L’Unione Europea ha rinviato l’entrata in vigore dell’AI Act, la legge sull’intelligenza artificiale per i sistemi ad alto rischio a dicembre 2027 e sta contemporaneamente valutando soluzioni per allentare il Regolamento generale sulla protezione dei dati (GDPR) per evitare di rimanere indietro rispetto a Stati Uniti e Cina. Il risultato è un delicato equilibrio tra competitività, certezza del diritto e tutela dei diritti fondamentali.
Il rinvio della legge sull’intelligenza artificiale, approvata nel 2024 come primo importante quadro normativo completo al mondo, mira a guadagnare tempo per definire gli standard tecnici e ridurre gli oneri amministrativi. Secondo le stime della Commissione europea, la misura potrebbe far risparmiare alle aziende fino a 225 milioni di euro. Tuttavia, la decisione lascia tecnologie sensibili come l’identificazione biometrica, la valutazione automatica del merito creditizio e la gestione intelligente del traffico urbano senza una copertura chiara per un periodo più lungo.
In un contesto in cui gli attacchi informatici crescono a un ritmo a due cifre e l’intelligenza artificiale si consolida come nuovo vettore di rischio, la semplificazione normativa secondo gli esperti non dovrebbe tradursi in una mancanza di protezione o in un rischio sistemico per cittadini e aziende.
Il rinvio riguarda i sistemi di intelligenza artificiale classificati come “ad alto rischio”, ovvero quelle tecnologie impiegate in ambiti sensibili come la sanità, l’analisi dei curriculum, la valutazione degli esami scolastici, l’approvazione delle richieste di prestito, le infrastrutture critiche e le forze dell’ordine. La Commissione fissa un termine massimo di 16 mesi per implementare le disposizioni, una volta confermata la disponibilità degli standard tecnici necessari a definire cosa rispetta le disposizioni del regolamento e cosa no.
La proposta introduce un meccanismo “stop-the-clock” che sospende temporaneamente l’obbligo di conformità per le aziende. Le regole sui sistemi ad alto rischio, che sarebbero dovuto scattare il 2 agosto 2026, slittano fino a dicembre 2027.
Nel frattempo, Bruxelles sta valutando modifiche all’interpretazione del GDPR, in vigore dal 2018 e punto di riferimento globale per la protezione dei dati. I suoi principi di minimizzazione dei dati e limitazione delle finalità si scontrano con le esigenze dell’IA generativa, che richiede grandi volumi di dati per addestrare modelli avanzati. La Commissione sta valutando la possibilità di riclassificare lo sviluppo dell’IA come attività di interesse pubblico o ricerca scientifica, il che consentirebbe il riutilizzo di dati anonimizzati senza richiedere un nuovo consenso esplicito.
La Commissione europea prevede di presentare nei prossimi mesi una proposta formale su come il GDPR si inserirà nello sviluppo dell’IA, mentre la legge sull’intelligenza artificiale rimane in sospeso. Nel frattempo, il dibattito si sta intensificando all’interno dell’UE: l’Europa può essere leader nell’intelligenza artificiale senza abbandonare la protezione dei dati come uno dei suoi pilastri democratici?