di Riccardo Tripepi
Nel corso di Forward.Talks, evento organizzato da Polimeni.Legal nell’ambito della Milano Digital Week che ha visto anche il debutto di Byte.Legali, l’europarlamentare Brando Benifei, correlatore dell’AI Act e presidente del gruppo di monitoraggio del Parlamento europeo sull’attuazione della normativa, ha ripercorso la genesi della legge, le scelte chiave su trasparenza, divieti e casi d’uso, illustrato il cantiere aperto sul Code of Practice per i modelli più potenti, alla base dell’intelligenza generativa e un’anticipazione che riguarda il possibile rinvio delle norme sui sistemi ad alto rischio, la cui entrata in vigore era prevista per il mese di agosto del 2026. Con una rotta chiara che dovrà essere seguita anche in futuro: evitare assetti oligopolistici, ridurre il rischio di obsolescenza regolatoria e tenere insieme tutele effettive e competitività del mercato europeo.
Quali sono state le principali tappe del percorso che ha portato all’AI Act? Quali sono i suoi punti di forza e le sue criticità? E quale ruolo ha avuto l’Italia nel risultato finale?
L’AI Act non nasce da un impulso improvviso: è il risultato di un percorso istituzionale avviato in epoca Covid con un gruppo di esperti della Commissione, a prevalenza accademica, con alcuni profili industriali e di sviluppo e, in parallelo, con una commissione speciale del Parlamento europeo dedicata all’IA. Per oltre un anno abbiamo ascoltato scienziati, imprenditori (piccole, medie, grandi imprese), esperti internazionali, confrontandoci sull’impatto dei sistemi e sulla necessità di una regolazione dedicata.
L’impianto della proposta originaria della Commissione era incentrato sulla gestione del rischio con l’introduzione delle categorie di alto rischio e di rischio inaccettabile e i relativi divieti. Il passaggio successivo, e qui sta una parte decisiva del contributo di Parlamento e Consiglio, è stata l’aggiunta dei requisiti di trasparenza e delle regole per i modelli più potenti. Questa parte non c’era nel testo iniziale: è entrata dopo, anche perché all’inizio non esisteva il “caso ChatGPT” come lo intendiamo oggi.
Per capirci: parliamo di riconoscibilità dei contenuti sintetici, come il watermarking, di tutela del diritto d’autore in un contesto tecnicamente complesso, e soprattutto di trasparenza contrattuale tra grandi sviluppatori e cliente finale. È un punto che io considero difensivo anti-oligopolio: se pochi sviluppatori decidono unilateralmente quante informazioni rilasciare sui dati, sulle caratteristiche e sui rischi dei modelli, scaricano il rischio a valle su chi integra e sugli utilizzatori finali. Fissare obblighi minimi evita accordi opachi e impedisce che l’asimmetria informativa diventi una barriera strutturale.
Sul capitolo divieti, in riferimento all’uso indiscriminato di sistemi di identificazione e riconoscimento biometrico in spazi pubblici, polizia predittiva, manipolazione subliminale, il Parlamento ha irrigidito l’impianto, dopo un negoziato molto duro con diversi governi, Italia e Francia incluse per alcune parti. Cito pubblicamente il confronto con il ministro Piantedosi proprio perché quelle posizioni sono state esposte in conferenze stampa: qui la nostra linea è stata chiara, restringere il perimetro degli usi di controllo potenziati dall’IA che toccano ordine pubblico e diritti fondamentali.
Anche dal suo racconto emerge chiaro come il legislatore rincorra sempre la tecnologia. Come si può provare a evitare l’obsolescenza?
La scelta architetturale è stata regolare i “casi d’uso”, non la tecnologia in sé, né le imprese, con l’eccezione mirata fatta per i modelli più potenti. Perché? I contesti permangono nel tempo, sanità, lavoro, giustizia, processo democratico, anche quando gli strumenti evolvono.
Dentro questa logica, abbiamo scritto eccezioni puntuali, ad esempio l’art. 6 del testo normativo. Un tool meramente accessorio, come quello che fornisce supporto alla stesura di email o all’archiviazione, non diventa “alto rischio” solo perché usato in ospedale. Viceversa, quando un sistema contribuisce al processo decisionale in contesti sensibili, scatta la verifica ex ante per chi immette sul mercato: dati, cybersecurity, governance, controllo umano… con una procedura che, lo sottolineo, è più leggera di altri settori (alimentare, giocattoli), perché fa ampio affidamento su autocertificazione e su un enforcement a carico delle autorità nazionali e dell’AI Office.
In più, l’AI Act è aggiornabile rapidamente attraverso i quick fix. Non serve cioè riaprire ogni volta l’intera procedura legislativa per fare gli aggiornamenti e questo è un altro antidoto all’obsolescenza.
Cosa prevede il “Code of Practice” per i modelli più potenti e perché è centrale?
È il tassello operativo che specifica gli obblighi dove il regolamento resta principiale, in particolare sui fondazionali usati per la generativa, cioè il perimetro più esposto a rischi sistemici come disinformazione, loss of control, impatti invisibili. Lo abbiamo costruito insieme agli sviluppatori, in circa un anno di lavoro. Nel primo anno del gruppo parlamentare di monitoraggio, questo dossier ha assorbito circa l’80% dell’attività.
Perché è importante? Perché siamo i primi al mondo a mettere in piedi uno scheletro di procedure per gestire i rischi a monte, prima che l’innovazione si scarichi in modo incontrollato a valle. E perché rende più prevedibili requisiti e controlli, aiutando sia le autorità sia gli operatori.
A proposito di attuazione: Mario Draghi ha proposto di non classificare ex ante i sistemi “ad alto rischio”, lasciandoli operare e intervenendo solo dopo. Condivide? E sul calendario: è realistico un rinvio? Con quali condizioni?
Per i sistemi ad alto rischio le regole entrano in vigore ad agosto 2026. Su questo non condivido l’idea di abbandonare l’ex ante: se mettiamo da parte il principio di precauzione, l’Europa non ha un impianto di common law o un modello americano che supplisca. Detto questo, discuteremo nelle prossime settimane perché non escludo che serva qualche mese, se non un anno, di stop the clock per completare gli standard. Ma l’apertura al rinvio, condivisa da molti europarlamentari e di cui discuteremo durante le prossime settimane, non deve essere considerata un via libera a un rinvio senza termine. Sono favorevole solo se la Commissione stabilisce che, alla nuova scadenza, in mancanza di standard, attiverà le Common Specifications, cioè le specifiche comuni redatte dagli esperti. Diversamente, la gestione dell’“alto rischio” non la completeremo mai. E qui parliamo di rischi concreti: sistemi che discriminano le donne nei CV, uso fideistico in ambito clinico senza adeguate garanzie, errori su benefici sociali».
La “terza via” europea tracciata da Ursula von der Leyen anche a Torino esiste davvero? Si possono tenere tutele forti senza soffocare PMI e innovazione?
Questo è il mio argomento preferito. Nell’AI Act abbiamo cercato di fare qualche sforzo, tipo la sandbox obbligatoria. Mi fa sorridere leggere “l’Italia ha messo la sandbox nella legge”: certo, era obbligata da noi, sennò la legge veniva portata direttamente alla Corte. Bene, perché vogliamo un percorso di sostegno all’ingresso sul mercato di nuovi operatori e nuovi prodotti. Poi abbiamo inserito richieste di fare investimenti e speriamo vengano fatti.
Ma il tema di fondo è politico. Come fa l’Europa a competere con USA e Cina ridotta com’è oggi? Faccio un esempio: a Copenaghen, parlo del Consiglio, si è discusso del “muro dei droni”, poi si è detto che la Commissione vuole troppo controllo” e quindi rinviamo anche sugli asset russi che restano congelati. Conclusione: nulla. È l’ennesima riunione che non conclude niente.
Facciamo un gioco: immaginiamo che domani AI Act e persino il GDPR spariscano. L’Europa diventa improvvisamente competitiva? Dubito. Forse qualcosa diventa più semplice, a scapito di altri beni tutelati, ma la competizione riguarda altro: accesso al venture capital, flussi di capitale, l’effetto dell’Inflation Reduction Act negli Stati Uniti, il meccanismo di incorporazione in Delaware. Da noi si discute del “28º regime”, ma è tutto lento e complicato.
Io sono un “estremista dell’Europa unita”: dove vuole andare l’Unione? Anche in Canada, lo diceva da ultimo Chrystia Freeland, guardano all’Europa come “città sulla collina” per regole e interesse pubblico; però oggi non ci riusciamo. Se non facciamo altre cose, l’AI diventa un problema: regoliamo senza implementazione coordinata, senza enforcement centralizzato, senza mercato dei capitali unito e investimenti comuni. Con un bilancio UE all’1% del PIL europeo, la Commissione fa quello che può.
Quando discuteremo di semplificazione, io ci sono, ma la prima semplificazione è applicare in modo unitario le norme che abbiamo: chiaro, stabile, centralizzato. Oggi abbiamo sempre il rischio della frammentazione, che magari è la “gioia” degli avvocati, lo dico scherzando, ma non aiuta. L’ambizione di avere norme comuni e poi proseguire con implementazioni diverse creano incertezza e ritardo. Per me la questione è politica: serve un’Europa più federale e meno confederale; altrimenti pensare di “togliere qualche regola” e diventare subito competitivi è un’illusione»
Che cos’è il “28º regime” e perché interessa alle imprese tech presenti in sala?
Per dirla in modo semplice, è l’idea di avere un regime aggiuntivo oltre ai 27 esistenti per poter stabilire e svolgere la propria attività economica in Europa con un quadro uniforme.
Lo dico anche per un’esperienza diretta: in questa nuova legislatura sono presidente della delegazione per i rapporti con gli Stati Uniti del Parlamento europeo, quindi sono frequentemente negli USA. Di recente sono stato nella Silicon Valley e ho discusso con imprese europee che si sono stabilite lì. Mi ha colpito quanto il tema sia sentito e quanto fossero ben informati, anche sullo stato del dibattito in modo dettagliato, perché lo ritengono estremamente importante per poter ritornare a operare in Europa con maggiore facilità.
Oggi il fatto di avere 27 quadri legali diversi, che per molti aspetti non sono integrati, è un grosso problema per la loro attività. Per questo la proposta del “28º regime” è presente nel rapporto Letta sull’integrazione del mercato unico ed è richiamata anche nel rapporto Draghi. Il tema che si pone proprio quando si parla di rafforzare il mercato interno e ridurre gli attriti regolatori che spingono le nostre aziende a cercare altrove condizioni più semplici.
