Chi usa o sviluppa sistemi AI nel 2026 si trova a navigare un panorama normativo che si è complicato rapidamente e continuerà a farlo. L'EU AI Act è in vigore. Colorado, Illinois, New York City e Utah hanno già leggi operative. Nel 2025, i legislatori di tutti e 50 gli stati americani hanno presentato proposte sull'AI, e misure concrete sono state approvate in 38 stati. Non c'è un'unica legge federale americana a fare da riferimento: ogni giurisdizione legifera in modo indipendente.
La buona notizia è che esiste una struttura comune. Un'analisi comparativa delle normative mostra che legislatori europei e americani si sono concentrati, a diversi livelli di profondità, sugli stessi tre principi: trasparenza, risk management e fairness. Chi costruisce la propria strategia di compliance su questi tre assi può coprire la maggior parte degli obblighi attuali e prepararsi a quelli futuri senza dover ricominciare da zero a ogni nuova legge.
Trasparenza: informare quando si usa l'AI
Quasi tutte le normative attive richiedono che gli utenti siano informati quando interagiscono con sistemi AI o quando decisioni che li riguardano coinvolgono processi automatizzati. Le forme variano: Colorado richiede notifica ai consumatori per le decisioni "consequenziali" in aree come occupazione, credito e abitazione. Illinois e NYC richiedono che i candidati e i dipendenti siano informati quando l'AI viene usata nei processi di selezione e valutazione. L'EU AI Act richiede notifica ogni volta che l'AI automatizza processi decisionali o quando gli utenti interagiscono con chatbot.
Sul piano operativo, il modo più efficiente per rispettare questi obblighi è incorporare la notifica nelle policy e nei processi già esistenti: aggiornare i notice sui chatbot automatizzati per informare gli utenti dell'interazione con AI e offrire l'opzione di parlare con un operatore umano; aggiungere ai processi di labeling interno un meccanismo per taggare i contenuti generati da AI.
Risk management: valutare prima di deployer
Colorado e EU AI Act sono le normative più esigenti su questo fronte. Colorado richiede valutazioni d'impatto annuali per i sistemi AI ad alto rischio, con un programma di risk management allineato a framework riconosciuti — il NIST AI Risk Management Framework è esplicitamente citato. L'EU AI Act stabilisce requisiti ancora più estesi: conformity assessment, Fundamental Rights and Algorithms Impact Assessment (FRAIA), supervisione umana obbligatoria, documentazione dei processi di test e monitoraggio.
Per chi è già soggetto al GDPR, il punto di partenza esiste: le DPIA (Data Protection Impact Assessment) già in uso per i processi ad alto rischio possono essere estese per incorporare le domande richieste dalla FRAIA. Le domande del risk assessment Colorado possono essere integrate nelle valutazioni di rischio enterprise esistenti. Questo non elimina il lavoro, ma lo riduce significativamente rispetto a costruire processi separati per ogni normativa.
Il prerequisito operativo è un inventario dei casi d'uso AI: non si può valutare ciò che non si conosce. L'inventario deve mappare i sistemi AI in uso, i processi che supportano, i dati che utilizzano e le dipendenze critiche con applicazioni e infrastrutture. Chi ha già un model inventory o un data inventory può adattare risorse esistenti; chi parte da zero deve costruirlo come prima priorità.
Fairness: audit, documentazione e processi anti-bias
NYC, Colorado e EU AI Act richiedono tutti misure per prevenire la discriminazione algoritmica, con approcci diversi. NYC impone audit annuali sui bias per chi usa strumenti di selezione automatizzata del personale, con obbligo di pubblicazione sul sito aziendale. Colorado richiede documentazione del sistema per gli sviluppatori di sistemi AI ad alto rischio, da condividere con le organizzazioni che li usano. L'EU AI Act richiede validazione del rischio di bias come parte dell'assessment obbligatorio per gli usi ad alto rischio.
Un punto pratico: molte organizzazioni faticano a sapere quali dipartimenti — e quali vendor — usano tecnologia AI. I Records of Processing Activities (RoPA) usati dalla funzione privacy per tracciare i trattamenti di dati personali possono servire come punto di partenza per identificare i processi AI che utilizzano dati sensibili. Una RoPA ben tenuta riduce significativamente il tempo necessario per tracciare e monitorare l'uso dell'AI nell'organizzazione.
Una policy globale o politiche differenziate per giurisdizione?
Le organizzazioni attive in più giurisdizioni devono scegliere tra due approcci: politiche differenziate per ciascuna legge, o una policy globale allineata agli standard più stringenti. La seconda opzione è più efficiente per chi è soggetto all'EU AI Act: poiché i legislatori americani si sono ispirati esplicitamente all'approccio europeo basato sul rischio, una compliance EU AI Act ben strutturata copre in larga parte anche i requisiti statali americani.
Il rischio principale da gestire è la frammentazione normativa stessa: leggi non coordinate tra stati diversi, incertezza sulle iniziative federali di preemption delle leggi statali, e un ritmo di produzione normativa che rende il monitoraggio un'attività continua, non un progetto una tantum. Il 47% dei responsabili legali prevede di rafforzare i propri processi di tracking normativo nei prossimi 12-18 mesi. Gli stati da monitorare con priorità alta sono California, Connecticut, Maryland e New York.
Chi costruisce oggi una struttura di governance AI basata su trasparenza, risk management e fairness non fa solo compliance: si prepara a rispondere a qualunque legge verrà approvata nei prossimi anni senza dover ripartire da zero.
