Quando un testo normativo viene accolto con applausi trasversali — da Bruxelles alle associazioni di categoria, dai comunicati stampa delle big tech ai commenti degli esperti di compliance — è opportuno fermarsi. Non perché l’applauso sia necessariamente sospetto, ma perché i consensi unanimi intorno a una regolamentazione tecnica rivelano quasi sempre una distribuzione asimmetrica dei benefici che il dibattito pubblico non ha ancora messo a fuoco.
L’AI Act europeo è il caso più recente di questo fenomeno.
La struttura formale e la realtà economica
Il regolamento approvato dal Parlamento europeo il 13 marzo 2024, ratificato dal Consiglio il 21 maggio e in vigore dal 1° agosto 2024, è costruito attorno a un principio di proporzionalità basato sul rischio: sistemi ad alto rischio — tra cui la valutazione del merito creditizio di persone fisiche, il risk assessment e la tariffazione in ambito vita e salute, la selezione del personale, le infrastrutture critiche — soggiacciono a obblighi stringenti di trasparenza, documentazione, supervisione umana e valutazione di conformità. I sistemi a rischio limitato o minimo ricevono trattamento alleggerito.
| Categoria di rischio | Esempi di applicazione | Livello di obblighi |
|---|---|---|
| Rischio minimo | Applicazioni quotidiane, sistemi di raccomandazione | Nessun obbligo specifico |
| Rischio limitato | Chatbot, sistemi generativi | Obblighi di trasparenza |
| Alto rischio | Credito, selezione personale, infrastrutture critiche | Conformità tecnica, documentazione, supervisione umana |
| Rischio inaccettabile | Manipolazione comportamentale, scoring sociale | Divieto |
La logica è impeccabile sul piano della teoria regolatoria. Il problema è nella sua implementazione pratica, che genera un effetto non dichiarato ma strutturalmente inevitabile: la compliance smette di essere solo una garanzia per il mercato e diventa, nei fatti, una barriera all’ingresso.
Il costo della conformità come filtro selettivo
Operare — o prepararsi a operare, nel pieno regime applicativo del regolamento — un sistema di AI classificato ad alto rischio comporta requisiti organizzativi e documentali di notevole complessità, tra cui:
- documentazione tecnica conforme all’Allegato IV, con descrizione dettagliata dell’architettura del modello, dei dati di addestramento, delle metriche di performance e dei limiti operativi;
- un sistema di gestione della qualità strutturato, per funzione e contenuto paragonabile — in termini di rigore documentale e di processo — a quanto richiesto da sistemi di management certificabili in altri settori regolati;
- una supervisione umana effettiva, con designazione di persone fisiche dotate di competenza, formazione e autorità adeguate a intervenire sui risultati del sistema;
- log automaticamente generati dal sistema, conservati per un periodo appropriato alla finalità — e comunque non inferiore a sei mesi salvo disposizioni più stringenti del diritto UE o nazionale applicabile — distinti dalla documentazione di conformità, che deve invece essere conservata fino a dieci anni dopo l’immissione sul mercato;
- registrazione nell’EU AI database, pienamente operativo dal 2 agosto 2026, con ulteriori differimenti fino al 2 agosto 2027 per i sistemi ad alto rischio integrati in prodotti regolati da normativa di settore preesistente.
Questi requisiti non sono irragionevoli per un’azienda con cinquecento dipendenti, un ufficio legale interno e un team tecnico dedicato. Sono invece sostanzialmente inaccessibili per una PMI fintech con quindici persone e un budget di compliance di duecentomila euro annui — ammesso che disponga anche solo della competenza per stimarlo correttamente.
| Elemento di compliance | Obiettivo normativo | Impatto organizzativo |
|---|---|---|
| Documentazione tecnica | Trasparenza del modello | Struttura documentale complessa |
| Sistema di qualità | Controllo dei processi AI | Procedure interne formalizzate |
| Supervisione umana | Controllo delle decisioni automatizzate | Ruoli e competenze dedicate |
| Registrazione nel database UE | Tracciabilità dei sistemi ad alto rischio | Gestione regolatoria continuativa |
Il risultato prevedibile: i grandi operatori già presenti nel mercato gestiscono il percorso di conformità come un costo fisso che rafforza il loro posizionamento competitivo. Gli entranti vengono selettivamente filtrati, non dalla qualità dei loro sistemi, ma dalla loro capacità finanziaria di documentarla.
Il problema degli incumbent
C’è una seconda asimmetria, meno discussa ma più rilevante per i mercati regolati italiani.
I grandi istituti finanziari, le assicurazioni di primo livello, le piattaforme fintech già consolidate hanno investito negli ultimi tre anni in infrastrutture di AI governance che ora diventano attivi strategici. Chi aveva già implementato framework di resilienza operativa come quelli richiesti da DORA, sistemi strutturati di model risk management o funzioni interne di responsabilità algoritmica dispone oggi di una parte significativa dell’infrastruttura organizzativa e documentale necessaria per affrontare gli obblighi introdotti dall’AI Act.
L’AI Act, in questa lettura, non produce ex novo un ordine del mercato: certifica retroattivamente chi era già attrezzato per operare in un mercato regolato.
L’errore di prospettiva nel dibattito italiano
Il dibattito italiano sull’AI Act si è concentrato quasi interamente su due assi: la tutela dei lavoratori dall’automazione e la protezione dei dati personali. Entrambi i temi sono legittimi. Entrambi sono però periferici rispetto alla dinamica competitiva che il regolamento innesca nei mercati finanziari e assicurativi.
La domanda rilevante non è “l’AI ci ruba il lavoro?” né “i nostri dati sono al sicuro?”. La domanda rilevante è: chi controlla i modelli che prendono decisioni sui mercati che contano?
In un sistema in cui la classificazione del rischio creditizio, la tariffazione vita e salute, la valutazione del merito professionale — e, più in generale, una quota crescente di decisioni economiche e finanziarie — vengono progressivamente delegate a sistemi algoritmici, l’AI Act stabilisce de facto quali soggetti possono continuare a operare questi sistemi e quali devono dismettere o cedere la funzione. Nella sua implementazione economica concreta, il regolamento tende a selezionare gli operatori che possono sostenere i costi della conformità — indipendentemente dalla qualità tecnica dei loro modelli.
Questo difficilmente può essere considerato un semplice effetto collaterale: è l’esito strutturale che il regolamento tende a produrre quando viene applicato a mercati già caratterizzati da forti asimmetrie di capitale, competenze e infrastrutture di compliance.
Implicazioni operative per chi opera nei mercati regolati
Per i soggetti che operano all’intersezione tra tecnologia, capitale e regolamentazione — l’esatta zona di frizione in cui si muove la nostra attività di advisory — l’AI Act impone tre domande strategiche che non possono essere delegate all’ufficio legale.
La prima: quale parte del valore che l’azienda produce oggi dipende da sistemi classificabili come ad alto rischio secondo i criteri del regolamento? La risposta richiede una mappatura tecnico-funzionale che la maggior parte delle organizzazioni non ha ancora fatto.
La seconda: la conformità è trattata come costo operativo o come asset competitivo? Chi la tratta come costo tende a fare il minimo indispensabile, subisce i controlli e resta vulnerabile alle sanzioni. Chi la tratta come asset costruisce una documentazione che rafforza la credibilità con clienti, regolatori e potenziali partner o acquirenti.
La terza: l’organizzazione ha la capacità interna di interpretare le evoluzioni normative come variabili strategiche, o dipende da consulenti generalisti che traducono il testo senza modellarne le implicazioni competitive?
Che cosa regola l’AI Act europeo?
L’AI Act regola l’utilizzo dei sistemi di intelligenza artificiale nell’Unione Europea classificandoli in base al rischio. I sistemi ad alto rischio devono rispettare requisiti di documentazione, supervisione umana, qualità dei dati e trasparenza.
Quando entrerà pienamente in vigore l’AI Act?
Il regolamento è entrato in vigore il 1° agosto 2024, ma molte disposizioni diventeranno pienamente applicabili dal 2 agosto 2026, con ulteriori differimenti fino al 2027 per alcuni sistemi integrati in prodotti regolati.
Perché l’AI Act può favorire i grandi operatori?
Gli obblighi di compliance previsti per i sistemi ad alto rischio richiedono strutture organizzative, documentazione tecnica e risorse economiche che risultano più facilmente sostenibili per grandi aziende rispetto a piccole imprese o startup.
Una nota metodologica
L’analisi proposta in questo articolo non si basa su una valutazione normativa del regolamento — che, nel merito dei suoi obiettivi dichiarati, è tecnicamente solido. Si basa su una lettura degli incentivi economici che il regolamento genera una volta che viene calato in un mercato specifico, con le sue asimmetrie informative, le sue concentrazioni di capitale e le sue strutture di potere già consolidate.
La regolamentazione non è mai neutrale rispetto alla struttura del mercato che regola. L’AI Act non fa eccezione.
Related Posts
12 Marzo 2026
Bitcoin: né trappola per allocchi, né oro digitale
Il dibattito italiano su Bitcoin oscilla tra allarmismo e tribalismo. Questa…
11 Marzo 2026
La democrazia invisibile: quando il consenso lo fabbricano le macchine
Gli sciami di bot AI rappresentano un salto qualitativo nella manipolazione…
3 Marzo 2026
DORA entra in vigore. Le PMI finanziarie non sono pronte, e non per i motivi che pensano
DORA è in vigore ma la maggior parte delle PMI finanziarie lo ha trattato come…