Introduzione: un quadro normativo sempre più complesso

Il 30 ottobre 2025 il Parlamento Europeo ha pubblicato uno studio fondamentale commissionato dal Comitato per l’Industria, la Ricerca e l’Energia (ITRE) che analizza l’interazione tra l’AI Act e il quadro legislativo digitale dell’Unione Europea. Lo studio, preparato da Hans Graux, Krzysztof Garstka, Nayana Murali, Jonathan Cave e Maarten Botterman, rappresenta la prima analisi sistematica e approfondita delle sovrapposizioni, lacune e complessità generate dall’intersezione di molteplici strumenti normativi nell’ecosistema digitale europeo.

L’AI Act, adottato nel giugno 2024 come primo quadro normativo globale sull’intelligenza artificiale, non opera in isolamento ma si inserisce in un tessuto legislativo già denso e articolato che comprende il GDPR, il Data Act, il Digital Services Act (DSA), il Digital Markets Act (DMA), il Cyber Resilience Act (CRA), la Direttiva NIS2 e altri strumenti. Mentre ciascuno di questi atti persegue obiettivi legittimi e mirati, lo studio solleva interrogativi cruciali sul loro impatto combinato sulla competitività, coerenza e capacità di innovazione dell’ecosistema europeo dell’intelligenza artificiale.

La logica regolatoria dell’AI Act: un approccio basato sul rischio

Lo studio inizia con un’analisi approfondita della logica strutturale e filosofica dell’AI Act, che si fonda su un approccio risk-based articolato su diversi livelli:

  1. Pratiche vietate: divieto assoluto per specifici usi dell’IA considerati inaccettabili
  2. Sistemi ad alto rischio: obblighi stringenti per sistemi che presentano rischi significativi
  3. Obblighi di trasparenza: requisiti specifici per determinati casi d’uso
  4. Modelli di IA per finalità generali (GPAI): obblighi autonomi, inclusi quelli per modelli con rischio sistemico

L’AI Act attinge sostanzialmente dal modello della legislazione europea sulla sicurezza dei prodotti (New Legislative Framework), sovrapponendovi però requisiti innovativi relativi a valutazioni d’impatto sui diritti fondamentali (FRIA), tracciabilità e supervisione.

Tensioni strutturali evidenziate dallo studio

Lo studio identifica diverse tensioni strutturali nell’architettura dell’AI Act:

Estensione della logica della sicurezza dei prodotti: l’applicazione dei meccanismi tradizionali di conformità a domini meno determinabili come la conformità ai diritti umani si rivela problematica e difficile da valutare con i metodi convenzionali.

Catene di responsabilità complesse: l’applicabilità della normativa sia ai fornitori che ai deployer di sistemi di IA impone catene di responsabilità complesse, particolarmente gravose per PMI e utenti non specializzati.

Ambiguità nella classificazione: la definizione e classificazione dei sistemi ad alto rischio, basata su liste contenute negli allegati e valutazioni soggettive del potenziale di danno, introduce incertezza giuridica.

Promozione dell’innovazione vs. mitigazione dei rischi: sebbene l’Atto promuova l’innovazione (attraverso sandbox regolamentari, esenzioni per l’open-source e regimi più leggeri per GPAI non sistemici), il quadro complessivo rimane largamente centrato sulla mitigazione dei danni, spesso attraverso obblighi prescrittivi.

Le interazioni critiche con altre normative digitali europee

La parte centrale dello studio analizza in dettaglio le interazioni e sovrapposizioni tra l’AI Act e altre normative digitali europee, evidenziando frizioni significative e sfide di compliance.

AI Act e GDPR: sovrapposizioni nelle valutazioni d’impatto

L’interazione più complessa e problematica emerge con il GDPR. L’AI Act introduce requisiti per valutazioni d’impatto sui diritti fondamentali (FRIA) in casi che spesso attivano anche valutazioni d’impatto sulla protezione dei dati (DPIA) ai sensi del GDPR.

Principali problemi identificati:

  • Ambiti, supervisione e requisiti procedurali diversi: FRIA e DPIA differiscono sostanzialmente creando duplicazione e incertezza
  • Obblighi di trasparenza e logging ridondanti in entrambi i regimi
  • Ambiguità nella gestione dei diritti degli interessati: incertezza su come titolari e fornitori debbano gestire diritti di accesso, rettifica e cancellazione quando i dati personali sono incorporati in modelli di IA complessi
  • Sovrapposizione dei ruoli: i fornitori di sistemi di IA possono essere contemporaneamente titolari o responsabili del trattamento ai sensi del GDPR, con conseguente cumulo di obblighi difficile da gestire

AI Act e Data Act: fornitori come data holder

Mentre l’AI Act disciplina la progettazione e il deployment dei sistemi di IA, il Data Act garantisce l’accesso e la portabilità dei dati generati da prodotti e servizi connessi.

I fornitori di IA possono essere data holder ai sensi del Data Act e contemporaneamente soggetti agli obblighi dell’AI Act. Il carico cumulativo di conformità è significativo, specialmente in contesti di test real-world o che coinvolgono trasferimenti di dati verso paesi terzi.

AI Act e Cyber Resilience Act: standard di cybersecurity sovrapposti

I sistemi di IA ad alto rischio devono soddisfare determinati standard di cybersecurity che possono sovrapporsi a quelli imposti dal Cyber Resilience Act (CRA), che introduce requisiti obbligatori di cybersecurity per tutti i prodotti digitali.

Sebbene il CRA preveda presunzioni di conformità all’AI Act quando i suoi requisiti sono soddisfatti, l’allineamento parziale tra i due quadri normativi lascia spazio a incertezza interpretativa, particolarmente per quanto riguarda:

  • Gestione delle vulnerabilità
  • Incident reporting
  • Aggiornamenti di sicurezza
  • Certificazioni

AI Act, DSA e DMA: piattaforme e gatekeeper nell’era dell’IA

I servizi intermediari (come piattaforme online e motori di ricerca) che deployano o forniscono sistemi e modelli di IA affrontano obblighi di trasparenza accresciuti che possono sovrapporsi.

Piattaforme online di dimensioni molto grandi (VLOP) e motori di ricerca (VLOSE) possono trovarsi ad affrontare simultaneamente obblighi di valutazione del rischio sia ai sensi dell’AI Act che del DSA, specialmente quando modelli GPAI sono forniti attraverso il servizio intermediario.

Aree di sovrapposizione identificate:

  • Contenuti generati o manipolati dall’IA, sia legali che illegali
  • Liability degli intermediari
  • Accesso dei ricercatori ai dati
  • Obblighi sui sistemi di raccomandazione
  • Moderazione dei contenuti assistita da IA

Per quanto riguarda il Digital Markets Act (DMA), le disposizioni su accesso ai dati, interoperabilità e anti-self-preferencing potrebbero essere rilevanti per API di IA o modelli foundation offerti da gatekeeper. Tuttavia, i sistemi di IA non sono ancora designati come core platform services ai sensi del DMA, limitando nella pratica la portata di queste interazioni.

AI Act e NIS2: cybersecurity e gestione dei rischi di filiera

Gli enti essenziali e importanti ai sensi della Direttiva NIS2 che sviluppano o deployano sistemi di IA devono conformarsi sia ai requisiti di cybersecurity che ai framework di gestione del rischio specifici per l’IA.

La sovrapposizione è particolarmente pronunciata in:

  • Obblighi di incident reporting: duplicazione tra NIS2 e AI Act
  • Governance dei rischi della supply chain: catene di responsabilità complesse
  • Misure di gestione del rischio cyber: potenziali duplicazioni di requisiti tecnici e organizzativi

Altre normative digitali nell’ecosistema

Lo studio analizza anche le interazioni con:

  • DORA (Digital Operational Resilience Act): per enti finanziari che utilizzano sistemi di IA
  • Cybersecurity Act: certificazioni e standard di sicurezza
  • Digital Identity Framework: autenticazione e sistemi di identificazione basati su IA
  • Platform-to-Business Regulation: trasparenza algoritmica per piattaforme online

Governance e complessità istituzionale: il ruolo dell’AI Office

L’AI Act introduce un’architettura di governance innovativa centrata sull’AI Office europeo (AIO), che presenta sia opportunità che rischi significativi.

Mandato e responsabilità dell’AI Office

L’AI Office è incaricato di:

  1. Supervisionare i modelli GPAI: vigilanza sui modelli di IA per finalità generali, inclusi quelli con rischio sistemico
  2. Supportare sandbox regolamentari: facilitare l’innovazione in ambienti controllati
  3. Coordinare l’enforcement: armonizzare l’applicazione della normativa tra Stati membri

Sovrapposizioni con autorità esistenti

Lo studio evidenzia come il ruolo dell’AIO si sovrapponga a quello di regolatori esistenti:

  • Autorità per la protezione dei dati (DPA)
  • Organismi di sorveglianza del mercato
  • European Data Protection Board (EDPB)
  • Autorità nazionali competenti per varie normative digitali

Il rischio di frammentazione regolamentare è significativo, particolarmente in aree dove esistono competenze concorrenti senza robusti meccanismi di coordinamento.

Preoccupazioni sull’indipendenza operativa

La posizione istituzionale dell’AIO all’interno della Commissione solleva preoccupazioni sulla sua indipendenza operativa e capacità di adempiere al suo mandato senza una personalità giuridica dedicata o risorse protette da compartimentazione.

Lo studio raccomanda di considerare un rafforzamento dell’autonomia dell’AI Office, potenzialmente attraverso lo status di agenzia indipendente simile all’ENISA o all’EDPS.

Considerazioni strategiche: competitività europea a rischio?

Lo studio pone interrogativi cruciali sulla competitività globale dell’Europa nell’IA, evidenziando che l’effetto cumulativo della legislazione digitale UE, sebbene radicato in obiettivi politici legittimi, rischia di gravare in modo sproporzionato sugli innovatori europei.

Una preoccupazione da tempo espressa: l’iperproduzione legislativa nel digitale

Le conclusioni di questo studio del Parlamento Europeo confermano pienamente le preoccupazioni che ho sollevato ripetutamente negli ultimi anni in numerose conferenze ed eventi pubblici: l’Unione Europea sta producendo un eccesso di legislazione sul digitale che rischia di soffocare l’innovazione sotto il peso della complessità normativa.

Ho sempre sostenuto che ci troviamo di fronte a una vera e propria iperproduzione legislativa: non si tratta di contestare la necessità di regolare tecnologie emergenti come l’intelligenza artificiale, ma di evidenziare come la moltiplicazione di strumenti normativi sovrapposti crei un groviglio di obblighi difficilmente gestibile, specialmente per PMI, startup e operatori che non dispongono di grandi uffici legali.

Quanto emerge da questo studio - le sovrapposizioni tra FRIA e DPIA, la duplicazione di obblighi di trasparenza e logging, le catene di responsabilità frammentate tra molteplici autorità, l’incertezza interpretativa generata dall’intersezione di normative pensate separatamente - non è una sorpresa per chi, come me, segue da anni l’evoluzione del quadro regolamentare digitale europeo.

L’approccio stratificato e settoriale adottato dall’UE - un nuovo regolamento per ogni nuova sfida tecnologica - genera inevitabilmente quella complessità sistemica che oggi lo studio del Parlamento Europeo documenta con rigore. Non basta più pensare alla conformità GDPR, o alla conformità AI Act, o alla conformità DSA: occorre pensare alla conformità dell’intero ecosistema normativo digitale, il che rappresenta un onere sproporzionato e un evidente svantaggio competitivo per l’Europa.

Le raccomandazioni dello studio - in particolare quelle a lungo termine che invitano a ripensare il quadro legislativo digitale in una prospettiva più integrata - vanno nella direzione che auspico da tempo: serve maggiore coerenza, proporzionalità e semplificazione. L’Europa deve scegliere se vuole essere un regolatore globale o anche un innovatore globale nel digitale. Con l’attuale architettura normativa, questi due obiettivi appaiono sempre più in tensione.

Il divario di investimento europeo

Il documento sottolinea che questa preoccupazione è particolarmente rilevante dato il relativo sottoperformance dell’UE in metriche di investimento e innovazione nell’IA rispetto a Stati Uniti e Cina:

  • Investimenti privati in IA: significativamente inferiori rispetto a USA e Cina
  • Numero di startup IA: concentrazione minore rispetto ad altri ecosistemi globali
  • Talenti e ricerca: brain drain verso altri mercati con ambienti regolatori più snelli

L’equilibrio tra protezione e innovazione

Mentre l’AI Act delinea una visione per un’IA human-centric e trustworthy, la sua intersezione con altre normative digitali non è sempre calibrata per agilità, scalabilità o competitività globale.

Lo studio sottolinea l’importanza di trovare un equilibrio tra:

  • Protezione di diritti fondamentali e sicurezza
  • Facilitazione dell’innovazione e competitività economica
  • Coerenza normativa e certezza giuridica
  • Proporzionalità degli oneri regolamentari

Raccomandazioni: breve, medio e lungo termine

Lo studio presenta un insieme articolato di raccomandazioni stratificate su tre orizzonti temporali, precisando che non vanno intese come suggerimenti per azione immediata ma come riflessioni per future azioni normative o politiche.

Raccomandazioni a breve termine: ottimizzazione nell’applicazione

Implementabili senza modifiche legislative, si concentrano sull’ottimizzazione dell’applicazione dell’AI Act in relazione ad altre normative:

  1. Rafforzare interazione e coordinamento tra regolatori: particolarmente per quelli al di fuori dell’ecosistema di vigilanza della conformità dei prodotti (autorità di protezione dati, organismi competenti per Data Act, DSA, ecc.)

  2. Coordinamento delle linee guida a livello UE: garantire che le guidance siano coordinate ove possibile a livello UE per mitigare il rischio di frammentazione inappropriata

  3. Armonizzazione delle soluzioni interpretative: assicurare che le soluzioni ritenute appropriate in uno Stato membro siano accettate come conformi in tutti gli altri

  4. Meccanismi di condivisione delle best practice: creare network di scambio tra autorità nazionali per problemi comuni di applicazione

Raccomandazioni a medio termine: aggiustamenti legislativi mirati

Focus su ottimizzazioni dell’AI Act attraverso modifiche legislative minori senza richiedere cambiamenti fondamentali nella filosofia o nell’approccio generale:

  1. Armonizzazione delle valutazioni d’impatto: integrazione o almeno allineamento procedurale tra FRIA (AI Act) e DPIA (GDPR)

  2. Chiarimento dei ruoli e responsabilità: definizioni più precise delle catene di responsabilità tra fornitori, deployer e altri attori

  3. Semplificazione per PMI: regimi proporzionati per piccole e medie imprese, inclusa assistenza tecnica e template standardizzati

  4. Meccanismi di one-stop-shop: punto di contatto unico per compliance cross-normativa

  5. Rafforzamento dell’AI Office: dotazione di maggiori risorse, autonomia e personalità giuridica

Raccomandazioni a lungo termine: ripensare il quadro legislativo digitale

Riflessioni fondamentali sulla futura legislazione digitale nell’UE da una prospettiva ideale su un orizzonte temporale di circa 20 anni, senza considerare il ’lascito’ delle normative esistenti:

  1. Approccio legislativo unificato: considerare un Digital Code integrato che armonizzi obblighi comuni su temi trasversali (trasparenza, sicurezza, diritti degli utenti)

  2. Principio di proporzionalità rafforzato: applicazione sistematica di valutazioni costi-benefici per oneri regolamentari

  3. Regulatory agility: meccanismi di revisione e adattamento più rapidi per tecnologie in evoluzione

  4. Semplificazione della governance: razionalizzazione dell’architettura istituzionale per evitare sovrapposizioni e lacune di competenza

  5. Level playing field globale: considerare l’impatto competitivo delle normative UE rispetto ad altri ordinamenti giuridici

Implicazioni per i professionisti legali e le organizzazioni

Per avvocati, DPO, compliance officer e organizzazioni che operano nell’ecosistema dell’IA, questo studio rappresenta una roadmap fondamentale per comprendere la complessità del quadro normativo emergente.

La corsa agli standard: CEN CENELEC accelera per supportare l’AI Act

La complessità normativa evidenziata dallo studio del Parlamento Europeo emerge con particolare chiarezza anche sul fronte della standardizzazione tecnica, elemento cruciale per l’implementazione operativa dell’AI Act e delle altre normative digitali.

Il 23 ottobre 2025, appena una settimana prima della pubblicazione dello studio, CEN e CENELEC hanno annunciato una decisione eccezionale per accelerare lo sviluppo degli standard europei a supporto dell’AI Act, confermando l’urgenza e la pressione che il sistema normativo sta generando.

Misure straordinarie per rispettare le scadenze

Durante la riunione congiunta dei Technical Boards del 14-16 ottobre 2025, CEN e CENELEC hanno adottato un pacchetto eccezionale di misure per accelerare la consegna degli standard chiave sviluppati dal CEN-CLC/JTC 21 “Artificial Intelligence” e dei deliverable richiesti dalla Standardization Request M/593 (e suo Emendamento M/613).

Le misure straordinarie includono:

  • Creazione di un drafting group ristretto: composto da esperti già attivi, per finalizzare le sei bozze più ritardate prima della loro sottomissione ai Working Groups
  • Obiettivo temporale stringente: garantire la disponibilità degli standard entro il Q4 2026
  • Bilanciamento tra urgenza e inclusività: decisione presa in consultazione con partner istituzionali e organizzazioni Annex III

Il dilemma tra rapidità e qualità del processo

Questa decisione eccezionale rivela una tensione fondamentale nel sistema: da un lato l’urgenza di fornire standard tecnici operativi per supportare l’implementazione dell’AI Act (che entra progressivamente in vigore), dall’altro la necessità di mantenere i principi di inclusività, trasparenza e consenso che caratterizzano la standardizzazione europea.

CEN e CENELEC sottolineano che si tratta di una misura temporanea ed eccezionale, ma il fatto stesso che sia necessario derogare ai normali processi di standardizzazione evidenzia la pressione temporale generata dalla sovrapposizione di molteplici normative digitali, ciascuna con le proprie scadenze e requisiti.

L’importanza degli standard per gestire la complessità

Gli standard tecnici rappresentano uno strumento essenziale per operazionalizzare i requisiti astratti delle normative. Nel contesto dell’AI Act, gli standard sono particolarmente critici per:

  1. Definire metodologie di valutazione del rischio comuni per sistemi di IA ad alto rischio
  2. Specificare requisiti tecnici per robustezza, accuratezza e cybersecurity
  3. Fornire presunzioni di conformità: chi segue gli standard armonizzati beneficia della presunzione di conformità ai requisiti normativi
  4. Armonizzare interpretazioni tra diversi Stati membri e settori

Tra i deliverable chiave in corso di sviluppo, particolare rilievo assume il prEN 18286 Quality Management Systems, che formerà parte della futura architettura di valutazione della conformità ai sensi dell’AI Act.

Il collegamento con la complessità dello studio del Parlamento

L’accelerazione forzata del processo di standardizzazione conferma empiricamente quanto evidenziato dallo studio del Parlamento Europeo: la moltiplicazione di normative digitali interconnesse genera una pressione sistemica che si ripercuote su tutti i livelli dell’ecosistema regolatorio, dalla governance legislativa fino ai processi tecnici di standardizzazione.

Il fatto che CEN-CLC/JTC 21 abbia raccolto “la più ampia partecipazione di stakeholder mai coinvolta nella standardizzazione europea dell’IA” è sintomo positivo di engagement, ma anche della complessità degli interessi in gioco: industria, PMI, accademia, NGO, organizzazioni Annex III devono trovare compromessi tecnici su normative che si sovrappongono e interagiscono in modi non sempre prevedibili.

Rischi di un processo accelerato

L’adozione di misure eccezionali per accelerare la standardizzazione comporta rischi che vanno attentamente monitorati:

  • Minore inclusività effettiva: gruppi ristretti di drafting possono non catturare tutte le prospettive rilevanti
  • Standard tecnicamente incompleti: la pressione temporale può portare a standard che necessitano revisioni frequenti
  • Disallineamento con l’evoluzione tecnologica: standard sviluppati rapidamente rischiano di essere obsoleti al momento della pubblicazione
  • Sovrapposizioni con altri standard: coordinamento insufficiente con standard di cybersecurity (CRA), qualità dei dati (Data Act), gestione del rischio (NIS2)

La decisione di CEN CENELEC, per quanto necessaria, sottolinea l’importanza delle raccomandazioni di coordinamento contenute nello studio del Parlamento Europeo: solo un approccio integrato e armonizzato può evitare che anche il livello tecnico-normativo degli standard replichi le frammentazioni evidenziate a livello legislativo.

Azioni pratiche suggerite

  1. Mapping normativo integrato: condurre analisi sistematiche di tutte le normative applicabili ai propri sistemi/servizi di IA

  2. Governance della compliance cross-funzionale: costituire team che integrino competenze su AI Act, GDPR, cybersecurity, diritto digitale

  3. Standardizzazione delle valutazioni d’impatto: sviluppare framework integrati che coprano FRIA, DPIA e altre assessment richieste

  4. Monitoraggio delle guidance autorità: seguire attentamente le linee guida dell’AI Office, EDPB, ENISA e altre autorità rilevanti

  5. Engagement con i sandbox regolamentari: per testare approcci innovativi in contesti controllati

  6. Advocacy coordinata: contribuire ai processi di consultazione per evidenziare problemi pratici di applicazione

Conclusioni: verso un ecosistema normativo coerente e competitivo

Lo studio del Parlamento Europeo rappresenta un contributo essenziale al dibattito sulla regolamentazione dell’intelligenza artificiale in Europa, offrendo la prima analisi sistematica delle interazioni tra l’AI Act e il più ampio quadro legislativo digitale dell’UE.

Le conclusioni principali sono chiare:

  1. La complessità regolatoria è reale: le sovrapposizioni tra AI Act, GDPR, Data Act, DSA, DMA, CRA e altre normative creano un onere cumulativo significativo

  2. La frammentazione della governance è un rischio: la molteplicità di autorità competenti richiede urgentemente meccanismi di coordinamento rafforzati

  3. La competitività europea è in gioco: l’equilibrio tra protezione dei diritti e facilitazione dell’innovazione deve essere costantemente ricalibrato

  4. Serve un approccio evolutivo: le raccomandazioni a breve, medio e lungo termine tracciano un percorso pragmatico per l’ottimizzazione del quadro normativo

Il messaggio centrale dello studio è che, mentre l’ambizione europea di un’IA trustworthy e human-centric è legittima e necessaria, la sua realizzazione richiede un quadro normativo che sia non solo protettivo ma anche coerente, proporzionato e orientato alla competitività.

L’AI Act segna indubbiamente una pietra miliare nella governance tecnologica globale, ma il suo successo dipenderà dalla capacità dell’UE di gestire efficacemente le sue interazioni con l’ecosistema legislativo digitale esistente e di adattarsi dinamicamente all’evoluzione tecnologica.

Per i professionisti legali e le organizzazioni, lo studio offre una bussola indispensabile per navigare la complessità crescente del diritto digitale europeo. Per i policy maker, rappresenta un appello all’azione per garantire che l’Europa possa competere efficacemente nell’era dell’intelligenza artificiale senza compromettere i valori fondamentali che la caratterizzano.

Riferimenti

Nota: Questo articolo si basa sullo studio pubblicato dal Parlamento Europeo nell’ottobre 2025. Le opinioni espresse nello studio sono di esclusiva responsabilità degli autori e non rappresentano necessariamente la posizione ufficiale del Parlamento Europeo.

Hashtag correlati

#AIAct #EuropeanParliament #GDPR #DataAct #DSA #DMA #CyberResilienceAct #NIS2 #AIOffice #DigitalLegislation #ArtificialIntelligence #AIRegulation #RegulatoryComplexity #AICompliance #ITRE #GPAI #FRIA #DPIA #AIStandardization #CENCENELEC #EuropeanCompetitiveness #DigitalEurope #TechRegulation #DataProtection #AIPrivacy #DigitalSingleMarket #EULaw #TrustworthyAI