Confrontare Mele con Arance: Una Tassonomia per Orientarsi nel Panorama Globale della Regolamentazione dell’IA

• Autori: Sacha Alanoca, Shira Gur-Arieh, Tom Zick, Kevin Klyman
• Titolo Originale: Comparing Apples to Oranges: A Taxonomy for Navigating the Global Landscape of AI Regulation

Il mondo della governance dell’intelligenza artificiale (IA) sta vivendo una trasformazione senza precedenti. Da un approccio basato principalmente su “soft law” – come strategie nazionali e linee guida volontarie – si sta assistendo a una rapida transizione verso regolamentazioni vincolanti, la cosiddetta “hard law”. Questo cambiamento ha generato un panorama legislativo complesso, difficile da navigare e interpretare.

La crescente proliferazione di annunci e iniziative sulla regolamentazione dell’IA sta creando confusione. Le definizioni di “regolamentazione dell’IA” sono spesso ambigue, portando il pubblico a credere di essere più protetto di quanto non sia in realtà. Framework regolatori divergenti rischiano di frammentare la cooperazione internazionale, mentre la mancanza di chiarezza sulle normative ostacola la partecipazione di diversi stakeholder (cittadini, sindacati, accademici), aumentando il rischio che gli interessi di pochi (la “regulatory capture”) influenzino il processo legislativo.

Per affrontare queste sfide, è fondamentale fare chiarezza. Questo studio propone una bussola: una tassonomia strutturata per mappare e confrontare il panorama globale della regolamentazione dell’IA. Analizzando cinque “early movers” – l’Unione Europea, gli Stati Uniti, il Canada, la Cina e il Brasile – gli autori delineano le caratteristiche chiave delle loro normative vincolanti, offrendo uno strumento per comprendere le complessità e favorire una governance globale più coordinata e inclusiva.

Il Punto Chiave: Distinguere Linee Guida e Leggi Vincolanti

Uno dei contributi fondamentali di questo lavoro è la netta distinzione tra soft law e hard law. Molte iniziative etiche o strategiche (soft law) vengono spesso definite “regolamentazione IA”, ma non hanno forza di legge vincolante. Le vere regolamentazioni IA, secondo gli autori, sono misure legalmente obbligatorie emanate da autorità governative. Confondere i due approcci può generare un falso senso di sicurezza e diluire gli standard regolatori.

Pensiamoci un attimo: un conto è un codice di condotta volontario per un’azienda, un altro è una legge che impone obblighi specifici con sanzioni in caso di non conformità. Entrambi contribuiscono alla “governance” dell’IA, ma solo il secondo è “regolamentazione” nel senso stretto di legge coercitiva. Questa distinzione è cruciale per un dibattito pubblico informato e per una reale tutela dei cittadini.

Una Tassonomia Multidimensionale: Gli 11 Criteri di Analisi

Per confrontare approcci regolatori così diversi tra loro – un po’ come appunto “comparare mele con arance” – gli autori hanno sviluppato una tassonomia basata su 11 metriche chiave. Questi criteri, selezionati in modo iterativo e validati da esperti legali e politici, permettono di analizzare la “larghezza” e la “profondità” delle normative IA:

1. Stato: La normativa è stata formalmente adottata come legge? (Oppure è ancora una proposta?)
2. Novità: Si tratta di una legge nuova creata specificamente per l’IA, o un adattamento di leggi esistenti (es. privacy, sicurezza)?
3. Maturità del Panorama Legale Digitale: Quanto è avanzato e solido il quadro normativo digitale generale del paese/regione (es. protezione dati, moderazione contenuti)?
4. Raggiungibilità (Reach): Chi è soggetto alla normativa? Settore industriale, agenzie governative/federali, individui/cittadini?
5. Applicazione (Enforcement): Quali meccanismi esistono per monitorare e far rispettare la legge? (Segnalazioni continue, audit di terze parti, agenzie esistenti/nuove, responsabilità legale, sandbox regolatorie).
6. Sanzioni: Quali poteri legali hanno le autorità di controllo? (Accuse penali, multe, ingiunzioni temporanee/permanenti).
7. Operazionalizzazione: Come vengono tradotti in pratica i requisiti legali? (Definizione di standard, processi di audit, disponibilità di competenze tecniche nelle autorità).
8. Cooperazione Internazionale: La normativa si allinea con framework globali (es. principi OCSE IA)?
9. Consultazione degli Stakeholder: In che misura la società civile e il settore privato sono stati inclusi nel processo legislativo?
10. Approccio Regolatorio: È un approccio ex ante (preventivo, prima che il sistema sia diffuso) o ex post (reattivo, dopo che si è verificato un danno)?
11. Livello di Regolamentazione: L’obiettivo principale è la tecnologia sottostante (es. modelli generativi, modelli fondazione) o l’applicazione specifica dell’IA in determinati contesti (es. sanità, finanza)?

Questi criteri offrono una griglia potente per dissezionare normative complesse e confrontarle in modo strutturato.

Uno Sguardo Comparativo: I Primi 5 Attori

Applicando questa tassonomia ai cinque “early movers”, lo studio rivela differenze e punti in comune significativi:

• Stato e Evoluzione: L’UE (AI Act), la Cina (Misure Provvisorie per i Servizi IA Generativi) e gli Stati Uniti (Ordine Esecutivo 14110, sebbene revocato a gennaio 2025 come nota il paper) avevano adottato framework vincolanti al momento della stesura. Il Brasile (AI Bill 2338/2023) era in attesa di approvazione finale, mentre la proposta del Canada (AI and Data Act – AIDA) sembrava in stallo. Questo dimostra la natura dinamica e a volte non lineare del processo legislativo.
• Maturità del Panorama Legale Digitale: UE e Cina emergono con paesaggi legali digitali molto maturi, con normative IA che si innestano su solide basi di leggi sulla privacy, contenuti digitali, ecc. Brasile e Canada hanno una maturità intermedia, con buone basi sulla privacy ma meno consolidate altrove. Gli Stati Uniti, nonostante siano leader nell’innovazione IA, hanno un panorama federale meno maturo per la regolamentazione specifica dell’IA, affidandosi di più a leggi settoriali esistenti.
• Approccio Orizzontale vs. Verticale: UE, Canada e Brasile tendono a un approccio prevalentemente orizzontale (regolando l’IA in base al rischio/impatto su diversi settori). Gli Stati Uniti hanno storicamente un approccio più verticale e settoriale (adattando leggi esistenti per l’impiego, l’edilizia, ecc.). La Cina si posiziona in un punto intermedio, con regole vincolanti per specifiche tipologie di IA sotto l’ombrello di leggi più ampie. Nessun paese è puramente uno o l’altro, ma presentano prevalenze diverse.
• Approccio Ex Ante vs. Ex Post: L’UE (AI Act) e il Brasile (proposta di legge) mostrano una forte enfasi sull’approccio ex ante (preventivo), richiedendo valutazioni del rischio e conformità prima del dispiegamento, specialmente per i sistemi ad alto rischio. Gli Stati Uniti hanno storicamente fatto più affidamento su approcci ex post (reattivi), basati sulla responsabilità legale dopo che si è verificato un danno. Tuttavia, anche l’Ordine Esecutivo statunitense includeva requisiti ex ante per i modelli più potenti. Tutti i framework includono elementi di entrambi gli approcci.
• Focus su Tecnologia vs. Applicazione: Stati Uniti e Cina tendono a focalizzarsi maggiormente sulla tecnologia sottostante (es. IA generativa, modelli di fondazione). UE, Canada e Brasile, che inizialmente si sono concentrati sulle applicazioni (es. sistemi ad alto rischio in sanità, finanza), hanno successivamente aggiunto requisiti specifici per i modelli di IA generativa (GPAI), adottando un approccio ibrido.
• Modelli di Applicazione (Enforcement): L’UE (con il nuovo Ufficio IA) e il Canada (con la proposta di un Commissario IA e Dati) puntano a modelli più centralizzati per garantire uniformità. La Cina ha un modello fortemente centralizzato (l’Amministrazione del Cyberspazio della Cina – CAC), rapido ma con interrogativi sulla trasparenza. Stati Uniti (NIST AI Safety Institute) e Brasile (Sistema Nazionale di Regolamentazione e Governance IA) mostrano modelli più decentralizzati, basati sull’utilizzo di agenzie esistenti, che offrono flessibilità ma possono rischiare frammentazione.
• Partecipazione degli Stakeholder: Questo è emerso come un’area critica e spesso opaca. Sebbene UE, Brasile e Canada abbiano cercato di includere la società civile e il settore privato con consultazioni, lo studio evidenzia asimmetrie (con prevalenza del settore economico) e critiche sulla mancanza di trasparenza riguardo a come gli input vengano effettivamente integrati nelle leggi. Questo punto è cruciale per mitigare la regulatory capture.

Conclusione: La Chiarezza è Potere (e Protezione)

Lo studio “Comparing Apples to Oranges” ci ricorda che il termine “regolamentazione IA” è un cappello ampio che copre iniziative molto diverse, da semplici linee guida a leggi vincolanti con sanzioni severe. Ignorare questa distinzione e la diversità degli approcci nazionali rischia di creare malintesi, ostacolare la cooperazione globale e indebolire la protezione dei cittadini.

La tassonomia presentata è uno strumento prezioso per orientarsi in questo panorama in rapida evoluzione. Mostra che non tutte le normative IA sono equivalenti. Framework come l’UE AI Act e la proposta di legge brasiliana emergono come modelli più completi, non solo per il loro focus su un mix di approcci (ex ante/ex post, tecnologia/applicazione) ma anche per un livello (seppur migliorabile) di inclusione della società civile.

Inoltre, il lavoro sfata il mito che regolamentazione e innovazione siano mutualmente esclusive, citando la Cina come esempio di un paese con normative stringenti e al contempo leader nello sviluppo dell’IA.

In un contesto politico globale incerto e in rapido mutamento (come dimostrato dalla revoca dell’Ordine Esecutivo USA citata nel paper), una tassonomia solida e trasparente è essenziale per garantire che il dibattito sulla governance dell’IA sia informato, inclusivo e orientato alla creazione di un futuro digitale che bilanci innovazione, sicurezza e diritti fondamentali.