EVOLUZIONE/NOVITÀ
DI MARCO CALIANDRO, FEDERICO LOFFREDO | 26 NOVEMBRE 2025
L’articolo analizza il complesso ecosistema normativo europeo dedicato all’Intelligenza Artificiale, illustrando come l’AI Act si coordini con il GDPR, il Data Governance Act, il Data Act, l’EHDS e il quadro della cybersicurezza. Si evidenzia la natura multilivello della regolazione, fondata su un approccio basato sul rischio, sulla centralità dei dati e su infrastrutture sicure. L’analisi mostra come l’Unione persegua un modello di governance che integra tutela dei diritti, responsabilità tecnologica e promozione dell’innovazione, richiedendo agli operatori un approccio interdisciplinare e strutturato alla compliance.
Un modello europeo di regolazione multilivello
L’Europa sta plasmando, con una visione sistemica e anticipatoria, il più avanzato quadro regolatorio globale dedicato all’Intelligenza Artificiale. Non è una reazione affrettata all’innovazione, né il risultato di un intervento settoriale: si tratta di un progetto legislativo che ha scelto deliberatamente la strada della complessità, costruendo un vero e proprio ecosistema normativo. Al centro di questo impianto si colloca indubbiamente l’AI Act, primo regolamento organico al mondo che affronta l’IA come tecnologia trasversale, potenzialmente presente in ogni ambito della vita economica e sociale. Eppure, per comprenderne la portata non basta studiarne isolatamente il contenuto. Occorre inserirlo in un mosaico più ampio, composto da regole preesistenti e nuove discipline che cooperano per definire un ambiente giuridico unitario, orientato alla tutela dei diritti e alla promozione dell’innovazione.
L’approccio basato sul rischio dell’AI Act
L’AI Act riposa su una scelta metodologica fondamentale: l’approccio basato sul rischio. Non tutte le applicazioni di IA sono uguali; non tutte generano le stesse implicazioni per diritti, sicurezza, equità o trasparenza. Il regolamento differenzia tra modelli general purpose, sistemi a rischio limitato e soluzioni ad alto rischio, imponendo obblighi crescenti in funzione della sensibilità del contesto. La stessa definizione di sistema di IA, elaborata con attenzione anche alle evoluzioni tecniche, mira a catturare le tecnologie dotate di capacità inferenziali autonome, distinguendole dai tradizionali software deterministici. Su questa base si innestano divieti rigorosi di pratiche reputate incompatibili con i valori dell’Unione, come la manipolazione subliminale, lo sfruttamento di vulnerabilità e il social scoring, nonché un quadro articolato di doveri che investe sviluppatori, importatori, distributori e utilizzatori professionali.
Le intersezioni normative: AI Act e GDPR
La vera complessità emerge quando l’AI Act incontra il regolamento europeo sulla protezione dei dati. Il GDPR continua a rappresentare la colonna portante di ogni trattamento di dati personali e, quindi, il naturale punto di convergenza di qualsiasi sistema di IA che operi su informazioni riferibili a persone fisiche. Mentre l’AI Act disciplina la struttura tecnica del modello e le condizioni del suo impiego, il GDPR regola le basi giuridiche del trattamento, la sua proporzionalità, le misure di sicurezza, la governance dei dati e i diritti degli interessati. Le due normative non si sovrappongono, ma si completano: l’una definisce il perimetro tecnologico e i presidi tecnici dell’affidabilità, l’altra fissa i limiti sostanziali e procedurali del trattamento lecito.
La valutazione d’impatto, che nel GDPR serve a misurare i rischi per i diritti e le libertà delle persone, trova un corrispettivo nell’AI Impact Assessment previsto dall’AI Act per alcune categorie di sistemi, dando vita a un modello di doppia responsabilizzazione del titolare del trattamento e del deployer del sistema IA. L’automazione decisionale, oggetto dell’art. 22 del GDPR, diviene il fulcro attorno al quale si confrontano le esigenze di trasparenza, controllo umano e tracciabilità dei processi algoritmici.
La valorizzazione dei dati: Data Governance Act
Accanto alla protezione dei dati personali, un altro elemento essenziale del nuovo ecosistema è rappresentato dalla disciplina della condivisione e della circolazione dei dati. Il Data Governance Act si propone di rimuovere gli ostacoli che limitano l’accesso e il riutilizzo delle informazioni, favorendo la creazione di data spaces europei e introducendo nuovi attori di fiducia – come i data intermediaries – in grado di mediare tra pubblico e privato in modo trasparente e sicuro.
Il suo scopo non è soltanto quello di aprire nuovi flussi di dati, ma di farlo in un ambiente controllato, in cui i diritti degli interessati e la protezione delle informazioni sensibili siano garantiti. Senza infrastrutture regolatorie solide, la promessa dell’IA di generare valore tramite grandi quantità di dati resterebbe irrealizzabile.
Data Act e responsabilizzazione delle imprese
A questa logica si affianca il Data Act, che interviene in modo diretto sul mondo dell’Internet of Things, ampliando le possibilità di accesso ai dati generati da dispositivi, macchinari e sistemi connessi. L’obiettivo è quello di evitare che i dati prodotti dagli utenti restino confinati nei silos dei produttori, favorendo invece un’ampia disponibilità di informazioni per servizi innovativi e per l’addestramento dei modelli di IA.
In questo senso, il Data Act modifica gli assetti della titolarità e della disponibilità dei dati, imponendo nuovi obblighi di portabilità e prevedendo garanzie per la tutela dei segreti commerciali. Per le imprese che sviluppano o utilizzano sistemi di IA, ciò implica la necessità di adottare una data governance interna capace di assicurare qualità, integrità, accuratezza e interoperabilità delle informazioni, elementi decisivi per la costruzione di modelli affidabili.
EHDS e le peculiarità del settore sanitario
L’architettura normativa si arricchisce ulteriormente con gli spazi europei dei dati settoriali, tra i quali assume un rilievo particolare lo European Health Data Space. La sanità è un campo in cui la disponibilità di dati rappresenta una risorsa strategica, ma anche un ambito di massima sensibilità in termini di protezione e sicurezza. Le nuove regole intendono garantire che i dati sanitari siano accessibili agli operatori autorizzati, immediatamente utilizzabili dai pazienti e disponibili per finalità di ricerca e innovazione, incluse quelle basate sull’IA.
L’intero sistema si fonda su obblighi di interoperabilità delle infrastrutture, sicurezza delle piattaforme e controllo rigoroso dell’accesso. Per gli operatori sanitari, le imprese biomedicali e i consulenti che trattano dati sanitari, l’EHDS introduce una nuova stagione di responsabilità, nella quale innovazione e tutela devono convivere senza compromessi.
Cybersicurezza e resilienza dei sistemi
Il perimetro regolatorio dell’IA sarebbe incompleto senza il riferimento al quadro europeo della cybersicurezza. Il Cybersecurity Act, la Direttiva NIS2 e le linee guida dell’ENISA contribuiscono a definire gli standard di sicurezza, resilienza e gestione del rischio informatico che devono essere integrati nei sistemi di IA, soprattutto quando utilizzati in contesti critici.
L’interconnessione tra queste normative riflette la consapevolezza che l’affidabilità di un modello di IA dipende anche dalla solidità dell’infrastruttura digitale che lo ospita, dalla qualità delle misure di protezione adottate e dalla capacità delle organizzazioni di prevenire e gestire incidenti di sicurezza.
Un modello integrato di governance
Ciò che colpisce dell’impianto europeo non è la molteplicità delle norme, ma la loro capacità di dialogare tra loro. L’AI Act non sostituisce il GDPR, non prevale sul Data Act e non elide gli obblighi di sicurezza della NIS2. Piuttosto, si colloca su un diverso piano, quello della regolazione tecnica e funzionale dei sistemi di IA, interagendo con le altre discipline per creare un quadro coerente e multilivello.
È un modello di governance complesso, che richiede agli operatori un approccio interdisciplinare, competente e continuo. Per imprese, pubbliche amministrazioni e studi professionali, ciò comporta l’esigenza di dotarsi di strutture interne e processi di compliance che permettano di navigare questo quadro regolatorio articolato, trasformando la complessità normativa in un vantaggio competitivo fondato sulla qualità, sulla trasparenza e sulla fiducia.
Conclusioni: un’Europa che guida l’innovazione
L’Europa ha scelto di non subire l’innovazione, ma di guidarla attraverso un sistema che mette al centro l’essere umano, i suoi diritti e la sicurezza collettiva. In questo ecosistema, l’IA non è un oggetto fuori controllo, ma una tecnologia che può essere governata, orientata e resa compatibile con i valori democratici dell’Unione.
La sfida ora ricade sugli attori del mercato: adottare modelli di governance adeguati e maturi sarà la condizione indispensabile per cogliere i benefici dell’IA senza sacrificarne la sostenibilità giuridica ed etica.
Il contenuto di questa newsletter è strettamente riservato e destinato esclusivamente ai destinatari autorizzati.
È espressamente vietata la condivisione totale o parziale di questa comunicazione su qualsiasi piattaforma pubblica o privata, inclusi (ma non limitati a):
• Gruppi e canali Telegram
• Chat di gruppo o broadcast su WhatsApp
• Post o storie su Facebook, Instagram, X (Twitter), LinkedIn, o altri social network.
Ogni violazione di questa norma potrà comportare l’esclusione immediata dalla lista dei destinatari e, nei casi più gravi, azioni legali.