AI Act e cloud: le relazioni pericolose della regolazione europea - Agenda Digitale

Come evidenziato nei rapporti Draghi e Letta, l’Europa si trova di fronte a una drammatica sfida di competitività, generata da un gap di innovazione rispetto a Stati Uniti e Cina e dal nostro ritardo nell’adozione delle tecnologie digitali.Intelligenza Artificiale e Cloud computing non sono semplici strumenti informatici, ma vere e proprie infrastrutture critiche che ridefiniscono l’intera catena del valore dell’economia. Eppure, ci troviamo in un mercato in cui tre “hyperscaler” statunitensi raccolgono fino al 70% dei ricavi nel settore cloud, relegando l’Unione Europea a un ruolo di strutturale dipendenza. Analogamente, nel campo dell’IA generativa, l’egemonia d’oltreoceano sui foundation model è nettamente marcata.Indice degli argomenti

AI Act e cloud europeo nel quadro regolatorioPolitica industriale europea e campioni del cloudAutonomia strategica, innovazione e diritti fondamentaliFairness e diritto della concorrenza nell’IAStandard tecnici e implementazione delle regole europeeAI e cloud, la sfida europea tra autonomia e competitivitàAI Act e cloud europeo nel quadro regolatorioIn questo scenario, dal punto di vista regolatorio vengono in rilievo le “relazioni pericolose” tra i pilastri dell’impianto normativo europeo in materia: l’AI Act, il Data Act, il Digital Markets Act e il Cybersecurity Act.Questi quattro strumenti perseguono obiettivi individualmente condivisibili, ma il grande problema è che non sono stati progettati come un sistema integrato. Le loro sovrapposizioni creano un quadro applicativo denso di incertezze. Alcuni esempi: l’AI Act introduce una distinzione netta tra provider e deployer, ma questa divisione fatica a sovrapporsi in modo lineare alla complessa catena del valore del cloud (IaaS/PaaS/SaaS). Il DMA, d’altra parte, impiega una soglia di 45 milioni di utenti attivi mensili che mal si adatta alla struttura business-to-business del mercato cloud. Nel campo dell’IA, il DMA al momento non prevede una categoria specifica per i foundation model, costringendo l’Europa a inseguire l’innovazione cercando di far rientrare queste tecnologie in categorie preesistenti.Questo ci porta al primo punto fondamentale: la necessità di trovare delle “lenti” comuni per connettere le previsioni di queste normative in un’ottica di politica industriale, di sviluppo tecnologico e di mercato.Politica industriale europea e campioni del cloudLa prima lente è quella della politica industriale europea. L’Europa ha identificato grandi obiettivi strategici che richiedono scelte coraggiose. Pensiamo, ad esempio, all’opportunità di favorire il consolidamento dell’industria europea per far nascere operatori transfrontalieri più grandi e solidi. Il settore delle telecomunicazioni e delle infrastrutture cloud ne è l’esempio perfetto: oggi i fornitori europei operano in mercati frammentati su base nazionale, con dimensioni troppo piccole per competere con le economie di scala degli hyperscaler globali.In questo contesto, varare normative come il Data Act per abbattere le barriere del lock-in e facilitare la mobilità dei clienti senza, parallelamente, una politica industriale che incoraggi le aggregazioni aziendali paneuropee, rischia di essere un esercizio incompleto. Senza aver prima costruito dei veri “campioni europei” capaci di accogliere quella domanda, l’apertura del mercato finirebbe paradossalmente per avvantaggiare ulteriormente i big player d’oltreoceano.Autonomia strategica, innovazione e diritti fondamentaliAd affiancare la politica industriale, vi è una seconda e decisiva lente comune: l’autonomia strategica e lo stimolo all’innovazione, indissolubilmente legati al rispetto dei diritti fondamentali. Nell’attuale scenario geopolitico, la leadership tecnologica spinge i governi verso l’autonomia strategica, usando la regolazione come leva competitiva.L’AI Act nasce proprio con questo duplice intento: da un lato proteggere la salute, la sicurezza e i diritti fondamentali delle persone; dall’altro, supportare concretamente l’innovazione. Strumenti come le regulatory sandboxes (su cui sia consentito rinviare all’analisi svolta qui) e le esenzioni per i modelli open-source sono stati concepiti esattamente per abbattere le barriere all’ingresso e stimolare lo sviluppo.Tuttavia, calare questo equilibrio nella pratica genera tensioni fortissime. Da un lato, il mondo industriale teme che la sovrapposizione di oneri normativi freni la competitività: pensiamo alla duplicazione per cui un’organizzazione potrebbe doversi trovare a redigere sia una Valutazione d’Impatto sui Diritti Fondamentali (FRIA) sotto l’AI Act, sia una Valutazione d’Impatto sulla Privacy (DPIA) imposta dal GDPR per lo stesso sistema. Dall’altro lato, la società civile ci ricorda fermamente che la spinta alla “semplificazione” per competere a livello globale non deve trasformarsi in una deregolamentazione che sacrifichi le tutele democratiche e i diritti fondamentali. Un’autonomia strategica solida si costruisce in un ecosistema dove il rispetto dei diritti diventa un vantaggio competitivo europeo, non un ostacolo.Fairness e diritto della concorrenza nell’IASempre nell’ottica di individuare lenti comuni, richiamo una terza prospettiva: il principio di equità, o fairness. Normative come il DMA e l’AI Act innalzano questo principio, ma lo delineano spesso con contorni sfocati e vaghi. Se lasciato incontrollato, un algoritmo di IA tenderà per sua natura a una pura massimizzazione del profitto, potendo arrivare a imporre opacamente prezzi sleali o comportamenti predatori.Per evitare che la fairness rimanga un concetto malleabile o utopico, l’approccio più solido è interpretare i nuovi obblighi sull’IA attraverso la lente consolidata del diritto della concorrenza. Solo recuperando concetti ben rodati dall’antitrust, come la definizione oggettiva di “prezzo sleale” o l’analisi dell’equità dei margini di profitto, possiamo fornire ai regolatori un perimetro operativo chiaro in grado di governare le pratiche sleali nell’IA senza soccombere alla legge del più forte.Standard tecnici e implementazione delle regole europeeMa anche avendo chiare queste tre lenti — politica industriale, autonomia strategica ed equità — ci scontriamo con l’ostacolo più drammatico: lo scoglio pratico della loro implementazione.Il vero collo di bottiglia pratico, dove le ambizioni geopolitiche rischiano di arenarsi, è la definizione degli standard tecnici e applicativi. Questo problema è evidente innanzitutto nello stesso AI Act. Sebbene si ispiri alla tradizionale legislazione europea sulla sicurezza dei prodotti, l’AI Act la estende per coprire la tutela dei diritti fondamentali. L’effettiva applicazione dei suoi requisiti chiave per i sistemi ad alto rischio — come la robustezza, la trasparenza e la data governance — è largamente delegata allo sviluppo di standard armonizzati da parte di enti di normazione come CEN e CENELEC. Tuttavia, tradurre la protezione dei diritti umani in rigidi parametri ingegneristici è un’operazione estremamente complessa e senza precedenti. Se questi standard non saranno adottati in tempo, o se la Commissione non interverrà con proprie specifiche comuni vincolanti, cd. common specifications, i fornitori si troveranno a dover compiere valutazioni di conformità navigando in una incertezza giuridica che rischia di bloccare o ritardare gravemente il rilascio di nuove tecnologie sul mercato.Prendiamo poi il caso del Data Act: l’effettività dei suoi obblighi di interoperabilità per svincolarsi dal lock-in nei servizi cloud dipende anch’essa in modo decisivo dall’esito di un complesso processo di standardizzazione tecnica affidato a organismi come ETSI e CEN/CENELEC. Se questo processo dovesse rallentare, o non produrre specifiche comuni, il rischio reale è che gli obblighi normativi si riducano a mere dichiarazioni di principio, prive di contenuto operativo.Ritroviamo lo stesso rischio di paralisi nell’ambito del Cybersecurity Act. Lo schema di certificazione per i servizi cloud (EUCS) è bloccato da anni dalla cosiddetta sovereignty clause, una clausola che vorrebbe imporre la localizzazione dei dati in Europa per i servizi più critici, escludendo di fatto gli operatori americani. Questo dimostra in modo lampante come la definizione di standard non sia un mero esercizio tecnico, ma il vero terreno di scontro geopolitico e industriale tra le sponde dell’Atlantico.AI e cloud, la sfida europea tra autonomia e competitivitàIn conclusione, la convergenza tra AI e Cloud rappresenta una tra le più grandi sfide per il legislatore europeo in questo decennio. Per governare queste “relazioni pericolose”, occorrono un coordinamento attivo tra i regolatori, un allineamento rigoroso tra la normazione tecnica, la tutela della concorrenza e i diritti fondamentali, e un uso strategico della politica industriale e della domanda pubblica. Solo integrando organicamente questi sforzi e consolidando i nostri operatori, l’Europa potrà superare le sue dipendenze, trasformando la complessa rete delle sue regole in uno scudo effettivo per l’autonomia strategica, l’equità dei mercati e la competitività globale.