Il recente consolidamento della letteratura tecnica e regolatoria sull’intelligenza artificiale negli Stati Uniti mette a fuoco una realtà che molti osservatori europei continuano a sottovalutare: Washington non ha bisogno di una legge quadro per esercitare controllo, perché il controllo è già distribuito dentro una macchina istituzionale che funziona per attrito, non per disegno. L’assenza di una normativa unificata non è un vuoto normativo, ma una forma alternativa di ingegneria regolatoria in cui agenzie federali, corti, procure e contratti pubblici operano come nodi di un sistema che produce compliance senza mai dichiararla esplicitamente come tale.
In questo scenario, la governance dell’AI negli Stati Uniti emerge come un ecosistema policentrico, dove organismi come la Federal Trade Commission, la Securities and Exchange Commission e il Department of Justice non attendono una delega legislativa specifica per intervenire, ma reinterpretano framework esistenti come consumer protection, securities fraud o antitrust per inglobare comportamenti legati ai sistemi di intelligenza artificiale. Il risultato è una regolazione per estensione semantica del diritto esistente, dove l’AI non è mai formalmente “regolata”, ma viene continuamente ricondotta dentro categorie giuridiche già operative.
Questa dinamica produce un effetto strutturale che le imprese tecnologiche imparano rapidamente a interiorizzare: l’incertezza non è un bug del sistema, ma una sua feature. Le aziende non devono solo conformarsi a norme scritte, ma anticipare interpretazioni potenziali di più autorità concorrenti, spesso con mandati sovrapposti e incentivi istituzionali non allineati. La governance federale diventa così una negoziazione continua tra enforcement e innovazione, dove la frontiera non è stabilita dal legislatore, ma dal contenzioso e dalla minaccia implicita di azione regolatoria.
In parallelo, il ruolo della National Institute of Standards and Technology introduce una seconda infrastruttura di potere meno visibile ma altrettanto determinante. I framework volontari, in particolare quelli legati alla gestione del rischio dei sistemi AI, non hanno forza di legge, ma diventano rapidamente standard de facto attraverso procurement pubblico, audit privati e requisiti contrattuali imposti dai grandi committenti. È un modello in cui la standardizzazione precede la regolazione e, in molti casi, la sostituisce, creando una forma di soft law che si comporta come hard constraint economico.
Il livello settoriale amplifica ulteriormente la frammentazione. Nel settore sanitario, la Food and Drug Administration tratta alcuni sistemi di AI come dispositivi medici, mentre nel mercato del lavoro la Equal Employment Opportunity Commission interviene su bias algoritmici e discriminazione automatizzata. Nel settore energetico e delle infrastrutture critiche, la Cybersecurity and Infrastructure Security Agency sposta l’attenzione verso la resilienza dei sistemi e il rischio sistemico. Ogni dominio produce la propria grammatica regolatoria, spesso incompatibile con quella degli altri, ma simultaneamente vincolante per le imprese che operano su più verticali.
Il risultato è una governance che si avvicina più a un sistema operativo legacy stratificato che a un codice normativo coerente. L’AI, in questo contesto, non è regolata come tecnologia unitaria, ma come insieme di effetti distribuiti su mercati, lavoro, sicurezza nazionale e informazione. Questa granularità estrema produce vantaggi evidenti in termini di adattabilità, ma introduce costi elevati di compliance e una crescente difficoltà per le imprese nel definire una strategia legale stabile su scala globale.
La dimensione statale aggiunge un ulteriore livello di complessità. Stati come California, Colorado, New York e Texas stanno sviluppando normative proprie, spesso più aggressive del livello federale in materia di trasparenza algoritmica, protezione dei consumatori e responsabilità dei modelli generativi. Questo crea una tensione strutturale con il principio di preemption federale, generando un mosaico regolatorio che obbliga le aziende a operare come se fossero simultaneamente in più giurisdizioni incompatibili. La conseguenza pratica è che la compliance diventa un problema di architettura software tanto quanto di diritto.
Sul piano strategico, ciò che emerge è una forma di governance per contenzioso permanente, in cui la giurisprudenza e le enforcement actions sostituiscono la pianificazione normativa ex ante. L’AI diventa così un campo di sperimentazione istituzionale in cui il diritto non precede la tecnologia, ma la rincorre, spesso con anni di ritardo e con interpretazioni retroattive. In questo contesto, parlare di “assenza di AI Act” negli Stati Uniti è fuorviante: ciò che manca è la centralizzazione, non la regolazione.
La traiettoria verso il 2027 suggerisce un ulteriore irrigidimento di questo modello distribuito, con un rafforzamento della cooperazione tra agenzie federali e un’espansione dell’enforcement attraverso casi emblematici piuttosto che attraverso legislazione organica. Per le imprese, questo significa operare in un ambiente dove la certezza normativa è sostituita dalla probabilità di intervento, e dove la governance dell’intelligenza artificiale non è un testo unico da leggere, ma un sistema dinamico da monitorare in tempo reale, con la stessa attenzione con cui si osservano i mercati finanziari o i tassi di interesse.