EU Ai Act: Fine della giungla artificiale

L’Europa ha finalmente una legge sull’intelligenza artificiale. Ma i danni già fatti — quelli che la maggior parte di noi non ha ancora visto — sono una storia che vale la pena raccontare.

Condividi
EU Ai Act: Fine della giungla artificiale

Immaginate di ricevere una telefonata. La voce è quella di vostro figlio. Piange. Dice di essere nei guai, di aver bisogno di soldi subito, di non dire niente a nessuno. Non è vostro figlio. È una macchina che ha imparato a imitarlo ascoltando trenta secondi di un video su Instagram. Questo non è fantascienza. È già successo centinaia di volte, in Italia e nel resto del mondo. E fino a poco fa non c'era nessuna legge che lo vietasse esplicitamente.

L'EU AI Act — il Regolamento Europeo sull'Intelligenza Artificiale — è entrato in vigore nell'agosto 2024 ed è oggi la normativa più avanzata al mondo sul tema. Non è perfetta. Non è semplice. Ma è la prima seria risposta istituzionale a un problema che stava crescendo nell'ombra, ignorato finché non ha cominciato a colpire anche chi non usa mai l'IA.

"Fino a pochi anni fa, per creare un video falso convincente servivano settimane di lavoro e un'intera troupe. Oggi bastano dieci minuti e un laptop."

Quando non sapevi di stare parlando con una macchina

Prima di parlare di leggi e scadenze, vale la pena fermarsi sui fatti concreti. Perché i rischi dell'IA non regolamentata non riguardano solo le grandi aziende o i governi. Riguardano chiunque abbia un profilo social, un numero di telefono, o un parente anziano con uno smartphone.

+2.137%Aumento delle frodi tramite deepfake in 3 anni — Signicat 2024
60%Delle aziende mondiali colpite da attacchi basati su IA nel 2024
9 M$Danno reputazionale medio da un singolo attacco deepfake
Caso reale · Truffa vocale familiareLa figlia che non stava chiamandoAprile 2023, Arizona. Una madre riceve una telefonata. Sente la voce di sua figlia di 15 anni che piange e urla. Qualcuno le chiede un milione di dollari di riscatto per liberarla. Sua figlia era a casa, al sicuro. La voce era stata clonata da un breve video sui social con strumenti di IA liberamente disponibili online. Non ci vuole molto: bastano pochi secondi di audio per replicare timbro, intonazione, persino le pause di un essere umano.Danno: trauma psicologico · nessun rimborso possibile
Caso reale · CEO Fraud con videochiamata deepfakeLa riunione che non era una riunioneFebbraio 2024. Un dipendente di Arup, multinazionale di ingegneria con sede a Hong Kong, partecipa a una videoconferenza con il suo CFO e diversi colleghi. Riconosce i loro volti. Riconosce le loro voci. Trasferisce l'equivalente di 25 milioni di dollari. Nessuno di quei partecipanti era reale: erano tutti avatar generati in tempo reale dall'intelligenza artificiale.Danno: 25,6 milioni di dollari · truffa confermata dalla polizia
Caso reale · Diffamazione via IAIl preside che non aveva detto nienteGennaio 2024, Maryland. Un dirigente scolastico viene accusato di razzismo sulla base di un audio che lo ritrae mentre pronuncia frasi offensive. L'audio circola viralmente. Mesi dopo la polizia conferma: l'audio era falso, generato dall'IA da un collega che il preside stava indagando per appropriazione indebita. Ci sono voluti tre mesi per verificare la falsità. In tre mesi, un'intera carriera era già in macerie.Danno: reputazione distrutta · l'autore ha poi confessato

Questi non sono casi eccezionali. Sono esempi documentati di ciò che succede quando la tecnologia corre più veloce delle regole. Il problema non è l'IA in sé — è l'IA senza accountability, senza trasparenza, senza il minimo obbligo di dire: quello che stai vedendo o ascoltando è stato generato da una macchina.


Cosa cambia davvero con l'AI Act

L'EU AI Act non è un divieto all'intelligenza artificiale. È la fine del "tutto è permesso purché nessuno se ne accorga". La norma classifica i sistemi AI in quattro livelli di rischio e stabilisce obblighi proporzionali. Chi costruisce o vende sistemi AI in Europa deve rispettare queste regole, pena sanzioni fino al 7% del fatturato globale.

Proviamo a capirli uno per uno — con esempi concreti che riguardano la vita di tutti i giorni.

Punto 01
Classificazione del rischio — non tutto l'AI è uguale

Non è la stessa cosa un algoritmo che suggerisce una canzone e uno che decide se meriti un lavoro. L'AI Act lo riconosce e divide i sistemi in quattro livelli — rischio minimo, limitato, alto e inaccettabile. La logica è semplice: più alta è la posta in gioco per le persone (salute, lavoro, libertà), più severi sono gli obblighi per chi costruisce e distribuisce quel sistema.

Esempio concreto

Stesso algoritmo, rischio completamente diverso — dipende da cosa prometti a chi ti usa. Un'app di fitness che dice "fai 20 squat oggi" è a rischio minimo. Se quella stessa app comincia a dirti "hai il 70% di probabilità di sviluppare un problema cardiaco nei prossimi 5 anni" — siamo nel territorio dei dispositivi medici ad alto rischio. Non cambia il codice. Cambia cosa l'utente farà con quell'informazione: forse rinuncia a un'assicurazione, forse si opera. Ecco perché l'uso conta più della tecnologia.

Il caso che nessuno vede

Le app di recruiting AI sembrano uno strumento neutro: il sistema legge migliaia di CV, tu ricevi una shortlist. Ma nel mezzo succede questo: l'algoritmo ha imparato a riconoscere un "buon candidato" guardando chi è stato assunto e promosso in passato. Se storicamente certi ruoli erano occupati soprattutto da uomini, l'algoritmo impara che determinati segnali — il nome, l'università, un gap nel CV — sono predittori negativi. Il risultato: candidati con nomi che "suonano stranieri" o CV con un gap che coincide con una maternità vengono eliminati prima ancora che un umano li veda. Uno studio della University of Washington (2025) ha misurato il fenomeno: l'85% degli screener AI preferisce nomi associati a candidati bianchi, indipendentemente dalle qualifiche. Non è un caso isolato — è la norma. Nel 2026 è stato certificato il primo class action negli USA su questo tema: Mobley v. Workday.

Punto 02
Trasparenza — smettila di far finta di essere umano

Quando parli con una persona, lo sai. Dovresti saperlo anche quando parli con una macchina. Non è un capriccio normativo: è la condizione minima per prendere qualsiasi decisione consapevole. Se non sai con chi — o con cosa — stai interagendo, non puoi valutare se fidarti, come interpretare le risposte, o se stai per impegnarti in qualcosa con un bot. L'AI Act trasforma questo in un obbligo legale.

Esempio concreto

Stai cercando casa. Trovi un annuncio con belle foto e descrizione curata. Parli con quello che sembra un agente disponibile e cordiale — risponde in pochi secondi, conosce ogni dettaglio, è sempre disponibile. Poi scopri che era un chatbot, le foto erano generate da AI, e l'appartamento non esiste esattamente com'era mostrato. Hai già firmato un preliminare. Con l'AI Act: obbligo esplicito di dichiarare che stai interagendo con un sistema artificiale — non in un disclaimer in fondo alla pagina, ma prima che la conversazione inizi.

Quello che nessuno dice

Migliaia di account sui social sembrano persone reali con opinioni reali. Pubblicano ogni giorno, rispondono ai commenti, litigano, fanno amicizia. Sono bot gestiti da AI, spesso coordinati in reti organizzate. Non promuovono prodotti — cambiano opinioni politiche, alimentano divisioni, amplificano notizie false a scala industriale. L'effetto è reale anche se la persona non esiste. Nessuno finora era obbligato a dichiararlo. Con l'AI Act, il silenzio su questo non è più legale.

Punto 03
Divieti assoluti — alcune cose semplicemente non si fanno

Esiste un confine che nessuna "necessità" può giustificare di attraversare. L'AI Act individua una lista di pratiche incompatibili con i diritti fondamentali e le vieta senza eccezioni — non "a meno che", non "se proporzionato". Non c'è zona grigia: o sei fuori dalla lista o sei illegale. La parte più scomoda? Molte di queste pratiche erano già in uso.

Già succede — ed è vietato

Alcuni siti e-commerce applicano prezzi dinamici basati su chi sta guardando il prodotto — il termine ufficiale dell'FTC americana è surveillance pricing. Se navighi da un dispositivo recente in un quartiere con reddito medio-alto, l'algoritmo lo sa e alza il prezzo in tempo reale. Documentato dall'FTC nel 2025 su piattaforme come Delta, Kroger e Target. Se il sistema usa AI per profilare la vulnerabilità psicologica dell'utente — stanchezza, fretta, stato emotivo — per spingere all'acquisto nel momento di minore resistenza, è manipolazione subliminale. Vietata.

Vietato anche

Un sistema che rileva lo stato emotivo delle persone in luoghi pubblici per targetizzarle con pubblicità o per segnalarle come "soggetti a rischio". La classificazione dei lavoratori per "affidabilità" basata su dati di navigazione o comportamenti privati. Il social scoring — punteggi di "buon cittadino" assegnati in base ad acquisti, relazioni online, comportamento pubblico — già esistente in contesti aziendali occidentali, non solo in Cina. Tutto vietato.

Nuovo divieto — dal 2 dicembre 2026

Con il Digital AI Omnibus (accordo maggio 2026), la lista dei vietati assoluti si allunga. Dal 2 dicembre 2026 sono esplicitamente vietati i cosiddetti nudifier — sistemi AI che generano o manipolano immagini, video o audio sessualmente espliciti di persone reali senza il loro consenso esplicito. Fino ad oggi esistevano centinaia di app di questo tipo, usate prevalentemente contro donne. Ora sono illegali nell'UE.

Punto 04
Responsabilità — "l'ha fatto l'algoritmo" non è più una risposta

Per anni il meccanismo di difesa predefinito è stato: "ha deciso l'algoritmo." Come se la macchina fosse un agente autonomo, senza creatori, senza distributori, senza utenti. L'AI Act smantella questa costruzione e stabilisce una catena di responsabilità che parte da chi ha scritto il codice e arriva a chi ha scelto di usarlo. Se qualcosa va storto, qualcuno risponde sempre — anche se non ha "voluto" il danno.

Esempio concreto

Una banca usa AI per valutare le richieste di mutuo. Il sistema nega il prestito a una famiglia — non per ragioni finanziarie oggettive, ma perché l'algoritmo ha imparato che certi codici postali, certi cognomi, certe scuole frequentate correlano storicamente con insolvenze. È discriminazione statistica: non intenzionale, ma sistematica e invisibile. Prima dell'AI Act: "è l'algoritmo, non possiamo intervenire." Dopo: la banca è responsabile del sistema che ha scelto di usare, deve poter spiegare ogni decisione e risponde delle sue conseguenze.

Il caso dei contenuti copiati

Un creator pubblica anni di video. Qualcuno usa AI per clonare la sua voce, la sovrappone a contenuti diversi e li pubblica spacciandoli per originali. Il creator perde credibilità, follower, contratti — senza aver fatto nulla di sbagliato. Chi risponde? Con l'AI Act: la piattaforma che ha ospitato senza richiedere marcatura AI, lo strumento che ha permesso la clonazione senza sistemi di consenso, e chi ha pubblicato il contenuto. Non più nessuno — tutti e tre. E il creator può finalmente chiedere un risarcimento a soggetti identificati.

Sapere che stai parlando con una macchina non è un dettaglio tecnico. È un diritto fondamentale che cambia ogni singola decisione che puoi prendere in quella conversazione.
Non è una legge sulla tecnologia. È una legge sulla fiducia.

Le sanzioni non sono simboliche

Per chi non rispetta le regole
35M€
o il 7% del fatturato globale — per chi usa sistemi vietati (manipolazione, social scoring, sorveglianza di massa)
15M€
o il 3% del fatturato — per chi non rispetta gli obblighi sui sistemi ad alto rischio
7.5M€
per chi fornisce informazioni false alle autorità di controllo
PMI
per le piccole imprese si applica sempre l'importo più basso — ma l'esenzione totale non esiste

Le scadenze che contano

Febbraio 2025 — In vigore Divieti assoluti attivi Vietate da subito le pratiche a rischio inaccettabile: manipolazione subliminale, social scoring, sorveglianza biometrica di massa. Obblighi di alfabetizzazione AI per le aziende.
Agosto 2025 — In vigore Obblighi per i grandi modelli AI (GPAI) I grandi modelli AI — GPT, Gemini, Claude — devono rispettare requisiti di trasparenza e documentazione. Il GPAI Code of Practice è stato pubblicato il 10 luglio 2025.
2 Agosto 2026 — Siamo qui Trasparenza obbligatoria + sanzioni attive Entrano in vigore le regole di trasparenza (art. 50): obbligo di dichiarare i contenuti AI e i sistemi che interagiscono con le persone. Le sanzioni diventano eseguibili a livello nazionale e UE.
2 Dicembre 2026 — Nuovo divieto (Omnibus) Vietati i nudifier AI Con il Digital AI Omnibus (accordo maggio 2026) entrano nella lista dei vietati assoluti i sistemi che generano immagini o video sessualmente espliciti di persone reali senza consenso.
2 Dicembre 2027 — Proroga Omnibus Sistemi ad alto rischio (Annex III) Scadenza spostata dall'agosto 2026. Obblighi completi per i sistemi ad alto rischio autonomi: recruiting AI, scoring del credito, strumenti educativi, forze dell'ordine.
2 Agosto 2028 — Fase finale Sistemi AI nei prodotti regolamentati Obblighi per i sistemi AI integrati in dispositivi medici, veicoli, macchinari industriali (Annex I). Fine della fase di transizione per tutti i settori.

Il diritto di sapere con chi stai parlando

C'è una domanda semplice al centro di tutto questo: quando parli con qualcuno — o qualcosa — hai il diritto di sapere se è umano?

Fino a oggi la risposta implicita del mercato era no. Le aziende potevano schierare call center interamente artificiali senza dirlo. Potevano usare voice cloning per campagne telefoniche. Potevano creare influencer digitali senza dichiararne la natura. Potevano generare recensioni, articoli, persino diagnosi mediche, senza alcun obbligo di label.

Questo non era un vuoto normativo accidentale. Era una scelta che metteva l'efficienza prima della fiducia. E il costo lo hanno pagato soprattutto le persone meno attrezzate a difendersi: gli anziani raggiunti dalle truffe vocali, i lavoratori scartati da algoritmi opachi, i cittadini bombardati da disinformazione generata in scala industriale.

L'AI Act non risolve tutto. Ma stabilisce un principio che prima non esisteva: chi costruisce sistemi artificiali che si fanno passare per umani ne è responsabile.

E questo, alla fine, è il senso più profondo di questa legge: non fermare le macchine, ma ricordare che dietro ogni macchina c'è ancora — sempre — una scelta umana.


Se hai bisogno per la tua azienda contattaci.

Fonti: Regolamento UE 2024/1689 (AI Act) · Digital AI Omnibus, accordo Consiglio UE–Parlamento Europeo, 7 maggio 2026 · Signicat — Fraud attempts with deepfakes +2137%, 2024 · University of Washington — FAIRE: AI Resume Screening Bias Study, 2025 · Mobley v. Workday, Inc. — class action certificata 2026 · FTC Surveillance Pricing Preliminary Report, gennaio 2025 · Entrust Identity Fraud Report 2025 · IBM X-Force Threat Intelligence Index 2024 · Legge italiana n. 132/2025 sull'intelligenza artificiale · AgendaDigitale · Cyber Security 360 · BSDLegal — elaborazione editoriale Cyber Rebellion.