Nel 2026, chi usa o sviluppa sistemi AI deve fare i conti con un panorama normativo che si è complicato rapidamente. Gli Stati Uniti non hanno ancora una legge federale sull'AI: l'AI Action Plan dell'amministrazione, pubblicato nel luglio 2025, punta a favorire l'innovazione rimuovendo vincoli alla governance, ma questo approccio deregolatorio non semplifica la vita alle organizzazioni. In assenza di uno standard federale, ciascuno stato può legiferare in modo indipendente, creando un patchwork di obblighi che le aziende operative in più giurisdizioni devono monitorare e rispettare singolarmente.
Nel 2025, i legislatori di tutti e 50 gli stati hanno presentato proposte di legge sull'AI. Misure concrete sono state approvate in 38 stati.
Le leggi già in vigore negli USA
Quattro giurisdizioni USA hanno già norme operative che impattano l'uso dell'AI in contesti aziendali.
Il Colorado AI Act si applica a sviluppatori e deployer di sistemi AI ad alto rischio in ambiti come occupazione, credito e abitazione. Richiede notifica ai consumatori quando l'AI prende decisioni "consequenziali", valutazioni d'impatto annuali sul rischio di discriminazione algoritmica e un programma di risk management allineato a framework riconosciuti come quello NIST. Le violazioni sono classificate come pratiche commerciali sleali, con multe fino a 20.000 dollari per violazione. La data di entrata in vigore, inizialmente fissata a febbraio 2026, è stata posticipata a giugno 2026.
L'Illinois Human Rights Act si applica ai datori di lavoro nello stato che usano AI nei processi HR. Obbliga a informare i candidati e i dipendenti quando l'AI viene usata in decisioni di selezione, promozione o valutazione. La finestra per correggere le violazioni è di 30 giorni prima che scattino le sanzioni formali.
La NYC Local Law 144 è in vigore dal gennaio 2023 e si applica ai datori di lavoro e alle agenzie per il lavoro nella città di New York che usano strumenti automatizzati per le decisioni sull'occupazione. Richiede un audit annuale sui bias, i cui risultati devono essere pubblicati sul sito aziendale. Sei mesi dopo l'entrata in vigore, uno studio congiunto di Cornell University e Consumer Reports mostrava che la maggioranza delle aziende in scope non aveva pubblicato gli audit, sostenendo di non rientrare nell'ambito della legge.
Lo Utah AI Policy Act, in vigore dal maggio 2024, impone alle professioni regolamentate — contabilità, odontoiatria, podiatria e altre — di informare i consumatori quando interagiscono con AI generativa. A giugno 2025, il Texas ha approvato una misura analoga estesa alle agenzie governative e ai provider sanitari.
L'EU AI Act: lo standard più ampio e le sanzioni più alte
L'EU AI Act si applica a organizzazioni pubbliche e private basate nell'UE, e a quelle che operano nell'UE pur non avendovi sede. È strutturato su un approccio basato sul rischio: usi vietati, usi ad alto rischio con obblighi stringenti, usi a basso rischio con obblighi più leggeri.
Tra i divieti assoluti: sistemi AI che manipolano il libero arbitrio degli utenti, sistemi di "social scoring" e — con alcune eccezioni per le forze dell'ordine — il riconoscimento emotivo in ambienti di lavoro e istruzione.
Per gli usi ad alto rischio — che includono la maggior parte delle applicazioni AI con impatto sulle persone — la legge richiede valutazioni di conformità, Fundamental Rights Impact Assessment, supervisione umana e documentazione dei processi di test e monitoraggio.
Le sanzioni seguono una scala progressiva: fino al 7% del fatturato mondiale annuo per le violazioni più gravi. L'Act si costruisce sulle fondamenta del GDPR, il che significa che le organizzazioni già conformi alla normativa europea sulla privacy hanno un vantaggio di partenza: molti dei processi di risk assessment richiesti si sovrappongono.
Tre principi comuni per semplificare la conformità
Nonostante le differenze tra le varie leggi, un'analisi comparativa identifica tre principi ricorrenti che guidano l'approccio normativo sia negli USA che nell'UE: trasparenza, risk management e fairness.
Sul fronte della trasparenza, quasi tutte le normative richiedono che i consumatori siano informati quando interagiscono con sistemi AI o quando decisioni che li riguardano coinvolgono processi automatizzati. La forma e il contesto variano, ma il principio è condiviso.
Sul risk management, Colorado e EU AI Act vanno più lontano delle altre leggi USA, richiedendo valutazioni formali del rischio e programmi strutturati di gestione. Gli altri stati USA non prevedono ancora obblighi specifici in questo senso, ma le proposte in discussione in California, Virginia e Washington seguono un approccio analogo.
Sulla fairness, NYC, Colorado e EU AI Act richiedono misure contro la discriminazione algoritmica, con approcci diversi: audit obbligatori a NYC, documentazione per i sistemi ad alto rischio in Colorado, valutazione del rischio di bias nell'EU AI Act.
Come muoversi nel 2026
Chi deve gestire la conformità su più giurisdizioni ha due opzioni: politiche differenziate per ciascuna giurisdizione, o una policy globale allineata agli standard più stringenti. La seconda opzione è spesso più efficiente, anche se comporta obblighi più estesi nelle giurisdizioni con requisiti minori.
Le organizzazioni già conformi all'EU AI Act si trovano in una posizione di vantaggio anche negli USA: i legislatori statali si sono ispirati esplicitamente all'approccio europeo basato sul rischio, e i processi già in atto per la compliance europea coprono in larga parte i requisiti statali americani.
Il monitoraggio legislativo è diventato un'attività strutturata. Il 47% dei responsabili legali prevede di rafforzare i propri processi di tracking normativo nei prossimi 12-18 mesi. Gli stati da tenere sotto osservazione con maggiore attenzione sono California, Connecticut, Maryland e New York. Più di 60 legislatori statali USA collaborano dal 2022 per coordinare le proprie iniziative normative: in una lettera aperta del dicembre 2024 hanno ribadito la necessità di affrontare i rischi dell'AI e costruire la fiducia dei consumatori.
