In questi giorni sta facendo notizia che un gruppo di società di rilievo e di competenti manager ha inviato una richiesta all’attenzione della Ue di rinvio per l’applicazione dell’Ai Act.
E’ noto che le scadenze prefissate per questo testo unico, più simile ad un arcipelago che a una norma di coordinamento, sollevano numerose perplessità.
Rammentiamo che è previsto che l’AI Act entri in vigore il 2 agosto 2025. E che il regolamento approvato nel 2024 (Reg. UE 2024/1689: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=OJ:L_202401689 ) stabilisce letteralmente: “regole armonizzate sull’intelligenza artificiale” e modifica numerosi altri precedenti regolamenti fra cui quello sull’Ai del 2020. Mentre la sua piena applicabilità (??) è demandata alle successive scadenze che la proiettano al biennio 2026/2027 (in particolare per i modelli di Ai generativa che hanno capitalizzato una parte rilevante dell’interesse stop & go degli ultimi tempi).
Alla luce di questa iniziativa di società e manager, rileviamo come sia in corso un confronto tra il realismo di chi fa impresa, ed è chiamato a dotarsi di Ai (o a progettare modelli competitivi), e l’elaborazione di legislatori che dovrebbero disciplinare il modo efficace e produttivo con cui fare impresa.
La critica sostiene che l’Ai Act sia stato concepito con troppe anime al suo interno. Frutto e conseguenza di un lobbismo che lo avrebbe sganciato dal realismo.
Il paradigma su cui è stato costruito il testo unico sarebbe un sistema di controllo basato su continue verifiche e autorizzazioni, con una modulistica e serializzazione del flusso di informazioni più logiche che pratiche: meglio un documento in più, “nel dubbio chiediamo e verifichiamo”.
I continui interventi con cui si è cercato di direzionare (e correggere) alcune parti di questo testo unico – optando per rimandi, allegati, partizioni separate – possono persino sembrare essere stati scritti con il senno di poi, forse più per cambiare rotta “strada facendo”, se non per esigenze giustificative (e difensive) a fronte di critiche costanti.
Da qui alcune mancanze di sinergia nel corpus normativo, di armonizzazione con altre norme (persino decisioni della giurisprudenza europea) o quelle che sembrano ripetizioni fra loro sovrapponibili.
Tutto ciò è allarmante. Secondo alcune osservazioni si sarebbe finito per trasformare un’opportunità in un arcipelago di burocrazia, col rischio di danneggiare la produttività, ed essere inefficaci negli scopi prefissati.
Il continuo monitoraggio demandato a chi deve inviare una mole di informazioni per ottenere autorizzazioni, crea informazioni ingestibili anche perché impone la tenuta delle stesse come se fosse la riforma del catalogo di una Biblioteca. A tratti è difficoltoso comprendere quale sia l’esigenza di trasmettere alcuni documenti, come pure la necessità di ordinarli secondo un metodo che non è il più funzionale, e sconfina in un imposizione interna alla gestione e all’autonomia delle imprese.
Se è vero che si dovrebbe fare un uso consapevole del coordinamento a monitorare lo sviluppo di questa tecnologia e garantire trasparenza, non vi è prova che questa sia la strada necessaria. Anzi, potrebbe benissimo essere la strada maestra per ottenere l’opposto.
Costringendo le società a una forte spendita di attenzione e contenuti in una compliance che assorbirebbe energie e risorse sottraendole a meccanismi più efficaci di monitoraggio interno.
Senza poi contare il problema della riservatezza di cui certi progetti dovrebbero godere.
L’ispirazione al controllo totalizzante dovuta a una necessità di sicurezza, è diventata eccessiva per premure più emotive che razionali. Il che ha portato a una serie di contenuti che non si comprendono. Pur considerando che tali rischi non si sono mai realizzati. Infatti, i rischi potenziali sono scenari teorici. Sui quali si chiede un intervento per scongiurare quello che “potrebbe” accadere. Di conseguenza, non si può escludere che l’unica certezza sia che questo accada nell’ottica di vendere questo controllo su ipotetici rischi.
Negli ultimi anni sono nate molte sigle di organizzazioni o associazioni che si sono definite autorevoli nella sicurezza sull’Ai. Autorevolezza non dimostrata. Nel 99% dei casi nessuna di queste realtà può sostenere con certezza di avere scongiurato un rischio. Queste organizzazioni presentano team di esperti con ottimi curriculum vitae, ma difettano di esperienza diretta, e leggendo la loro saggistica, la stessa si basa sulla fascinazione del pregiudizio che l’Ai comporterebbe.
Se da un lato l’eccesso di burocrazia e la conseguenza di logiche della spartizione (come del compromesso) è un mostro di vecchia data, nel contempo non si vuole nemmeno creare una terra di nessuno, una teocrazia tecnologica invasiva e scevra da controlli che elogiano il deux ex machina.
Come tutte le tecnologie è necessario avere un livello di attenzione elevato e valutare ogni scenario. Introducendo strategie di sicurezza e un coordinamento per prendere decisioni su certi studi e relative fasi di sviluppo.
Il monitoraggio dinamico significa snellire in modo omogeneo il sistema di analisi e valutazioni per (ri)costruirlo, come un percorso. Personalizzandolo su ogni realtà. Non un grande fratello statico e vigile, bensì una condotta “autoimparante” dove l’Ue divenga un partner utile e responsabile che affianca l’impresa. Per aiutarla. Per cogliere gli aspetti utili alla collettività e alla produttività come pure – se del caso -, isolare quelli più problematici.
Alcune parti dell’Ai Act potrebbero essere più funzionali se esaminate a sé stanti. Osservato sotto l’angolatura normativa più che regolamentare, alcuni aspetti – la classificazione in base al rischio e il concetto di priorità – sembrano avere una migliore cognizione di causa. Se non altro meno filosofica e più pratica.
Per ottenere questi risultati non sembra utile portare pezzi alla rinfusa di un’impresa al controllo dell’Ue. Ma fare in modo che un diverso concetto di supervisione dell’Ue vada nelle imprese.
Il legislatore deve innovare.
Difficile ipotizzare come tutte queste esigenze possano realizzarsi in una burocrazia esasperante. Quasi dissuasiva. L’opera di teorici che non fanno impresa ma reagiscono agli stimoli organizzativi del compromesso istituzionale, ci pare un pericolo più certo di quanto non siano al momento le Ai in circolazione.
Perché ci lascerebbe indietro. Come sistema. Come Nazioni. Ci farebbe perdere il vantaggio competitivo di poter eccellere in questa tecnologia trasformativa. Costringendo le imprese europee a dover andare al traino di altre dove, non solo si farebbe impresa di più e meglio, ma si venderebbe un prodotto che saremmo per l’ennesima volta costretti a comperare.
L’ultima novità, il codice di condotta per i modelli Ai ad uso generale ( https://digital-strategy.ec.europa.eu/en/policies/contents-code-gpai ) sembra la prova provata dellle difficoltà che si porta dietro l’Ai Act. Di fatto trasmette l’impressione di essere un correttivo strutturato sulla falsariga di una spiegazione su cosa si dovrebbe fare, come e perché.
Un codice di condotta insoddisfacente sotto molteplici punti di vista, a cominciare dall’eccessiva semplificazione. Spiace, ma per le imprese è evidente che sia un codice relativamente utile e poco autorevole. Pur se facoltativo (forse tale proprio per il suo limitato impatto). Organizzato in tre macro aree (che contengono direttive che si sposano poco con l’aspetto regolamentare della produzione normativa europea) che sembrano la segnaletica per strade dove la viabilità è poco chiara. Apprezzabile il tentativo di armonizzare con altre norme europee dando l’impressione di considerare anche la giurisprudenza formatasi su alcune fattispecie e aree del diritto. Tuttavia potrebbe non risolvere, anzi confermare ciò che manca e quello che avrebbe dovuto esserci prima.
La sensazione è che la non capacità di ascoltare alcune voci discordanti, abbia provocato uno strappo dovuto al dissenso represso, per sanare il quale non si spiega come funziona un quadro normativo confusionario.
Ci si rende conto che sull’Ai Act sono nate e si sono sviluppate delle offerte commerciali. Ha cioè generato da subito un indotto. Verosimilmente, però, è conseguenza di un eccesso di premura che ha spinto diversi operatori a posizionarsi sull’arcipelago di contenuti dell’Ai Act per offrire servizi che vanno dalla consulenza ai corsi, master e molto altro ancora. Una parte dei quali peraltro già erogata (anche a pagamento). E’ stata una gara più commerciale che responsabile e anch’essa avrebbe potuto essere meglio organizzata.
L’invito all’Ue è di ascoltare le voci del dissenso. Che parlano di protocolli interni alle imprese, non di autorizzazioni continue e invasive. Parlano di autoregolamentazione. Di verifiche, non indagini. Corriamo il rischio che alcuni settori escano ridimensionati e finiscano per trasformarsi in un mostro di burocrazia, dove carteggi impazziti sotto forma di allegati e moduli creano le condizioni per non consentire alle imprese di essere competitive.
In conclusione, è doveroso sollecitare di prestare attenzione alle richieste di società che sanno di cosa parlano, evitando il diktat di non voler fare un passo indietro per non ammettere che si sarebbe dovuto / potuto procedere diversamente.
Marco Solferini, legale, collaboratore Aduc e responsabile sede di Bologna
