È quasi comico, se non fosse tragico. Nel 2025, l’Europa che ambisce a governare l’intelligenza artificiale con il suo mastodontico EU AI Act, lo strumento regolatorio che dovrebbe garantire fiducia, trasparenza e sicurezza, offre ai cittadini e agli operatori di mercato un PDF da compilare. Sì, proprio un PDF. Quella reliquia statica degli anni Novanta, che ancora oggi appare come la scappatoia burocratica preferita da chi non vuole costruire processi veri. Mentre i giganti del mondo digitale parlano di sistemi predittivi, modelli linguistici generativi e piattaforme distribuite resilienti, Bruxelles ti manda un allegato da scaricare, compilare, salvare e inviare via posta elettronica. La rivoluzione regolatoria rischia di iniziare con un documento bloccato, incapace di dialogare con se stesso e con i dati che dovrebbe raccogliere.
La questione non è marginale, perché l’EU AI Act, in particolare l’articolo 73, stabilisce che gli incidenti seri legati a sistemi di intelligenza artificiale debbano essere segnalati. Non parliamo di frivolezze ma di eventi che possono danneggiare la salute delle persone, mettere in crisi infrastrutture critiche o generare decisioni errate che compromettono interi settori. Ora, se la segnalazione avviene tramite un file PDF statico, i dati si frantumano in una costellazione di file sparsi, isolati, non strutturati. Ogni autorità nazionale dovrà ricostruire un puzzle fatto di tasselli incoerenti. Il risultato? Zero visione sistemica, zero capacità predittiva, zero intelligenza.
Lo ha notato Fabrizio Degni, che invece di limitarsi a commentare l’ennesimo paradosso europeo ha deciso di proporre una soluzione concreta. Una piattaforma web per la EU AI Act Incident Reporting Platform, concepita non come un atto di ribellione ma come esercizio di buon senso da parte di un cittadino europeo che si rifiuta di considerare la burocrazia come unico destino. Un MVP open-source che prende l’attuale modulo PDF e lo trasforma in un sistema dinamico, con un backend SQL, interfacce moderne e validazioni automatiche. Un salto quantico: dal documento alla base dati, dall’inerzia alla possibilità di analisi, dall’illusione di regolare al tentativo di governare davvero.
Chi conosce i meccanismi della compliance sa bene quanto la forma condizioni la sostanza. Un PDF non può imporre che una data sia nel formato corretto. Non può proporre un menu a tendina per classificare l’incidente. Non può obbligarti a indicare se l’impatto riguarda la salute, l’ambiente o la continuità dei servizi critici. È il trionfo dell’incoerenza, dove ognuno compila a modo suo e il dataset finale diventa inutilizzabile. Con una piattaforma web invece si ottiene esattamente l’opposto: dati coerenti, strutturati, interrogabili in tempo reale. Non è più necessario che qualcuno a Bruxelles apra manualmente centinaia di file, copi e incolli in un foglio Excel e cerchi disperatamente di trovare pattern tra colonne storte.
La cosa affascinante è che la proposta di Degni non si limita a digitalizzare un modulo. Ha capito che il vero valore sta nel rendere la segnalazione un atto fluido, naturale, supportato da strumenti di validazione e da interfacce usabili. Un provider o un deployer di un sistema AI non deve combattere contro un documento ma deve avere un processo chiaro. Inserire un incidente, salvarlo in bozza, aggiornarlo, consultare lo storico, ricevere feedback. Persino stampare un report quando serve, perché il cartaceo, purtroppo, non morirà mai del tutto.
La piattaforma proposta rispetta l’articolo 73 in tutte le sue 85 e oltre voci obbligatorie. Non è una scorciatoia, è un’implementazione coerente. Aggiunge però ciò che il regolatore non aveva considerato: la capacità di trasformare la segnalazione in conoscenza. Con un database centralizzato le autorità possono interrogare i dati, capire quali sono le cause più frequenti, monitorare le azioni correttive, fare correlazioni tra settori e territori. Si passa da un approccio passivo e notarile a un meccanismo attivo e predittivo.
Per un attimo immaginiamo la scena. Una utility energetica segnala un malfunzionamento AI che ha interrotto l’erogazione in un distretto. In parallelo, un ospedale indica un problema simile che ha compromesso il triage digitale dei pazienti. Con i PDF questi due eventi restano invisibili l’uno all’altro. Con una piattaforma integrata emergerebbe un pattern comune, una vulnerabilità sistemica, un rischio da affrontare subito. È così che si fa governance nel XXI secolo, non con la liturgia del documento allegato.
Ovviamente qui non si parla solo di efficienza ma di politica industriale. Perché ogni minuto sprecato a inserire dati in un PDF è un minuto perso per innovare. Ogni incoerenza nei dataset è un’occasione mancata di sviluppare politiche pubbliche basate sull’evidenza. È l’Europa che si dichiara leader etico dell’intelligenza artificiale e poi inciampa nella trappola dei formati morti. È come se un pianista geniale decidesse di suonare Bach con un organetto da spiaggia.
Il discorso si fa ancora più pungente se pensiamo a cosa fanno le altre potenze. Negli Stati Uniti, ogni volta che una vulnerabilità software emerge, i dati vengono immediatamente raccolti, normalizzati e condivisi attraverso piattaforme che alimentano il National Vulnerability Database. In Cina, dove la trasparenza non è certo la priorità, i dati di sorveglianza fluiscono comunque in sistemi analitici centralizzati capaci di rilevare anomalie in tempo reale. In Europa, invece, si scarica un PDF. Ci si chiede quanto tempo ci vorrà prima che anche i più convinti europeisti comincino a canticchiare, come Battiato, “povera Europa”.
C’è anche un tema di narrativa. Parlare di intelligenza artificiale responsabile mentre si obbligano le aziende a usare strumenti che di intelligente non hanno nulla significa minare la credibilità della regolazione stessa. Perché se il cittadino percepisce incoerenza tra la retorica della Commissione e la realtà dei processi, il risultato è disillusione. Invece la proposta di un EU AI Act Incident Reporting Platform open-source ha il pregio di restituire coerenza: un sistema che rispecchia la complessità del problema e propone un approccio moderno, scalabile e realmente europeo.
Naturalmente questo è solo un MVP. Il progetto elenca un’architettura minimale ma già realistica: web server Apache o Nginx, database MySQL 8.0, backend PHP, interfaccia HTML e JavaScript responsiva. Niente di futuristico, ma solido. Una struttura chiara dei file, un deployment semplice, la possibilità di estendere il tutto con API REST per integrarsi con altre piattaforme. C’è persino la roadmap per la sicurezza dei dati, cifratura, backup, accessi controllati per le autorità. Una piattaforma che potrebbe essere adottata rapidamente, migliorata progressivamente e resa uno standard.
E allora la domanda diventa inevitabile: perché deve essere un cittadino a proporre ciò che la Commissione avrebbe dovuto prevedere? Perché il regolatore europeo, così attento a scrivere articoli e commi, non ha pensato che il cuore della regolazione è il flusso di dati? La risposta, purtroppo, è che spesso l’Europa scambia il documento con la realtà. Confonde il regolamento con l’implementazione. Si illude che l’atto normativo basti, senza preoccuparsi di come i processi verranno effettivamente eseguiti. È la burocrazia al posto della governance, il feticcio del file al posto dell’infrastruttura.
Ed è qui che si misura la differenza tra visione e inerzia. Chi guida la trasformazione digitale non può accettare che la compliance sia una sequenza di PDF dimenticati in qualche directory. Deve pretendere piattaforme vive, capaci di generare valore dai dati. Non perché sia trendy, ma perché è l’unico modo per rendere sostenibile un ecosistema complesso come quello dell’intelligenza artificiale.
Forse un giorno guarderemo indietro e rideremo dell’epoca in cui l’Europa pretendeva di governare l’AI con i PDF. Forse diremo che era solo una fase, una goffaggine di inizio secolo. O forse no, forse continueremo a inciampare nelle stesse scelte miopi, fino a quando non saranno i cittadini, i tecnologi, i Fabrizio Degni di turno, a costruire le soluzioni al posto delle istituzioni. Nel frattempo, resta questa amara ironia: l’intelligenza artificiale più discussa d’Europa deve ancora essere segnalata su un documento muto, mentre la vera intelligenza, quella dei cittadini, costruisce le piattaforme che Bruxelles non ha saputo immaginare.
Fabrizio Degni
Risorsa GitHuB: https://github.com/sev7enITA/EUAIACTIncidentReport
Platform : https://www.sourceofmeta.com/aireport/
Video: https://youtu.be/xG-8yYV502A