Tecnologia e policy

AI Act UE, Digital Omnibus e legge coreana: la guerra globale delle regole sull’intelligenza artificiale

Un confronto concreto tra AI Act UE, proposta Digital Omnibus e nuova legge coreana in vigore dal 22 gennaio 2026. Focus su tempistiche, obblighi per i modelli general purpose (GPAI) e impatto sulla fiducia nei regolatori.

Timeline UE e Corea del Sud GPAI e rischio sistemico Digital Omnibus: semplificazioni e rinvii possibili Legge coreana dal 22 gennaio 2026 Fiducia e capacità di enforcement Guida operativa per aziende e startup

Pubblicato il: Giovedì 22 gennaio 2026 alle ore 09:30.

Ultimo aggiornamento: Giovedì 22 gennaio 2026 alle ore 11:33.

Contenuto verificato Verificato secondo i nostri standard di fact-checking, con consultazione di testi ufficiali e confronto tra fonti istituzionali e analisi indipendenti. Policy correzioni

Per questo approfondimento abbiamo lavorato su testi normativi e documenti pubblici: AI Act (Regolamento (UE) 2024/1689 su EUR-Lex e Gazzetta Ufficiale dell’Unione Europea), proposta Digital Omnibus su AI Regulation (COM(2025) 836 su EUR-Lex), traduzione del Framework Act coreano (CSET, Georgetown University) e copertura Reuters (ripubblicata da AsiaOne) sull’entrata in vigore e sulle sanzioni. Dove il quadro dipende da atti attuativi, linee guida o standard tecnici non ancora consolidati, lo segnaliamo apertamente.

Se lavori con l’AI, oggi la domanda non è più “arriveranno regole?”, ma quali regole ti toccano prima e in quale mercato. In UE l’AI Act ha un calendario a scaglioni: dal 2 febbraio 2025 scattano le prime parti operative, dal 2 agosto 2025 arrivano gli obblighi sui modelli general purpose (GPAI), e dal 2 agosto 2026 si entra nella fase di applicazione generale. Nel frattempo Bruxelles ha messo sul tavolo il Digital Omnibus, una proposta che punta a semplificare e, in alcuni punti, a riallineare scadenze e oneri. E mentre l’Europa calibra governance e standard, la Corea del Sud è già in modalità operativa: la sua legge entra in vigore il 22 gennaio 2026 e mette al centro trasparenza, etichettatura e controllo umano per l’AI ad alto impatto.

Mappa rapida: la partita globale in quattro mosse

Passaggio Cosa accade Il segnale da notare Conseguenza
AI Act UE: calendario a scaglioni Le prime parti operative scattano già nel 2025, gli obblighi sui modelli general purpose dal 2 agosto 2025, la fase “piena” dal 2 agosto 2026 (con code nel 2027). L’Europa punta su governance, standard e verifiche prima di far partire l’enforcement più duro. Se progetti prodotti oggi, devi già pensare a documentazione, trasparenza e responsabilità lungo la filiera.
GPAI: il modello diventa “infrastruttura” regolata Per chi sviluppa modelli general purpose: documentazione tecnica, info per i downstream, policy copyright e sintesi dei dati di training. Se c’è rischio sistemico, entrano obblighi più pesanti. Il regolatore non guarda solo al caso d’uso finale: guarda al modello come moltiplicatore di rischio e di fiducia. La compliance entra nella pipeline di training e rilascio, non resta un adempimento a valle.
Digital Omnibus: semplificare e (forse) spostare scadenze La Commissione propone modifiche tecniche e semplificazioni e apre la porta a rinvii mirati su alcune regole high-risk, per allinearle a standard e guidance disponibili. È un segnale politico: “regole sì, ma applicabili”. Il rischio è l’effetto “porta che si sposta” per chi investe. Può ridurre burocrazia e incertezza operativa, ma può anche mettere alla prova la fiducia nella stabilità del quadro UE.
Corea del Sud: obblighi mirati, entrata in vigore rapida Dal 22 gennaio 2026: trasparenza su AI e generativa, etichettatura dei contenuti quando è difficile distinguerli dal reale, controllo umano per l’AI “ad alto impatto”, anche con portata extraterritoriale. Approccio più snello: poche categorie, obblighi chiari, enfasi su sicurezza e fiducia. Per chi opera in più mercati: diventa normale gestire un doppio binario tra UE (più articolata) e Corea (più pragmatica).

Tip: la tabella è scorrevole. Su mobile scorri con il dito a destra e a sinistra per vedere tutte le colonne.

Le date che contano
UE: 2 febbraio 2025, 2 agosto 2025, 2 agosto 2026. Corea: 22 gennaio 2026. Il resto è pianificazione.
GPAI: obblighi concreti
Documentazione, info per chi integra, copyright e sintesi training data. Se c’è rischio sistemico, scattano valutazioni e incident reporting.
Digital Omnibus: il calendario può muoversi
È una proposta, non una certezza. Ma dice una cosa chiara: le regole devono essere anche praticabili.
Fiducia: la vera posta in gioco
Regole chiare e stabili creano fiducia. Regole vaghe o che cambiano spesso creano paura e frenano investimenti.
AI Act UE, Digital Omnibus e legge coreana: la guerra globale delle regole sull’intelligenza artificiale
Analisi

Quando le regole diventano globali, la fiducia non è un dettaglio: è l’infrastruttura che regge tutto.

Update log

Registro degli aggiornamenti sostanziali: trasparenza su modifiche, correzioni e integrazioni informative.

  • Giovedì 22 gennaio 2026 alle ore 09:30: Pubblicazione: quadro comparativo su AI Act UE, Digital Omnibus e legge coreana, con focus su tempistiche e obblighi per i modelli general purpose (GPAI).
  • Giovedì 22 gennaio 2026 alle ore 09:55: Rafforzata la sezione GPAI: rischio sistemico, eccezioni per modelli open source e differenza tra “modello” e “sistema” nell’AI Act.
  • Giovedì 22 gennaio 2026 alle ore 10:20: Aggiornata la sezione Digital Omnibus: cosa propone la Commissione, possibili rinvii sulle regole high-risk e impatto sulla fiducia nei regolatori.

Trasparenza: fonti e metodo

Questo approfondimento nasce da un lavoro semplice, ma non banale: leggere i testi, confrontare le versioni, isolare le date operative e poi chiedersi cosa significhino davvero per chi produce modelli e per chi li usa. Non c’è niente di più pericoloso, su questi temi, delle frasi generiche tipo “tanto non cambia nulla fino al 2026”. Cambia già prima, e chi fa prodotto lo capisce subito.

Abbiamo dato priorità a fonti primarie e documenti pubblici (AI Act, proposta Digital Omnibus, testo della legge coreana in traduzione), e abbiamo usato la copertura giornalistica solo per contestualizzare elementi pratici come sanzioni e tempi di entrata in vigore.

Fonti principali: EUR-Lex, Gazzetta Ufficiale dell’Unione Europea, Commissione europea, CSET (Georgetown University), Reuters (ripubblicato da AsiaOne).

Approfondimenti correlati

Sbircia la Notizia Magazine: homepage

La homepage della testata: notizie, approfondimenti e sezioni per orientarti rapidamente tra i temi di attualità.

Apri la homepage

Contesto essenziale: perché oggi la regolazione dell’AI è una partita globale

C’è un punto che spesso resta sullo sfondo, ma in realtà spiega tutto: i modelli general purpose non “restano in patria”. Un modello addestrato oggi può essere integrato domani in un’app bancaria europea, dopodomani in un servizio sanitario asiatico, la settimana dopo in un prodotto consumer globale. Il rischio, e la responsabilità, viaggiano con la stessa velocità della distribuzione.

Per questo si parla di “guerra globale delle regole”. Non è solo una competizione geopolitica, è una competizione di fiducia: quale regolatore riesce a creare un quadro chiaro, coerente e applicabile, senza spegnere l’innovazione e senza lasciare i cittadini scoperti.

UE e Corea del Sud stanno scegliendo strade diverse. L’Europa costruisce un sistema molto strutturato e a scaglioni, con obblighi lungo la filiera e un capitolo dedicato ai GPAI. La Corea punta su un impianto più snello e mirato, con un accento forte sulla trasparenza e sui casi “high-impact”. In mezzo c’è la proposta Digital Omnibus, che dice implicitamente: “abbiamo scritto regole ambiziose, ora dobbiamo farle funzionare davvero”.

In breve

  • UE: AI Act a fasi. Prime parti operative dal 2 febbraio 2025, GPAI dal 2 agosto 2025, applicazione generale dal 2 agosto 2026.
  • GPAI: obblighi su documentazione, copyright e trasparenza training data. Se rischio sistemico, scattano valutazioni, gestione rischi, incident reporting e cybersecurity.
  • Digital Omnibus: proposta UE per semplificare, rendere coerenti le norme digitali e riallineare alcune scadenze high-risk a standard e guidance disponibili.
  • Corea del Sud: legge in vigore dal 22 gennaio 2026 con obblighi di trasparenza e controllo umano per “high-impact AI”, anche con portata extraterritoriale.
  • Fiducia: regole chiare e stabili aumentano adesione e investimenti. Regole vaghe o che cambiano spesso generano prudenza e freno.

Il quadro: AI Act UE, Digital Omnibus e legge coreana

Ti dico subito qual è il rischio maggiore, se stai seguendo questa storia da “non addetto ai lavori”: pensare che sia una discussione astratta, fatta di acronimi. In realtà è una discussione estremamente concreta: cambia i contratti, cambia i processi interni, cambia il modo in cui un prodotto può essere venduto in un mercato. E soprattutto cambia la domanda che un utente farà, anche senza saperlo: posso fidarmi?

Nota: questo contenuto è informativo e di contesto. Non sostituisce consulenza legale o compliance specialistica su casi specifici.

Sommario dei contenuti

Perché se ne parla adesso (e perché non è troppo presto)

Perché la regolazione dell’AI non arriva come un interruttore. Arriva come una serie di scadenze che, per chi fa prodotto, equivalgono a una cosa molto semplice: o cambi il processo prima, o lo subisci dopo.

Il punto vero non è “mancano mesi”. Il punto vero è che documentazione, tracciabilità dei dataset, valutazioni del modello, policy sul copyright e procedure di incident response non si improvvisano. Se sei un provider di modello, devi ripensare la pipeline. Se sei un’azienda che integra un modello terzo, devi ripensare la due diligence e i contratti.

AI Act UE: le date vere e cosa cambia a ogni fase

L’AI Act non è solo “quando entra in vigore”. È un calendario con gradini. Ed è proprio qui che tante aziende si perdono: vedono la data 2026 e tirano il fiato, ma ignorano il 2025.

Timeline essenziale in una tabella

Data Cosa entra in gioco Perché conta
2 febbraio 2025 Applicazione dei Capitoli I e II dell’AI Act. È il primo test di “regola che diventa pratica”: divieti, principi e prime responsabilità organizzative.
2 maggio 2025 Scadenza per avere pronti i codici di pratica sui GPAI (livello UE). È un passaggio chiave perché trasforma norme generali in indicazioni operative condivise.
2 agosto 2025 Applicazione del Capitolo V (GPAI) e di una parte rilevante di governance e sanzioni. Da qui i provider di modelli general purpose entrano nel perimetro regolatorio in modo diretto.
22 gennaio 2026 Entrata in vigore della legge coreana sull’AI. Per chi opera in APAC o serve utenti coreani, è una scadenza già “operativa”, non teorica.
2 agosto 2026 Applicazione generale dell’AI Act per la maggior parte delle disposizioni. È la fase in cui molti obblighi su sistemi high-risk diventano parte della realtà quotidiana.
2 agosto 2027 Adeguamento dei GPAI già sul mercato prima del 2 agosto 2025 e alcune code su high-risk (in base alle previsioni dell’AI Act). È la scadenza che evita l’illusione “chi è già sul mercato non deve fare nulla”.
Fine 2027 - 2028 Possibili rinvii high-risk ipotizzati dal Digital Omnibus (se approvato nella forma proposta). Qui si gioca un pezzo di fiducia: rinviare può essere pragmatismo o incertezza, dipende da come viene gestito.

Chiarimento utile: “Digital Omnibus” è una proposta e il processo può cambiare testi e date. Ma il solo fatto che la Commissione metta sul tavolo rinvii e semplificazioni dice che la capacità di applicare l’AI Act, nei tempi, è considerata un tema reale.

Obblighi sui modelli general purpose: cosa deve fare un provider

Questo è il cuore della storia per chi sviluppa modelli. L’AI Act non dice solo “non fare X”. Dice: se vuoi mettere un modello general purpose a disposizione del mercato, devi poter dimostrare come lo hai costruito e come lo rendi utilizzabile in modo responsabile.

La differenza che cambia tutto: modello vs sistema

Un sistema è l’applicazione finale. Un modello general purpose è “il motore” che può finire in cento applicazioni diverse. Regolare il modello significa intervenire prima che quel motore venga montato su prodotti ad alto rischio, o semplicemente su prodotti che scalano in massa.

Gli obblighi più importanti, tradotti in lingua “azienda”

  • Documentazione tecnica: non un PDF generico, ma un set di informazioni che spiega capacità, limiti, contesto d’uso e aspetti tecnici rilevanti.
  • Informazioni per chi integra il modello: se un’azienda usa il tuo modello per costruire un sistema, deve poter capire cosa può e non può fare, e quali misure servono per restare compliant.
  • Policy sul diritto d’autore: l’AI Act lega i GPAI a un obbligo di impostare una politica di rispetto del copyright UE (qui il tema non è ideologico: è tracciabilità, gestione delle riserve di diritti, e prova di buona fede).
  • Sintesi dei contenuti usati per il training: l’obiettivo è rendere più trasparente, a livello “macro”, che tipo di contenuti hanno alimentato il modello.

Quando un modello diventa “con rischio sistemico”

L’AI Act prevede una categoria speciale: general-purpose AI models with systemic risk. Qui l’idea è semplice: alcuni modelli, per potenza e diffusione, hanno un impatto potenziale paragonabile a un’infrastruttura critica.

C’è un indicatore molto concreto: se il calcolo cumulativo usato per l’addestramento supera 10^25 operazioni in virgola mobile, il modello è presunto avere capacità ad alto impatto. Da quel momento entrano obblighi aggiuntivi e, soprattutto, un rapporto più diretto con l’autorità (inclusa la notifica alla Commissione).

Obblighi extra per il rischio sistemico: non è “più carta”, è più controllo

  • Valutazioni del modello: test e valutazioni secondo protocolli e metodologie, con l’idea di misurare capacità e rischi in modo comparabile.
  • Gestione dei rischi sistemici: identificare, analizzare e mitigare rischi che non sono “bug”, ma effetti a scala (abusi, disinformazione, uso improprio, impatti su diritti).
  • Incident reporting: obblighi di monitoraggio e segnalazione di incidenti gravi e misure correttive.
  • Cybersecurity: protezione del modello e della sua disponibilità contro attacchi e compromissioni.

Sanzioni: perché la compliance non è un esercizio accademico

L’AI Act prevede un regime sanzionatorio significativo. Per alcune violazioni (come pratiche vietate) le multe possono arrivare fino a 35 milioni di euro o fino al 7% del fatturato mondiale dell’impresa, a seconda di quale valore è più alto. Per altre violazioni, ci sono soglie inferiori ma comunque rilevanti. E per i provider di GPAI, la Commissione può imporre sanzioni fino al 3% del fatturato mondiale o fino a 15 milioni (a seconda del caso).

Open source: eccezioni, limiti e “rischio sistemico”

Qui c’è una zona che merita attenzione, perché in molti la raccontano con troppa fretta. L’AI Act riconosce che il free e open source può essere un acceleratore di ricerca e innovazione. Per alcuni modelli rilasciati con licenza free e open source e con informazioni tecniche rese pubbliche, esistono eccezioni su una parte degli obblighi.

Ma ci sono due limiti importanti: primo, se un modello è classificato a rischio sistemico, l’eccezione non ti salva. Secondo, anche quando l’eccezione c’è, restano centrali gli obblighi legati a copyright e a sintesi dei contenuti usati per il training. In pratica: l’open source può alleggerire, ma non azzera.

Digital Omnibus: cosa propone la Commissione e cosa può spostare

“Digital Omnibus” è una parola che sembra neutra, ma non lo è. Vuol dire: prendere un corpus di norme digitali e provare a renderlo più coerente, più semplice da applicare e meno costoso. Nel caso specifico dell’AI, la proposta su AI Regulation punta a interventi tecnici sul quadro dell’AI Act, con due obiettivi dichiarati: ridurre oneri e migliorare l’implementazione.

I punti che interessano davvero chi lavora con l’AI

  • Semplificazioni per imprese: estensione di misure di supporto e alleggerimenti anche oltre le sole micro e PMI, includendo le cosiddette “small mid-caps”.
  • AI literacy: proposta di semplificazione spostando parte della responsabilità verso Commissione e Stati membri (per ridurre incertezza interpretativa per aziende e deployer).
  • Post-market monitoring: maggiore flessibilità e semplificazione degli obblighi di monitoraggio dopo l’immissione sul mercato, soprattutto quando il rischio è basso.
  • Registrazione: riduzione dell’onere per la registrazione di alcuni sistemi non high-risk per abbassare costi e burocrazia.
  • Governance sui sistemi basati su GPAI: alcune modifiche puntano a chiarire la supervisione dell’AI Office quando tanti sistemi derivano da modelli general purpose sviluppati dallo stesso provider.
  • Bias detection e dati sensibili: la proposta include la possibilità di usare categorie particolari di dati personali per rilevare e correggere bias, con salvaguardie, quando necessario.

Il nodo delle scadenze high-risk

Qui si entra nel punto più delicato per la fiducia. La proposta prevede un meccanismo per posticipare l’applicazione di alcune regole sui sistemi ad alto rischio, in funzione della disponibilità di standard armonizzati e guidance. In più, inserisce un “tetto” temporale: se non ci fossero decisioni specifiche, alcune regole non potrebbero slittare oltre determinate date (fine 2027 per una parte, 2028 per un’altra).

È un messaggio doppio: da un lato “vogliamo regole applicabili, non solo scritte”. dall’altro “attenzione, per chi investe oggi le scadenze potrebbero cambiare”. E qui la fiducia si gioca sulla qualità della comunicazione e sulla capacità di far uscire standard e linee guida in tempo.

Legge coreana: scadenze, “high-impact AI” e obblighi di trasparenza

La Corea del Sud ha scelto un percorso diverso e, per certi aspetti, più rapido. La legge coreana sull’AI entra in vigore il 22 gennaio 2026 e definisce “high-impact AI” in modo molto concreto: energia, acqua potabile, sanità, dispositivi medici, nucleare, biometria per indagini penali, selezione lavoro e credito, trasporti, decisioni pubbliche, valutazione studenti e altre aree che possono incidere su vita, sicurezza e diritti.

C’è un’altra cosa che, in prospettiva, interessa tantissimo chi lavora fuori dalla Corea: la portata extraterritoriale. Se le tue attività, anche svolte all’estero, impattano mercato o utenti coreani, la legge può entrare in gioco.

Trasparenza e generativa: obblighi che puntano dritti alla fiducia

La norma coreana punta forte su due idee: primo, l’utente deve poter capire quando sta interagendo con un sistema AI. secondo, quando un output generato dall’AI è difficile da distinguere dal reale, servono misure chiare di etichettatura e informazione.

High-impact AI: controllo umano e accountability

Uno degli elementi più citati della legge coreana è l’obbligo di garantire human oversight nei casi ad alto impatto. Non è un dettaglio “filosofico”. Vuol dire: progettare processi e responsabilità in modo che una decisione automatizzata non diventi un rimpallo di colpe.

Sanzioni e tempi di adattamento

Secondo la copertura Reuters ripubblicata da AsiaOne, il quadro coreano prevede sanzioni amministrative significative e un periodo di grazia di almeno un anno prima dell’avvio delle multe, con esempi di sanzione fino a 30 milioni di won per mancata etichettatura di output generativi in casi previsti. È un modo molto diretto di dire: “ti diamo tempo, ma poi vogliamo vedere comportamenti”.

Fiducia nei regolatori: dove si vince e dove si perde

Sembra un tema “soft”, ma è la cosa più concreta di tutte. La fiducia è ciò che fa funzionare le regole senza trasformare tutto in contenzioso. Se le aziende si fidano della coerenza del quadro, investono. Se i cittadini si fidano che ci siano controlli reali, adottano. Se la fiducia manca, succede una cosa tipica: tutti diventano iper-prudenti, e l’innovazione si sposta altrove o si nasconde.

L’Europa ha un punto di forza: ha scritto un impianto molto dettagliato e ha inserito una disciplina per i GPAI, cosa rara a livello globale. Il rischio dell’Europa è un altro: la complessità e le scadenze a scaglioni richiedono risorse e chiarezza comunicativa. Se i testi vengono percepiti come incomprensibili o instabili, la fiducia si erode.

La Corea ha un punto di forza diverso: obblighi mirati, più leggibili, e un segnale di “entrata in vigore” netto. Il rischio è che dettagli e decreti attuativi, se tardano o restano vaghi, spingano le aziende verso l’approccio più conservativo possibile. E anche quella è una forma di freno.

Guida operativa: cosa fare in azienda, senza panico

Se dovessi riassumerla in una frase, direi così: porta la compliance dentro il ciclo di vita. Non aspettare la “fase piena”.

La parte pratica, quella che spesso manca, è trasformare norme e scadenze in un piano di lavoro. Qui sotto trovi una guida operativa che puoi usare come struttura di partenza, sia che tu sia un provider di modello, sia che tu integri modelli terzi.

Fonti e documenti consultati

  • EUR-Lex: Regolamento (UE) 2024/1689 (AI Act) e articoli su GPAI, rischio sistemico, sanzioni e tempistiche.
  • Gazzetta Ufficiale dell’Unione Europea: pubblicazione del testo dell’AI Act.
  • Commissione europea: documentazione sul pacchetto Digital Omnibus e proposta su AI Regulation.
  • EUR-Lex: proposta COM(2025) 836 final (Digital Omnibus on AI Regulation).
  • CSET (Georgetown University): traduzione inglese del Framework Act coreano sull’AI (definizioni, scope e obblighi).
  • Reuters (ripubblicato da AsiaOne): entrata in vigore della legge coreana, focus su human oversight, etichettatura e sanzioni.

Guida operativa: cosa fare nelle prossime settimane

1) Capisci “chi sei” nella filiera

Sei provider di un modello? Sei un integratore che costruisce un prodotto su un modello terzo? Sei un deployer (lo usi in produzione)? Non è semantica: nell’AI Act gli obblighi cambiano proprio in base al ruolo.

2) Fai un inventario minimo, ma reale

Non serve iniziare con un documento da 80 pagine. Serve sapere cosa è in produzione, cosa è in test, quali servizi esterni usi, quali dati entrano e quali output escono. Se non sai questo, nessuna compliance regge.

3) Se sviluppi GPAI, porta i requisiti dentro la pipeline

La tentazione è trattare documentazione e policy come “cose del legale”. In realtà, con i GPAI, la compliance diventa un pezzo di ingegneria del prodotto: come tracci i dati, come testi, come fai red teaming, come gestisci incidenti, come garantisci cybersecurity.

4) Se integri un modello terzo, alza l’asticella della due diligence

La domanda utile non è “il vendor è famoso?”. È: mi dà documentazione utile? Mi spiega limiti e istruzioni? Ha un piano su copyright e trasparenza training data? Se domani qualcuno mi chiede “perché hai scelto quel modello”, io posso rispondere senza arrossire?

5) Metti la trasparenza in prima riga di backlog

Interazione con utenti, contenuti generati, deepfake e output difficili da distinguere dal reale: sono aree dove UE e Corea convergono. La trasparenza non è solo un pop-up. È un insieme di scelte: etichette, comunicazioni, logiche di riconoscibilità e, quando serve, watermarking e tracciabilità.

6) Prepara un minimo di incident response

Anche se non sei un colosso, avere un flusso di gestione degli incidenti (chi decide, chi comunica, cosa si documenta) cambia tutto. È una delle differenze tra “abbiamo provato” e “abbiamo governato”.

Una regola pratica: se un controllo o una misura non è ripetibile, non è un controllo. La fiducia, a livello regolatorio, vive di procedure ripetibili e verificabili.

Il commento dell’esperto

La cosa che mi colpisce, guardando UE e Corea insieme, è che stanno cercando di rispondere alla stessa paura con strumenti diversi. La paura è sempre la stessa: l’AI diventa infrastruttura, e quando qualcosa è infrastruttura non puoi gestirla con l’improvvisazione.

L’Europa prova a costruire un’architettura completa. È ambiziosa, e proprio per questo è fragile se la comunicazione non è chiara o se l’applicazione non è credibile. Il Digital Omnibus, in questo senso, può essere letto in due modi. Il modo buono è: “stiamo correggendo per rendere applicabile”. Il modo pericoloso è: “stiamo spostando la porta in corsa”. La differenza tra i due è una parola che torna sempre: fiducia.

La Corea prova un approccio più snello e immediato. Ha il vantaggio della leggibilità e dell’impatto rapido. Ma anche lì la fiducia dipende dai dettagli: decreti attuativi, linee guida, strumenti di supporto. Se restano vaghi, le aziende si chiudono a riccio.

La mia impressione è che, nei prossimi due anni, la vera competizione non sarà “chi ha scritto la norma migliore”. Sarà: chi riesce a farla funzionare senza perdere le persone per strada. E quando dico persone intendo cittadini, startup, aziende, e anche gli stessi regolatori, che devono essere messi nelle condizioni di fare bene il loro lavoro.

Questo è un commento editoriale basato su documenti pubblici e sul confronto tra quadri normativi. Non è un parere legale.

A cura di Junior Cristarella.

Domande frequenti

Che cosa intende l’AI Act per “modello general purpose” (GPAI)?

Il punto chiave è la differenza tra “modello” e “sistema”. Un GPAI è un modello addestrato per compiti generali, riutilizzabile in molti contesti e spesso integrato da altri in applicazioni diverse. L’AI Act disciplina sia i sistemi (le applicazioni) sia, in modo specifico, i modelli general purpose, perché un modello può moltiplicare rischi e impatti su larga scala.

Quando scattano gli obblighi UE per i provider di GPAI?

Le regole del Capitolo V dell’AI Act (general-purpose AI models) si applicano dal 2 agosto 2025. Per i modelli general purpose già immessi sul mercato prima del 2 agosto 2025, l’adeguamento è richiesto entro il 2 agosto 2027.

Che cosa significa “rischio sistemico” per un modello?

Nell’AI Act un modello può essere classificato “con rischio sistemico” se ha capacità ad alto impatto o se la Commissione lo designa come equivalente, usando criteri specifici. C’è anche una presunzione legata alla potenza di calcolo: quando il calcolo cumulativo per l’addestramento supera 10^25 operazioni in virgola mobile, il modello è presunto ad alto impatto. In quel caso scattano obblighi più severi: valutazioni, gestione dei rischi, segnalazione incidenti e cybersecurity.

Se il mio modello è open source, sono fuori dall’AI Act?

Non automaticamente. L’AI Act prevede eccezioni su alcune richieste di trasparenza per i provider di modelli rilasciati con licenza free e open source e con informazioni tecniche rese pubbliche, ma l’eccezione non vale se il modello è considerato a rischio sistemico. Inoltre, anche in presenza di eccezioni, restano centrali gli obblighi legati a copyright UE e alla sintesi dei contenuti usati per il training.

Il Digital Omnibus è già legge?

No. È una proposta della Commissione europea che punta a semplificare e rendere più coerente un insieme di norme digitali, includendo modifiche tecniche legate anche all’AI Act. Va letta come direzione politica e come segnale sulle criticità operative, ma i contenuti finali dipendono dal processo legislativo.

La legge coreana mi riguarda se sono un’azienda europea o statunitense?

Può riguardarti. La normativa coreana prevede una portata extraterritoriale: si applica anche ad attività svolte fuori dalla Corea se hanno effetti sul mercato o sugli utenti in Corea. Se operi in settori “high-impact” o offri servizi di AI generativa a utenti coreani, è prudente valutare subito obblighi di trasparenza e, nei casi previsti, il tema del rappresentante locale.

Qual è l’errore più comune quando si parla di compliance AI?

Pensare che sia solo documentazione finale. La tendenza globale, UE in testa, è portare la compliance dentro il ciclo di vita: dataset, training, valutazioni, monitoraggio, incident response e trasparenza verso gli utenti. Se lo fai bene, non è solo “difesa”: diventa fiducia misurabile.

Questo articolo è consulenza legale?

No. È un approfondimento informativo e di contesto basato su documenti e fonti pubbliche. Per decisioni operative, soprattutto in ambito regolatorio, serve il supporto di professionisti qualificati.

Timeline: apri le fasi in ordine

Tocca una fase per aprire i passaggi chiave. La timeline serve a orientarti tra scadenze e priorità.

  1. Fase 1 2024: l’AI Act esiste già, e il timer è partito
    • Pubblicazione del Regolamento (UE) 2024/1689 e avvio del calendario a scaglioni.
    • Il punto chiave: “entrare in vigore” non significa “applicarsi tutto subito”.
    • Nel 2024-2025 si costruiscono governance, codici di pratica e strumenti di controllo.

    Perché conta: Se aspetti la data “piena”, arrivi tardi: la compliance sui modelli si prepara mesi prima.

  2. Fase 2 2 febbraio 2025: prime norme operative in UE
    • Entrano in applicazione Capitoli I e II dell’AI Act (tra cui divieti e principi generali).
    • Le organizzazioni iniziano a strutturare alfabetizzazione e governance interna sull’uso dell’AI.
    • È la fase in cui si capisce se un regolatore riesce a comunicare in modo chiaro.

    Perché conta: Qui si misura la fiducia: regole comprensibili e applicabili riducono il rumore e aumentano l’adesione reale.

  3. Fase 3 Maggio e agosto 2025: codici di pratica e GPAI
    • Entro il 2 maggio 2025 i codici di pratica per i modelli general purpose devono essere pronti.
    • Dal 2 agosto 2025 si applicano le regole UE sui modelli general purpose (GPAI) e parte della governance.
    • Scatta la logica “modello come infrastruttura”: documentazione, copyright, sintesi dei dati di training.

    Perché conta: È la scadenza che interessa chi sviluppa e chi acquista modelli: la filiera diventa regolata.

  4. Fase 4 Gennaio e agosto 2026: Corea operativa, UE in fase piena
    • Dal 22 gennaio 2026 entra in vigore la legge coreana: trasparenza e controllo umano per l’AI ad alto impatto.
    • Dal 2 agosto 2026 l’AI Act entra nella fase di applicazione generale per la maggior parte delle disposizioni.
    • Nel mezzo, la proposta Digital Omnibus tenta di rendere più praticabile il percorso su standard e scadenze.

    Perché conta: È il momento in cui le aziende sentono la pressione su più fronti: Europa e Asia non aspettano la stessa velocità.

  5. Fase 5 2027-2028: transitori, rinvii possibili e stress test della fiducia
    • Entro il 2 agosto 2027 i GPAI già sul mercato prima del 2 agosto 2025 devono adeguarsi alle regole UE.
    • Se il Digital Omnibus venisse confermato, alcune scadenze high-risk potrebbero slittare fino a fine 2027 o 2028.
    • L’enforcement reale, con risorse e competenze, diventa la cartina tornasole della credibilità.

    Perché conta: Le regole non bastano: la fiducia si costruisce con coerenza, capacità di controllo e correzioni trasparenti.

Chiusura

Le regole sull’AI non sono più un “tema da conferenze”: sono un calendario e una responsabilità. L’AI Act UE spinge la filiera verso trasparenza e controllo, soprattutto sui modelli general purpose. Il Digital Omnibus prova a rendere la macchina più praticabile. La Corea del Sud accelera su trasparenza e high-impact. In mezzo c’è la vera domanda: riusciremo a costruire fiducia senza soffocare innovazione?

Firma digitale di Junior Cristarella
Firma digitale del direttore responsabile
Foto di Junior Cristarella
Autore Junior Cristarella Junior Cristarella segue i dossier su regolazione digitale e intelligenza artificiale con un metodo centrato su testi ufficiali e confronto tra fonti istituzionali e analisi indipendenti.
Pubblicato Giovedì 22 gennaio 2026 alle ore 09:30 Aggiornato Giovedì 22 gennaio 2026 alle ore 11:33