L‘intelligenza artificiale è una grande sfida per l’Ue, non tanto a livello tecnologico (dove il gap con Usa e Cina resta enorme), ma a livello normativo. È l’occasione per riflettere sulla natura del diritto europeo, sui suoi obiettivi e sui compromessi che la comunità europea è disposta ad accettare pur di mettere dei guardrail a questa tecnologia che non ha precedenti nella storia umana.
C’è un primo quesito fondamentale da risolvere: “Abbiamo veramente bisogno di questa ipertrofia di diritto?”, chiede retoricamente al pubblico Oreste Pollicino, professore di Diritto della regolamentazione dell’Ai e consulente di istituzioni e aziende sul fronte della compliance digitale, dal palco dell’Ai Festival 2026.
Occhio, però, a rivolgere lo sguardo (giudicante) solo verso Bruxelles. Dall’edifico Roentgen dell’università Bocconi, dove è anche professore ordinario di Diritto costituzionale, Pollicino lancia un monito anche alle imprese europee: “La bussola [dell’Unione] non può essere solo esterna, ma deve essere interna”. Ovvero: le aziende non devono limitarsi a rincorrere le norme che cambiano, ma devono costruire una governance organica dell’intelligenza artificiale.
L’ipertrofia normativa europea e il “respiro corto”
Il contesto dell’Ai Festival di Milano, evento internazionale organizzato da Search On Media Group nell’ambito del WMF – We Make Future il 21 e 22 gennaio 2026, ha offerto a Pollicino l’occasione per affrontare uno dei nodi centrali della regolamentazione europea: l’eccesso di norme.
Il Berkman Center di Harvard ha contato più di 96 dichiarazioni dei diritti e doveri su internet, a cui si sommano dichiarazioni di diritti e doveri per quanto riguarda l’Ai. “L’intento è nobile, nobilissimo, ma qual è l’effetto? La collisione tra diritti, tra carte e soprattutto il senso di respiro corto“.
Quest’ultimo concetto è centrale nell’analisi di Pollicino. “Il diritto che arranca rispetto alla tecnologia e non può che arrancare se adottiamo una dimensione reattiva”. La normativa europea, ha spiegato il professore, “è in affanno per forza di cose. Perché ha cercato di regolamentare il futuro scommettendo su quelle che saranno le categorie di rischi, ma queste ultime mutano, perché i rischi mutano insieme all’accelerazione tecnologica“.
L’Ai Act già obsoleto: la Commissione corre ai ripari
Il dato che Pollicino ha portato all’attenzione della platea è significativo. “Rispetto al 2024, la normativa che è già entrata in vigore è obsoleta”. L’Ai Act, il regolamento europeo approvato nel maggio 2024 ed entrato in vigore nell’agosto dello stesso anno, prevede una piena applicazione per agosto 2026, con sanzioni fino a 35 milioni di euro o il 7% del fatturato globale.
Eppure, Bruxelles sta già correndo ai ripari con il Digital Omnibus, il pacchetto di semplificazione presentato dalla Commissione nel novembre 2025. Un tentativo di “aggiustamento di rotta” che, secondo Pollicino, “sta creando ulteriore disorientamento per imprese ed istituzioni“.
Il Digital Omnibus interviene sull’intero ecosistema normativo digitale europeo, dal Gdpr al Data Act fino all’Ai Act con l’obiettivo di ridurre il carico burocratico, armonizzare i requisiti e facilitare la conformità per le piccole e medie imprese. Ma secondo alcuni osservatori si tratta di un “annacquamento fatale”, nonostante altri esponenti, tra cui l’europarlamentare Brando Benifei, co-relatore dell’Ai Act, precisano che “i cambiamenti proposti non toccano i fondamenti” del regolamento.
Aziende, dalla compliance difensiva alla governance adattiva
Di fronte a questo quadro in movimento, Oreste Pollicino ha tracciato la strada per le aziende. “L’idea è fare un passaggio culturale, logico prima che giuridico, da compliance di carattere difensivo o difensivistico, cioè reattivo, a quella che io chiamo governance dell’Ai adattiva“.
Il motivo è semplice: “A Bruxelles c’è grande disorientamento”, spiega Pollicino. Una dichiarazione forte, soprattutto perché pronunciata da chi collabora con la Presidenza del Consiglio, l’Agenzia per la cybersicurezza nazionale e l’Autorità per le garanzie nelle comunicazioni, nell’ambito della compliance digitale.”È ovvio – spiega il professore – che quel 7% del fatturato in termini di sanzioni deve preoccupare chi oggi ha un’azienda, ma non deve essere questa la bussola che orienta le decisioni aziendali, perché può cambiare dalla sera alla mattina”.
La “costituzione aziendale” come bussola interna
La soluzione proposta dal professore è quella di una “dimensione costituzionale dell’azienda”. In termini pratici, significa una governance elastica costruita su due pilastri portanti.
Il primo consiste nel “dare un contenuto specifico a questi principi eterei dell’Ai Act, della normativa italiana. Human in the loop, Ai responsabile, trasparenza. Ma chi non è d’accordo su questi concetti? Il tema non è essere d’accordo o meno, il tema è contestualizzare all’interno dell’azienda rispetto al business model, alla funzione, alla complessità”. Servono quindi linee guida chiare che diano una cornice valoriale con una cabina di regia. “Chi fa cosa? A seconda della funzione, il linguaggio è diverso, ma se c’è un linguaggio diverso e non c’è cooperazione, non si fa un passo avanti in questo percorso virtuoso“.
Il primo concetto di Ai governance si traduce dunque in “cooperazione, cabina di regia, ruoli e processi. Sembra semplice da farsi, un po’ più complesso a trovare poi l’accordo all’interno dell’azienda, ma è uno sforzo necessario”.
Risk assessment e diritti fondamentali
Il secondo aspetto della governance adattiva riguarda i pilastri operativi. “Concentrarsi sì sui diritti fondamentali, ma anche sul rischio e sul risk assessment, che oggi è una parola chiave in termini di AI governance”, sottolinea Pollicino.
In questo contesto, la valutazione del rischio diventa trasversale. “Il risk assessment, ovvero qual è il rischio di questo tipo di modello organizzativo sui diritti fondamentali, è diventato un elemento di compliance che deve essere condiviso trasversalmente da compliance IT, legal, Risorse Umane e quanti più comparti possibili”. Stop, insomma, alla logica dei compartimenti stagni. Anzi, “se c’è un’iniziativa del top management, ancora meglio”.
L’articolo 27 dell’Ai Act prevede che ci sia una valutazione di impatto sui diritti fondamentali per i sistemi ad alto rischio, “ma questo – osserva Pollicino – non deve essere un orpello burocratico per cui metto a norma l’azienda e poi me ne dimentico”. Le imprese europee devono sfruttare “questo limite per dare respiro lungo all’azienda e costruire un percorso virtuoso dal punto di vista del posizionamento e della reputazione, ancor prima di pensare a quel 7% di fatturato”.
Le lezioni del passato: da Calvino al “diritto dei cavalli”
Per sostenere la sua tesi, Oreste Pollicino ha richiamato due riferimenti storici. Il primo risale al 1985, quando Italo Calvino nelle Lezioni americane parlava “del rapporto fra la leggerezza del software e la pesantezza dell’hardware. Oggi questo concetto è molto importante dal punto di vista geopolitico, perché si traduce nella leggerezza del bit e nella pesantezza delle infrastrutture, che oggi sono i microchip”.
Il secondo riferimento va indietro al 1996. “Al primo convegno a Chicago su Cyber Space, un giudice Easterbrook fece un intervento che lascia tutti senza parole: ‘Dobbiamo prediligere il diritto dei cavalli o il diritto invece degli animali?’ Sembra zoologia, ma non lo è. Dobbiamo pensare a nuove regole per tutte la novità tecnologiche che emergono in questo momento o possiamo pensare a un approccio unitario che possa rimodulare coerentemente le categorie classiche del diritto rispetto alle nuove tecnologie? Questo dilemma di 30 anni fa è ancora attualissimo”.
A dimostrazione del fatto che la frammentazione del diritto può essere nociva, Pollicino, trova la risposta nella Costituzione italiana. “L’articolo 2 tutela i diritti inviolabili dell’uomo e li salda ai doveri inderogabili. Cosa vuol dire? La Costituzione non cristallizza, non pietrifica né diritti né tecnologia, perché diritti e soprattutto tecnologia non si pietrificano, ma li riconosce attraverso una clausola aperta che permette il riconoscimento costituzionale di tanti nuovi diritti che nel corso del tempo sono emersi, dal diritto all’accesso a internet al diritto all’esplicabilità, alla trasparenza algoritmica”.
Il marinaio e il vento: orientarsi nell’incertezza
La metafora finale dell’intervento sintetizza il messaggio rivolto alle imprese. “Non esiste un buon marinaio che non conosca dove va il vento, ma la bussola dove la trova il marinaio, traducendo l’impresa? Non la trova più soltanto esternamente in un modello europeo francamente accartocciato, ma deve incorporare questa bussola costituzionale attraverso un percorso interno”.
L’approccio suggerito da Pollicino rappresenta un cambio di paradigma per le aziende europee. Non si tratta di attendere passivamente le direttive di Bruxelles in un momento di grande confusione normativa, né di limitarsi a evitare sanzioni fino al 7% del fatturato. La strada da seguire, più lunga e per questo più solida, è quella di costruire una cultura aziendale dell’Ai basata su principi costituzionali stabili, che permettano di “abbracciare il nuovo senza farsi schiacciare dal progresso tecnologico“.
—
Politics
content.lab@adnkronos.com (Redazione)
