di Ernesto Belisario
La legge italiana sull'IA ancora
non c'è, ma è più vicina: la Camera dei deputati l'ha licenziata con alcune
modifiche. In attesa dell'approvazione definitiva del Senato, ecco le
principali novità.
La corsa globale alla
regolazione dell’IA
Abbiamo trasformato l’ambiente
in cui viviamo in modo così radicale che dobbiamo ora trasformare noi stessi
per poterci vivere. Non possiamo più abitare quello di prima. Il progresso non
offre solo nuove possibilità per il futuro, ma impone anche nuovi vincoli.
Queste parole sembrano
attualissime, e lo sono, ma in realtà furono pubblicate per la prima volta nel
libro ‘L'uso umano degli esseri umani’ pubblicato nel
1950 da Norbert Wiener, il padre della cibernetica.
Quando Wiener scriveva queste
righe, l’IA era un’ipotesi accademica. Eppure, la sua intuizione fotografa
perfettamente la situazione che stiamo vivendo settantacinque anni dopo: mentre
l’IA evolve a velocità senza precedenti, governi e parlamenti di tutto il mondo
stanno approvando norme relative allo sviluppo e all’uso dell’intelligenza
artificiale.
Fuori dalla retorica che vuole
solo l’UE impegnata a “burocratizzare la tecnologia”, moltissimi Paesi stanno
cercando di capire quali regole scrivere per cogliere le opportunità di questa
rivoluzione, riducendo i rischi (per gli individui e per la società). Soltanto
nelle ultime settimane, Giappone e Kazakhstan si sono aggiunti all’elenco di chi vuole
approvare la migliore regolazione possibile dell’IA.
Le soluzioni normative adottate
nei diversi ordinamenti giuridici possono differire significativamente, poiché
rispecchiano i valori fondamentali e i principi-guida che caratterizzano
ciascun contesto nazionale. Ad esempio: in Europa prevalgono sempre i diritti e
le libertà degli individui, mentre negli USA c’è una grande enfasi sulla
necessità di conservare la leadership mondiale (tecnologica ed economica).
Questa “corsa” alla regolazione,
però, è piena di insidie. Bisogna coniugare il metodo democratico - e la
necessità di ponderazione e dibattito - con la velocità dello sviluppo
tecnologico, in modo da evitare l’adozione di norme destinate a essere rapidamente
obsolete. Bisogna conoscere gli aspetti tecnici e le prassi di sviluppo e
testing per evitare regole inadeguate o, addirittura, dannose. Bisogna evitare
“norme manifesto” (che non aggiungano molto agli ormai noti - e talvolta fumosi
- principi etici di “trasparenza” e “controllo umano”) ma anche meccanismi di
compliance troppo complessi da comprendere e rispettare (come quelli che
comportano l’adozione di centinaia di pagine di linee guida attuative).
Ovviamente - ed è importante
sottolinearlo - nessuno dispone di una "ricetta" definitiva: ci
troviamo di fronte a un fenomeno ancora nuovo e in rapida evoluzione, senza
dati sufficienti per determinare quale sia l'approccio regolatorio più efficace,
tanto più considerando che molte norme (come l’AI Act) richiederanno anni per
essere pienamente attuate e produrre i loro effetti.
Il DDL italiano sull’IA:
a che punto siamo?
Anche l’Italia partecipa a questa
corsa, con i suoi modi e i suoi tempi.
Come i lettori di LeggeZero sanno, il Governo - ad aprile 2024 - ha avviato l’iter parlamentare per approvare una legge organica in materia di IA. Nei giorni scorsi, il disegno di legge è stato approvato in seconda lettura dalla Camera dei deputati con 136 sì, 94 no e 5 astenuti.
Il provvedimento,
però, non è ancora legge.
Il testo, infatti, era stato già
approvato dal Senato il 20 marzo 2025, ma gli emendamenti approvati da
Montecitorio rendono necessario un ulteriore passaggio nell'altro ramo del
Parlamento per la definitiva approvazione.
A questo punto, non si attendono
particolari sorprese e la legge potrebbe essere già pubblicata entro l’estate.
Tanto più che l’Italia - come gli stati membri UE - deve designare le autorità
competenti per l’applicazione dell’AI Act entro l’inizio del mese di agosto
2025 e tale designazione è contenuta proprio in questo provvedimento.
Qui sotto potete scaricare (in
.pdf) il testo approvato dalla Camera dei Deputati (che quindi dovrebbe essere
quello che diverrà legge), mentre qui trovate la scheda per seguire i lavori
parlamentari (testo originario, audizioni, emendamenti, esame in commissione).
Struttura del provvedimento
Il disegno di legge approvato
dalla Camera è composto da 28 articoli e mira a stabilire una cornice normativa
nazionale per uno sviluppo corretto, trasparente e responsabile dell'IA.
Oltre
ad enunciare alcuni principi, la norma definisce il sistema di governance
italiana dell’IA e detta alcune previsioni settoriali dalla pubblica
amministrazione alle professioni, dalla sanità alla giustizia (ci sono però
assenti eccellenti: come il settore dei trasporti e quello della scuola).
Questi i sei capi in cui è
articolato il provvedimento:
- Principi e finalità (artt. 1-6)
- Disposizioni di settore (artt. 7-18)
- Strategia nazionale, autorità nazionali e azioni di
promozione (artt. 19-24)
- Disposizioni a tutela degli utenti e in materia di
diritto d’autore (art. 25)
- Disposizioni penali (art. 26)
- Disposizioni finanziarie e finali (artt. 27-28)
Il provvedimento ha subito poche
modifiche rispetto alle versioni precedenti, per cui sono ancora valide le
considerazioni che abbiamo riportato in LeggeZero #22 e LeggeZero #66, a cui rinviamo per un esame sistematico del
Disegno di Legge.
Le novità del testo approvato
dalla Camera
La versione della legge così come
appena approvata dalla Camera presenta poche modifiche chiave rispetto al testo
votato dal Senato a marzo. Tra le novità sostanziali spiccano
un principio a tutela del dibattito democratico, maggior enfasi sul ruolo delle
PMI nell’ecosistema IA, maggiori garanzie per i minori, la soppressione
dell’obbligo di server nazionali per l’IA nella pubblica amministrazione e
l’istituzione di un Comitato di coordinamento presso la
Presidenza del Consiglio per attuare la strategia nazionale. Vediamole in
dettaglio.
Libertà del dibattito
democratico e sovranità digitale
La nuova versione del
provvedimento contempla espressamente la tutela dei processi democratici
dall’uso distorto dell’IA. All’articolo 3 (Principi generali)
è stata inserita una previsione che stabilisce che “l’utilizzo di
sistemi di intelligenza artificiale non deve pregiudicare la libertà del
dibattito democratico da interferenze illecite, da chiunque provocate” e
che vanno tutelati la sovranità dello Stato e i diritti fondamentali dei
cittadini.
Questa aggiunta - più che
condivisibile - mette nero su bianco più i rischi noti (di manipolazione
dell’opinione pubblica o di alterazione dei processi elettorali) che soluzioni
o risposte concrete.
Enfasi sul ruolo di micro,
piccole e medie imprese
Un’altra modifica riguarda i
princìpi di sviluppo economico legati all’IA. All’articolo 5, la
Camera ha esplicitato la necessità di promuovere lo sviluppo dell’IA
come strumento a supporto del tessuto produttivo nazionale, in particolare
composto da micro, piccole e medie imprese (PMI). Viene quindi
riconosciuto che le PMI sono un elemento portante dell’innovazione italiana e
devono essere coinvolte e sostenute nella trasformazione digitale. Inoltre, nel
medesimo articolo si menziona espressamente la robotica come
tecnologia da favorire congiuntamente all’IA nel migliorare l’interazione
uomo-macchina.
Ancora una volta, il principio è
più che condivisibile ma non è specificato quali saranno gli strumenti adottati
per implementarlo.
Protezione dei minori
Sul fronte dei diritti e della
privacy, la Camera ha introdotto un’importante modifica all’articolo 4 (Principi
in materia di informazione e riservatezza dei dati personali) per tutelare i
più giovani. Nel nuovo comma 4, si stabilisce che l’accesso a
tecnologie di IA da parte di minori di 14 anni, e il trattamento dei loro dati
personali, richiedono il consenso di chi esercita la responsabilità genitoriale.
Per i minorenni dai 14 anni in su, viene prevista la possibilità di
esprimere direttamente il proprio consenso all’uso di sistemi IA, purché siano
fornite informazioni adeguate e comprensibili, in linea con quanto già previsto
dalle norme sulla protezione dei dati personali.
Si tratta di una novità
interessante, anche perché è noto che bambini e ragazzi sono tra i più assidui
utenti di smart toy e app IA (per compiti ed esami). Il tema della verifica
dell’età diventa sempre più centrale, anche normativamente, nella speranza di
non ripetere l’esperienza avuta con i social (dove tale verifica raramente è
stata effettiva).
Eliminato l’obbligo di server
nazionali per le IA della PA
Una delle modifiche più dibattute
(e attese) riguarda il tema della sovranità digitale e localizzazione
dei dati. All’articolo 6 (Sicurezza e difesa nazionale),
la versione del Senato conteneva una disposizione controversa: “i
sistemi di intelligenza artificiale destinati all’uso in ambito pubblico […]
devono essere installati su server ubicati nel territorio nazionale” (salvo
i sistemi militari all’estero). Questo obbligo di data center nazionali era
stato giustificato in nome della sicurezza dei dati dei cittadini, ma aveva
suscitato forti critiche. In sede tecnica e politica si è fatto notare che una
norma del genere avrebbe potuto impedire l’uso di servizi diffusi ma
ospitati su infrastrutture tecnologiche localizzate in Paesi diversi
dall’Italia, frenando l’approvvigionamento di strumenti utili a modernizzare il
settore pubblico.
Di fronte a queste critiche, la
Camera ha fatto marcia indietro: la disposizione è stata soppressa.
Si è quindi optato per un
approccio più flessibile e compatibile con il mercato globale del cloud,
evitando di introdurre barriere geografiche rigide e
controproducenti.
Comitato per l’attuazione
della strategia nazionale IA
Altra novità è la creazione di un
organismo di coordinamento centrale per la politica nazionale sull’IA. All’articolo
19, è stata prevista l’istituzione del Comitato di coordinamento
delle attività di indirizzo sugli enti, organismi e fondazioni
operanti nel settore dell’innovazione digitale e dell’IA. Questo Comitato
sarà presieduto dal Presidente del Consiglio dei ministri (o
da un suo delegato) e composto dai rappresentanti dei ministeri chiave
(Economia e Finanze, Imprese e Made in Italy, Università e Ricerca, Salute,
Pubblica Amministrazione), oltre che dall’Autorità delegata per la sicurezza
della Repubblica e cybersicurezza e dal responsabile per l’Innovazione
tecnologica. Potranno inoltre essere invitati alle riunioni esponenti di AgID,
ACN, Banca d’Italia, Consob, IVASS e altri soggetti in base agli argomenti
trattati.
Il ruolo del Comitato -
che non sembra limitato solo all’IA ma si estende all’innovazione digitale in
generale - sarà di indirizzo strategico e raccordo: dovrà coordinare e
promuovere le attività di ricerca, sperimentazione, diffusione e
adozione dell’IA nei vari soggetti pubblici. Inoltre, avrà il compito di
individuare i beneficiari di finanziamenti pubblici in ambito IA e vigilare
sulla corretta implementazione dei progetti finanziati. Un altro compito chiave
sarà armonizzare le politiche di formazione sulle competenze digitali e
di IA, assicurando coerenza tra le iniziative dei diversi attori. In
sintesi, il Comitato fungerà da cabina di regia nazionale sull’intelligenza
artificiale, per evitare duplicazioni e disallineamenti tra ministeri, agenzie
e altri organismi.
Attenzione però: l’esperienza
della vecchia “cabina di regia sull’agenda digitale” non è stata delle più
esaltanti, occorre imparare dagli errori del passato.
Le Autorità competenti:
conferme e aggiustamenti
Nonostante le richieste di
rivedere questa scelta, il testo approvato dalla Camera conferma:
- l’Agenzia per l’Italia Digitale (Agid) come
autorità di notifica;
- l’Agenzia per la Cybersicurezza Nazionale (ACN)
come autorità di vigilanza del mercato e punto di contatto unico con le
istituzioni dell’UE, in conformità all’articolo 70 dell’AI Act.
La norma ribadisce espressamente
che restano invariate le competenze del Garante Privacy e dell’Autorità per le
Garanzie nelle Comunicazioni (Agcom), quest’ultima designata anche come
Coordinatore dei Servizi Digitali ai sensi del D.Lgs. 123/2023.
Insomma, un modo per dire che lo
stesso progetto IA potrebbe costringere un fornitore o un utilizzatore a
rapportarsi con quattro autorità diverse, non proprio una semplificazione.
I nodi irrisolti
Oltre a quello della governance,
il testo del DDL approvato dalla Camera dei deputati - che a questo punto
dovrebbe essere quello finale - lascia ancora irrisolte alcune questioni che
rischiano di comprometterne l’efficacia.
In primo luogo, la clausola
di invarianza finanziaria prevista dall’art. 27:
Dall’attuazione della presente
legge, ad esclusione dell’articolo 21, non devono derivare nuovi o maggiori
oneri a carico della finanza pubblica. Le amministrazioni pubbliche interessate
provvedono all’adempimento delle disposizioni della presente legge con le
risorse umane, strumentali e finanziarie disponibili a legislazione vigente.
In altre parole, non
viene stanziato alcun fondo aggiuntivo a supporto delle misure
previste (ad esempio per il potenziamento delle autorità di controllo,
l’introduzione dell’IA nelle amministrazioni o la realizzazione di programmi di
AI literacy). Tale impostazione contrasta con quanto stanno facendo altri
Paesi, che invece stanziano cifre imponenti: senza guardare oltreoceano, la
Francia, ad esempio, ha annunciato l’investimento di 109 miliardi di
euro per finanziare progetti di IA nei prossimi anni.
Un secondo nodo problematico è l’eccessivo
ricorso a decreti attuativi: il DDL demanda infatti l’effettiva
implementazione di molte disposizioni a una serie di successivi regolamenti e
decreti (almeno sei), una proliferazione normativa che rischia di rendere la
legge inattuata o quantomeno di rallentarne significativamente la piena
applicazione. Sappiamo, infatti, che l’attesa di regole attuative e linee guida
corre il rischio di paralizzare l’azione di istituzioni e mercato.
Infine, è la stessa “velocità”
dell’iter di questo provvedimento che ci deve fare riflettere. Dopo 14 mesi (di
cui ben 11 trascorsi per il primo esame da parte del Senato), il DDL non è
ancora stato definitivamente approvato. Si tratta di un tempo usuale per
l’adozione dei provvedimenti normativi nel nostro Paese, ma decisamente
inadeguato a quanto sta succedendo nel mondo dell’IA. Per comprenderlo meglio,
basti pensare che, nello stesso periodo in cui il Parlamento è stato impegnato
nell’esame di questa legge:
- lo sviluppo dell’IA è avanzato a ritmi mai visti
prima: il numero di modelli linguistici di grandi dimensioni è passato da
12 a 35;
- gli utenti globali di ChatGPT sono passati da 180
milioni di utenti attivi almeno una volta al mese (aprile 2024) a 800
milioni di utenti attivi almeno una volta a settimana (giugno 2025).
Siamo sicuri che per provare a
stare al passo di questa rivoluzione - al posto dei metodi tradizionali - non
servano tecniche normative tanto innovative quanto la tecnologia che
pretendiamo di regolare?
l disegno di legge approvato
dalla Camera spiegato dall’IA
Questa settimana - al posto del
consueto vocale - abbiamo provato a fare un esperimento: abbiamo chiesto all’IA¹ di
trasformare il testo legislativo del DDL sull'IA recentemente approvato alla
Camera in un video esplicativo.
Il risultato, che potete vedere
qui sotto, offre - in poco più di 3 minuti - una lettura organica, anche se
molto didascalica, dei principali punti della norma.
Consultate il link: 🤖 Ecco cosa conterrà la legge italiana sull'IA - Legge Zero #80
dove troverete anche interessanti
infografiche
Nessun commento:
Posta un commento