La regolamentazione dell’IA nel mondo: la corsa globale alle norme disegna una nuova geografia del diritto digitale

A seguito della presentazione dell’enciclica sull’IA da parte del Vaticano, si sono riaccesi i riflettori sullo stato delle normative nei principali Paesi del mondo. Il tema è ormai al centro di una mappa geopolitica del diritto digitale: da un lato la tutela dei diritti e dei mercati, dall’altro il controllo strategico e la sovranità tecnologica.

Il panorama della regolamentazione globale sull’intelligenza artificiale registra una fase di forte accelerazione. I governi, tuttavia, non si muovono in modo coordinato. L’Occidente tende a costruire regole fondate sulla protezione dei cittadini, sulla trasparenza e sulla concorrenza; l’Oriente, invece, appare più orientato a una gestione verticale, con un ruolo centrale dello Stato e degli apparati di controllo.

Di seguito una sintesi dei principali strumenti normativi e dei quadri legislativi sull’IA, suddivisi per aree geografiche e modelli regolatori.

Unione Europea: il primato dell’approccio globale

L’Unione europea ha scelto la strada di una legge quadro onnicomprensiva, fondata sul principio del rischio. Si tratta di una strategia che punta a identificare, valutare e dare priorità agli ambiti più critici, allocando le risorse di controllo dove il pericolo è maggiore.

Lo strumento legislativo di riferimento è l’EU AI Act, il Regolamento Ue 2024/1689. In quanto regolamento, è direttamente applicabile in tutti gli Stati membri senza necessità di leggi nazionali di recepimento.

Il testo è entrato in vigore nell’agosto 2024, ma la sua applicazione è scaglionata. Da febbraio 2025 sono entrate in vigore le proibizioni assolute, tra cui il credito sociale e la profilazione biometrica di massa. Le norme sulla trasparenza generale si applicheranno invece da agosto 2026.

Nel maggio 2026, le istituzioni europee hanno approvato il “Digital Omnibus on AI”, con l’obiettivo di far slittare alcune scadenze relative ai sistemi ad alto rischio, come quelli impiegati nelle infrastrutture critiche e nella sanità, tra la fine del 2027 e il 2028. La scelta serve a concedere più tempo alle imprese per adeguarsi, senza modificare l’impianto originario del regolamento.

Il caso dell’Italia

L’Italia si è mossa in anticipo rispetto ad altri partner europei per recepire e verticalizzare il regolamento Ue. Il Paese ha promulgato la legge quadro nazionale sull’intelligenza artificiale, la legge 23 settembre 2025, n. 132.

La norma introduce nel diritto nazionale i principi di centralità dell’uomo e di antropocentrismo, prevedendo l’obbligo di riservare la decisione finale a una persona fisica nei settori critici: sanità, giustizia, pubblica amministrazione e lavoro.

Nel febbraio 2026 sono seguiti ulteriori disegni di legge per regolare l’uso dell’IA nei servizi sociali e per introdurre l’obbligo di informare esplicitamente il cittadino quando un algoritmo valuta una sua istanza.

Questo obbligo si articola in tre punti chiave. Il primo è la notifica preventiva: all’inizio della procedura, ad esempio sul portale web in cui viene compilata la domanda, deve essere presente un avviso chiaro e ben visibile. Non può essere nascosto tra le righe di una lunga informativa sulla privacy. Il cittadino deve sapere che la pratica sarà valutata tramite un sistema automatizzato di intelligenza artificiale.

Il secondo punto è la tracciabilità del criterio. L’utente deve poter comprendere in base a quali regole l’algoritmo distribuisce i punteggi o decide l’esito della procedura.

Il terzo è il diritto all’intervento umano. L’obbligo di informazione è infatti legato al diritto di contestazione: sapere che una decisione è stata assunta da un algoritmo consente al cittadino di chiedere che venga riesaminata da un funzionario in carne e ossa, secondo il principio dello human-in-the-loop, nel caso in cui ritenga che il software abbia interpretato male i dati inseriti.

Cina: l’approccio verticale e mirato

La Cina ha scelto di non pubblicare, almeno per ora, un’unica grande legge sull’intelligenza artificiale. Pechino preferisce intervenire con norme mirate e settoriali, gestite da un forte organo di controllo centrale.

Il modello cinese procede quindi attraverso disposizioni amministrative e regolamenti ministeriali vincolanti emanati dalla Cyberspace Administration of China. Tra questi rientra il regolamento sulla sintesi profonda, adottato nel 2023, con norme molto rigide contro i deepfake, obblighi di watermarking, marcatura digitale e verifica dell’identità reale degli utenti.

A questo si aggiungono le misure per la gestione dei servizi di IA generativa, adottate tra il 2023 e il 2024. Tali disposizioni prevedono per gli sviluppatori di Large Language Models l’obbligo di registrare i modelli e sottoporli a una revisione di sicurezza prima del lancio sul mercato, garantendo che i dati di addestramento siano veritieri, accurati e in linea con i valori socialisti fondamentali.

Stati Uniti: il mosaico federale e statale

Negli Stati Uniti non esiste una legge federale organica approvata dal Congresso. La regolamentazione si muove quindi su due binari paralleli: quello federale e quello statale.

A livello federale, gli strumenti principali sono gli Executive Orders della Casa Bianca e gli atti delle singole agenzie, come la Federal Trade Commission e la Securities and Exchange Commission. L’architettura normativa poggia ancora sull’Executive Order on Safe, Secure, and Trustworthy AI.

Trattandosi di atti presidenziali, questi strumenti obbligano le agenzie governative e i fornitori dello Stato a rispettare standard di sicurezza, test di red teaming prima del rilascio dei modelli commerciali e obblighi di trasparenza sui dati sensibili.

I test di red teaming consistono in attacchi e procedure simulate, attraverso cui viene messa alla prova la capacità di reazione del team di difesa interno, comunemente chiamato Blue Team.

A livello statale, California, Colorado, Texas e Utah hanno varato proprie leggi a tutela dei consumatori. Il Colorado AI Act, ad esempio, impone requisiti di documentazione e valutazioni d’impatto algoritmico a partire dal 2026, con l’obiettivo di prevenire discriminazioni nei settori del lavoro, delle assicurazioni e degli alloggi.

Regno Unito: la scelta dell’approccio settoriale

Il Regno Unito ha scelto deliberatamente di non adottare, almeno per ora, una legge specifica sull’IA, per evitare di frenare l’innovazione. Londra utilizza un approccio sector-led, affidando l’applicazione di principi etici generali ai regolatori già esistenti.

La Financial Conduct Authority interviene per il settore finanziario, mentre Ofcom opera nell’ambito dei media e delle comunicazioni. A supporto di questo modello lavora l’AI Security Institute britannico, con una funzione tecnica e di valutazione della sicurezza.

Perù: il pioniere dell’America Latina

Il Perù è stato tra i primi Paesi dell’America Latina ad approvare una legge nazionale sull’intelligenza artificiale. La legge n. 31814 promuove l’uso dell’IA a favore dello sviluppo economico e sociale del Paese.

La norma stabilisce principi di trasparenza, sicurezza e privacy, affidando la supervisione alla Presidenza del Consiglio dei ministri.

Giappone: linee guida flessibili e controlli progressivi

Il Giappone si muove prevalentemente attraverso linee guida flessibili basate sul mercato, secondo un modello di soft law. Allo stesso tempo, il Paese sta introducendo controlli più stringenti di conformità attraverso contratti pubblici e audit sui modelli ad alta potenza.

Il risultato è un approccio graduale, che cerca di bilanciare innovazione, sicurezza e competitività tecnologica.