EU Ai Act: Fine della giungla artificiale
L’Europa ha finalmente una legge sull’intelligenza artificiale. Ma i danni già fatti — quelli che la maggior parte di noi non ha ancora visto — sono una storia che vale la pena raccontare.
Immaginate di ricevere una telefonata. La voce è quella di vostro figlio. Piange. Dice di essere nei guai, di aver bisogno di soldi subito, di non dire niente a nessuno. Non è vostro figlio. È una macchina che ha imparato a imitarlo ascoltando trenta secondi di un video su Instagram. Questo non è fantascienza. È già successo centinaia di volte, in Italia e nel resto del mondo. E fino a poco fa non c'era nessuna legge che lo vietasse esplicitamente.
L'EU AI Act — il Regolamento Europeo sull'Intelligenza Artificiale — è entrato in vigore nell'agosto 2024 ed è oggi la normativa più avanzata al mondo sul tema. Non è perfetta. Non è semplice. Ma è la prima seria risposta istituzionale a un problema che stava crescendo nell'ombra, ignorato finché non ha cominciato a colpire anche chi non usa mai l'IA.
"Fino a pochi anni fa, per creare un video falso convincente servivano settimane di lavoro e un'intera troupe. Oggi bastano dieci minuti e un laptop."
Quando non sapevi di stare parlando con una macchina
Prima di parlare di leggi e scadenze, vale la pena fermarsi sui fatti concreti. Perché i rischi dell'IA non regolamentata non riguardano solo le grandi aziende o i governi. Riguardano chiunque abbia un profilo social, un numero di telefono, o un parente anziano con uno smartphone.
Questi non sono casi eccezionali. Sono esempi documentati di ciò che succede quando la tecnologia corre più veloce delle regole. Il problema non è l'IA in sé — è l'IA senza accountability, senza trasparenza, senza il minimo obbligo di dire: quello che stai vedendo o ascoltando è stato generato da una macchina.
Cosa cambia davvero con l'AI Act
L'EU AI Act non è un divieto all'intelligenza artificiale. È la fine del "tutto è permesso purché nessuno se ne accorga". La norma classifica i sistemi AI in quattro livelli di rischio e stabilisce obblighi proporzionali. Chi costruisce o vende sistemi AI in Europa deve rispettare queste regole, pena sanzioni fino al 7% del fatturato globale.
Proviamo a capirli uno per uno — con esempi concreti che riguardano la vita di tutti i giorni.
Non è la stessa cosa un algoritmo che suggerisce una canzone e uno che decide se meriti un lavoro. L'AI Act lo riconosce e divide i sistemi in quattro livelli — rischio minimo, limitato, alto e inaccettabile. La logica è semplice: più alta è la posta in gioco per le persone (salute, lavoro, libertà), più severi sono gli obblighi per chi costruisce e distribuisce quel sistema.
Stesso algoritmo, rischio completamente diverso — dipende da cosa prometti a chi ti usa. Un'app di fitness che dice "fai 20 squat oggi" è a rischio minimo. Se quella stessa app comincia a dirti "hai il 70% di probabilità di sviluppare un problema cardiaco nei prossimi 5 anni" — siamo nel territorio dei dispositivi medici ad alto rischio. Non cambia il codice. Cambia cosa l'utente farà con quell'informazione: forse rinuncia a un'assicurazione, forse si opera. Ecco perché l'uso conta più della tecnologia.
Le app di recruiting AI sembrano uno strumento neutro: il sistema legge migliaia di CV, tu ricevi una shortlist. Ma nel mezzo succede questo: l'algoritmo ha imparato a riconoscere un "buon candidato" guardando chi è stato assunto e promosso in passato. Se storicamente certi ruoli erano occupati soprattutto da uomini, l'algoritmo impara che determinati segnali — il nome, l'università, un gap nel CV — sono predittori negativi. Il risultato: candidati con nomi che "suonano stranieri" o CV con un gap che coincide con una maternità vengono eliminati prima ancora che un umano li veda. Uno studio della University of Washington (2025) ha misurato il fenomeno: l'85% degli screener AI preferisce nomi associati a candidati bianchi, indipendentemente dalle qualifiche. Non è un caso isolato — è la norma. Nel 2026 è stato certificato il primo class action negli USA su questo tema: Mobley v. Workday.
Quando parli con una persona, lo sai. Dovresti saperlo anche quando parli con una macchina. Non è un capriccio normativo: è la condizione minima per prendere qualsiasi decisione consapevole. Se non sai con chi — o con cosa — stai interagendo, non puoi valutare se fidarti, come interpretare le risposte, o se stai per impegnarti in qualcosa con un bot. L'AI Act trasforma questo in un obbligo legale.
Stai cercando casa. Trovi un annuncio con belle foto e descrizione curata. Parli con quello che sembra un agente disponibile e cordiale — risponde in pochi secondi, conosce ogni dettaglio, è sempre disponibile. Poi scopri che era un chatbot, le foto erano generate da AI, e l'appartamento non esiste esattamente com'era mostrato. Hai già firmato un preliminare. Con l'AI Act: obbligo esplicito di dichiarare che stai interagendo con un sistema artificiale — non in un disclaimer in fondo alla pagina, ma prima che la conversazione inizi.
Migliaia di account sui social sembrano persone reali con opinioni reali. Pubblicano ogni giorno, rispondono ai commenti, litigano, fanno amicizia. Sono bot gestiti da AI, spesso coordinati in reti organizzate. Non promuovono prodotti — cambiano opinioni politiche, alimentano divisioni, amplificano notizie false a scala industriale. L'effetto è reale anche se la persona non esiste. Nessuno finora era obbligato a dichiararlo. Con l'AI Act, il silenzio su questo non è più legale.
Esiste un confine che nessuna "necessità" può giustificare di attraversare. L'AI Act individua una lista di pratiche incompatibili con i diritti fondamentali e le vieta senza eccezioni — non "a meno che", non "se proporzionato". Non c'è zona grigia: o sei fuori dalla lista o sei illegale. La parte più scomoda? Molte di queste pratiche erano già in uso.
Alcuni siti e-commerce applicano prezzi dinamici basati su chi sta guardando il prodotto — il termine ufficiale dell'FTC americana è surveillance pricing. Se navighi da un dispositivo recente in un quartiere con reddito medio-alto, l'algoritmo lo sa e alza il prezzo in tempo reale. Documentato dall'FTC nel 2025 su piattaforme come Delta, Kroger e Target. Se il sistema usa AI per profilare la vulnerabilità psicologica dell'utente — stanchezza, fretta, stato emotivo — per spingere all'acquisto nel momento di minore resistenza, è manipolazione subliminale. Vietata.
Un sistema che rileva lo stato emotivo delle persone in luoghi pubblici per targetizzarle con pubblicità o per segnalarle come "soggetti a rischio". La classificazione dei lavoratori per "affidabilità" basata su dati di navigazione o comportamenti privati. Il social scoring — punteggi di "buon cittadino" assegnati in base ad acquisti, relazioni online, comportamento pubblico — già esistente in contesti aziendali occidentali, non solo in Cina. Tutto vietato.
Con il Digital AI Omnibus (accordo maggio 2026), la lista dei vietati assoluti si allunga. Dal 2 dicembre 2026 sono esplicitamente vietati i cosiddetti nudifier — sistemi AI che generano o manipolano immagini, video o audio sessualmente espliciti di persone reali senza il loro consenso esplicito. Fino ad oggi esistevano centinaia di app di questo tipo, usate prevalentemente contro donne. Ora sono illegali nell'UE.
Per anni il meccanismo di difesa predefinito è stato: "ha deciso l'algoritmo." Come se la macchina fosse un agente autonomo, senza creatori, senza distributori, senza utenti. L'AI Act smantella questa costruzione e stabilisce una catena di responsabilità che parte da chi ha scritto il codice e arriva a chi ha scelto di usarlo. Se qualcosa va storto, qualcuno risponde sempre — anche se non ha "voluto" il danno.
Una banca usa AI per valutare le richieste di mutuo. Il sistema nega il prestito a una famiglia — non per ragioni finanziarie oggettive, ma perché l'algoritmo ha imparato che certi codici postali, certi cognomi, certe scuole frequentate correlano storicamente con insolvenze. È discriminazione statistica: non intenzionale, ma sistematica e invisibile. Prima dell'AI Act: "è l'algoritmo, non possiamo intervenire." Dopo: la banca è responsabile del sistema che ha scelto di usare, deve poter spiegare ogni decisione e risponde delle sue conseguenze.
Un creator pubblica anni di video. Qualcuno usa AI per clonare la sua voce, la sovrappone a contenuti diversi e li pubblica spacciandoli per originali. Il creator perde credibilità, follower, contratti — senza aver fatto nulla di sbagliato. Chi risponde? Con l'AI Act: la piattaforma che ha ospitato senza richiedere marcatura AI, lo strumento che ha permesso la clonazione senza sistemi di consenso, e chi ha pubblicato il contenuto. Non più nessuno — tutti e tre. E il creator può finalmente chiedere un risarcimento a soggetti identificati.
Sapere che stai parlando con una macchina non è un dettaglio tecnico. È un diritto fondamentale che cambia ogni singola decisione che puoi prendere in quella conversazione.
Non è una legge sulla tecnologia. È una legge sulla fiducia.
Le sanzioni non sono simboliche
Le scadenze che contano
Il diritto di sapere con chi stai parlando
C'è una domanda semplice al centro di tutto questo: quando parli con qualcuno — o qualcosa — hai il diritto di sapere se è umano?
Fino a oggi la risposta implicita del mercato era no. Le aziende potevano schierare call center interamente artificiali senza dirlo. Potevano usare voice cloning per campagne telefoniche. Potevano creare influencer digitali senza dichiararne la natura. Potevano generare recensioni, articoli, persino diagnosi mediche, senza alcun obbligo di label.
Questo non era un vuoto normativo accidentale. Era una scelta che metteva l'efficienza prima della fiducia. E il costo lo hanno pagato soprattutto le persone meno attrezzate a difendersi: gli anziani raggiunti dalle truffe vocali, i lavoratori scartati da algoritmi opachi, i cittadini bombardati da disinformazione generata in scala industriale.
L'AI Act non risolve tutto. Ma stabilisce un principio che prima non esisteva: chi costruisce sistemi artificiali che si fanno passare per umani ne è responsabile.
E questo, alla fine, è il senso più profondo di questa legge: non fermare le macchine, ma ricordare che dietro ogni macchina c'è ancora — sempre — una scelta umana.
Se hai bisogno per la tua azienda contattaci.
Fonti: Regolamento UE 2024/1689 (AI Act) · Digital AI Omnibus, accordo Consiglio UE–Parlamento Europeo, 7 maggio 2026 · Signicat — Fraud attempts with deepfakes +2137%, 2024 · University of Washington — FAIRE: AI Resume Screening Bias Study, 2025 · Mobley v. Workday, Inc. — class action certificata 2026 · FTC Surveillance Pricing Preliminary Report, gennaio 2025 · Entrust Identity Fraud Report 2025 · IBM X-Force Threat Intelligence Index 2024 · Legge italiana n. 132/2025 sull'intelligenza artificiale · AgendaDigitale · Cyber Security 360 · BSDLegal — elaborazione editoriale Cyber Rebellion.