Dicono che l’inferno sia lastricato di buone intenzioni. E a Bruxelles devono essersi muniti di pala e cazzuola. Giovedì, l’Unione Europea ha pubblicato la bozza finale del suo Codice di condotta per l’intelligenza artificiale di uso generale. Un documento volontario, pensato per facilitare la conformità all’AI Act. Non una legge, non un vincolo, ma un segnale morale. Il solito teatrino europeo del “fare senza obbligare”, dove la burocrazia gioca a essere etica mentre gli attori reali, cioè le big tech, firmano o ignorano secondo il meteo di mercato. La keyword è intelligenza artificiale generativa, ma i sottotesti parlano di sicurezza sistemica e di una battaglia tutta politica per il controllo del rischio tecnologico.

Il codice si divide in tre sezioni: trasparenza, copyright e la più interessante per chiunque non viva sotto una roccia digitale sicurezza e protezione. Tradotto: cosa succede quando un modello di intelligenza artificiale diventa talmente capace, potente o opaco da rappresentare un “rischio sistemico”? L’UE, col tono grave di chi ha letto troppi white paper e pochi leak interni a OpenAI, identifica quattro categorie principali: CBRN (chimico, biologico, radiologico, nucleare), perdita di controllo, cyber-attacchi e manipolazione dannosa. In pratica: l’IA che ti hackera casa, mente a tuo figlio e poi costruisce un virus da guerra biologica leggendo arXiv.

La reazione delle aziende? Un cenno distratto, forse un sorriso. Il codice prevede che i fornitori di modelli sviluppino un quadro di sicurezza, valutino i rischi prima del rilascio (magari usando valutatori esterni) e notifichino gli incidenti gravi al neonato Ufficio IA dell’UE. Ma la bomba è altrove: chi definisce cosa sia “grave”? Le aziende stesse. Chi stabilisce se un modello è pericoloso? Le aziende stesse. Chi decide quando intervenire? Esatto.

La Future Society, non proprio un covo di luddisti, ha definito tutto questo una “discrezionalità unilaterale”. In sostanza, i fornitori si autocertificano, si autovalutano, si autoassolvono. Jimmy Farrell, di Pour Demain, ha colto l’assurdità: i report di sicurezza arrivano solo dopo il rilascio dei modelli. A giochi fatti. È come se Boeing pubblicasse il manuale di emergenza dopo il decollo, ma in formato riassunto.

Perfino una coalizione di parlamentari europei sì, esistono ha protestato contro l’indebolimento dell’intero impianto normativo. Le valutazioni dei rischi? Alleggerite. Le soglie di rischio? Rimosse. Il principio di precauzione? Affogato in un mare di compromessi.

Ma ecco la parte davvero ironica: il codice è volontario, ma vincolante nella narrativa. Se una startup europea come Mistral decide di firmare, diventa improvvisamente benchmark. Le big tech – Google DeepMind, Meta, Anthropic, OpenAI – restano così inchiodate alla scelta. Opporsi significa passare per irresponsabili. Firmare significa entrare nel labirinto dei report, delle valutazioni e, ovviamente, delle responsabilità giuridiche potenziali. E qui casca il nodo: perché mai un’azienda americana dovrebbe seguire un codice europeo che non ha né denti né sanzioni, ma potrebbe diventare la base per future cause legali?

La Computer & Communications Industry Association ha già espresso il suo dissenso, parlando di “oneri sproporzionati”. Un mantra ormai noto: ogni tentativo di regolazione è un attacco all’innovazione, ogni richiesta di trasparenza è un attentato alla segretezza industriale. In realtà, il problema è molto più banale: nessuno vuole essere il primo a dire la verità sul proprio modello. Perché dentro ogni LLM c’è un Frankenstein semantico, un blob statistico che può generare una poesia, una bufala, un piano di attacco o una frode algoritmica, a seconda del prompt e del momento.

Dall’altra parte dell’oceano, in California, il senatore Scott Wiener ha fatto il suo personale ingresso nel circo della regolazione con una revisione della SB 53. Il disegno di legge, nelle sue parole, è una “misura storica sulla trasparenza”. Nella pratica, è una versione ancora più diluita del codice europeo. Richiede ai “grandi sviluppatori” di pubblicare i propri protocolli di sicurezza e segnalare incidenti critici al procuratore generale della California. Niente valutatori esterni, nessun obbligo di pre-implementazione, nessuna soglia di rischio condivisa.

Ah, e per essere considerato “grande sviluppatore” serve aver addestrato un modello base con almeno 10^26 operazioni. Per chi non fa conti in potenza di calcolo a colazione: è un’enormità. Significa che la stragrande maggioranza delle aziende IA, comprese molte che già operano in ambiti sensibili, resterebbero fuori. Una soglia così alta che persino i critici tecnici la trovano farsesca. La Camera del Progresso, invece, ha colto il punto: anche così, la trasparenza fa paura. Perché trasparenza significa auditabilità, e auditabilità significa rischio reputazionale. Meglio evitare.

La questione di fondo è semplice: se le IA generative sono davvero tecnologie trasformative, allora non possono essere regolate con codici volontari. Sarebbe come affidare la sicurezza nucleare a un memorandum d’intesa tra amici. Ma nessuno, oggi, ha la forza politica di imporre un’architettura vincolante. Troppi interessi, troppe pressioni, troppa paura di rallentare la corsa al potere computazionale. E allora si firmano codici, si pubblicano riassunti, si fanno comunicati stampa.

Nel frattempo, i modelli diventano sempre più capaci, sempre più autonomi, sempre più inscritti nella struttura stessa della comunicazione umana. L’illusione della trasparenza la convinzione che basti un PDF pubblicato per rendere un sistema interpretabile è la nuova religione dei regolatori. Ma come ha scritto il filosofo Harry Frankfurt: “Una delle caratteristiche distintive della nostra cultura è che c’è così tanto bullshit”. E in questo caso, è perfettamente codificato.

Per i lettori che speravano in un AI Act capace di mettere ordine, il codice volontario è una delusione semi-prevedibile. Per le aziende, un campo minato di reputazione e compliance preventiva. Per i cittadini, una nuova finestra opaca su tecnologie che decidono sempre di più e spiegano sempre di meno.

La verità? Finché la definizione di rischio resta nelle mani di chi genera il rischio, parlare di sicurezza è puro teatro. E come ogni teatro che si rispetti, c’è sempre un applauso finale. In questo caso, però, l’applauso è automatico. Generato da un bot.