazione dell'opinione pubblica su scala industriale.

L'AI è più potente dei social media. Regolamentarla prima che i danni diventino sistemici è più intelligente che cercare di correre ai ripari dopo. Il rischio è di farlo male. Speriamo che l'Europa faccia tesoro degli errori del GDPR più che dei suoi successi.