C’è una parola che attraversa silenziosamente tanto la produzione normativa europea di ultima generazione quanto le policy aziendali dei grandi gruppi industriali: rischio. Ma non sempre parliamo dello stesso rischio. Nella grammatica dell’AI Act, del GDPR o del DSA, «risk-based approach» significa calibrare obblighi e controlli in funzione del livello di rischio per i diritti fondamentali. Nella logica d’impresa, come ci insegna l’Enterprise Risk Management (ERM) – modello non sempre adottato formalmente da tutte le aziende, ma che rappresenta una svolta culturale verso una gestione integrata e trasversale del rischio – rischio è ogni scostamento dall’atteso, ogni deviazione che impatta sulla capacità dell’organizzazione di raggiungere i propri obiettivi. Eppure, oggi, queste due grammatiche devono imparare a parlarsi. Perché la nuova frontiera della compliance non è più la mera conformità, ma la capacità di governare l’incertezza.
Negli ultimi anni, l’Unione Europea ha fatto del rischio la chiave di volta delle sue strategie di regolazione del digitale. Lo si vede chiaramente nel GDPR, che impone valutazioni di impatto e misure di sicurezza proporzionate alla gravità dei rischi per i diritti e le libertà delle persone. Lo si ritrova nel Digital Services Act, che chiede alle piattaforme di calibrare le proprie responsabilità in base al potenziale impatto sistemico. E, più recentemente, nell’AI Act, dove la classificazione dei sistemi di intelligenza artificiale si fonda su una gerarchia di rischio che va dal minimo, all’alto, fino al rischio inaccettabile. Qui, il rischio non è più una variabile accessoria, ma il vero motore della regolazione: quanto più alto è il rischio per i diritti fondamentali e la sicurezza collettiva, tanto più stringenti sono gli obblighi a carico di chi sviluppa, distribuisce o utilizza le tecnologie.
