12 marzo 2026 · 7 min lettura
CybersecurityBaudr di Grenbaud, social costruito con vibe coding e 40 euro, bucato in ore. Admin aperto, dati esposti: anatomia tecnica dello scandalo.
Intelligenza ArtificialeSora chiude: sei mesi, $2.1M di revenue, $15M/giorno di costi. Disney ghostata, deepfake fuori controllo. Ma Open-Sora gira sul tuo homelab.
Iscriviti alla newsletter per ricevere i migliori articoli direttamente nella tua inbox.
Trump incassa il 25% su ogni chip Nvidia venduto alla Cina. I chip finiscono nei sistemi militari del PLA. E per la prima volta in 30 anni, niente GPU nuove per chi gioca o fa homelab.
L'Unione Europea ha scritto la legge più ambiziosa al mondo sull'intelligenza artificiale, l'ha votata con 523 voti a favore, l'ha celebrata come un modello globale — e poi ha mancato la propria deadline per spiegare come funziona. Le linee guida sui sistemi ad alto rischio dovevano arrivare il 2 febbraio 2026. Non sono arrivate. E la soluzione ufficiale della Commissione è: ritardare tutto di 16 mesi.
Ricostruiamo la sequenza. L'AI Act entra in vigore nell'agosto 2024, con un calendario di applicazione progressiva. Entro il 2 febbraio 2026, la Commissione Europea doveva pubblicare le linee guida per l'Articolo 6 — quello che definisce quali sistemi AI sono classificati come "high-risk" e quindi soggetti a obblighi stringenti di conformità, documentazione tecnica e supervisione umana. Quella deadline è passata in silenzio. Renate Nikolay, Vice Direttrice Generale della Commissione, ha ammesso candidamente: "Gli standard non sono pronti, e per questo ci siamo dati più tempo con l'omnibus." Tradotto dal burocratese: abbiamo scritto una legge basata su standard tecnici che non esistono ancora. E nel frattempo, il CEN/CENELEC — gli enti che dovrebbero produrre quegli standard — ha già mancato la propria deadline dell'autunno 2025.
Una catena di ritardi che si alimenta da sola.
Il Digital Omnibus, proposto il 19 novembre 2025, è il cerotto. Prevede un ritardo fino a 16 mesi per gli obblighi dell'Annex III (da agosto 2026 a dicembre 2027) e 24 mesi per l'Annex I. Nel frattempo, uno studio di appliedAI su 106 sistemi aziendali ha prodotto un numero che dovrebbe togliere il sonno a qualche compliance officer: il 40% dei sistemi analizzati ha una classificazione di rischio incerta. Non "low-risk", non "high-risk" — semplicemente inclassificabile con le informazioni attuali. Il 18% è high-risk, il 42% low-risk, e il restante 40% vive in un limbo normativo.
L'argomento suona bene finché non lo confronti con la realtà. Laura Caroli, ex negoziatrice dell'AI Act, lo smonta in una frase: "Il ritardo crea solo più incertezza." E ha ragione. Il report EY Global AI Survey 2026 dice che il 78% dei leader ammette che l'adozione dell'AI supera già la capacità di governance, e il 52% delle iniziative opera senza approvazione formale. Ogni mese di ritardo non è un mese in più per prepararsi: è un mese in più di investimenti fatti alla cieca, che poi costerà di più riallineare. La stessa Caroli aggiunge il punto più velenoso: "La Commissione sembra essersi concentrata più sull'omnibus che sul rispettare i propri obblighi."
Le regole le scrive chi non le rispetta.
Io, da italiano, trovo la situazione nazionale ancora più surreale. L'Italia è stata il primo Stato membro a dotarsi di una legge nazionale sull'AI — la Legge 132/2025, in vigore dal 10 ottobre 2025. Ha designato ACN come autorità di vigilanza e AgID come autorità di notifica, con Garante e AGCOM che mantengono le rispettive competenze. Sulla carta, un primato europeo. Nella pratica, i decreti attuativi che conferiscono i poteri sanzionatori scadono a ottobre 2026 — due mesi dopo la deadline di agosto per gli obblighi high-risk. È come installare un antifurto e dimenticarsi di comprare le batterie.
La frammentazione non aiuta. ACN, AgID, Garante, AGCOM, più le autorità settoriali: un arcipelago di competenze che si sovrappongono e che rischiano di generare interpretazioni divergenti. A livello europeo, solo 3 stati su 27 hanno designato sia l'autorità di notifica che quella di vigilanza. La Finlandia è l'unico Stato con enforcement operativo dal 1 gennaio 2026 — dieci autorità coordinate da Traficom. Tutti gli altri, Italia inclusa, navigano a vista.
E qui arriviamo al punto che interessa chi legge questo blog. L'Articolo 2 dell'AI Act contiene un'esenzione esplicita per l'uso personale non professionale. Se fai girare Llama 3 o Mistral sul tuo NAS per sperimentare, generare riassunti o chiacchierare con un chatbot locale, non sei soggetto al regolamento. La soglia di "systemic risk" per i modelli GPAI è fissata a 10^25 FLOP di training — irraggiungibile per qualsiasi hardware domestico. Fin qui, tutto tranquillo.
Ma il confine si fa sfumato appena esci dal perimetro strettamente personale — e devo ammettere che, quando ho provato a tracciare la linea esatta leggendo il regolamento, mi sono trovato in una zona grigia più ampia di quanto mi aspettassi. Stable Diffusion per generare immagini del blog? Dall'agosto 2026 scattano possibili obblighi di marcatura AI sotto l'Articolo 50. Fine-tuning di un modello e pubblicazione su HuggingFace? Obblighi GPAI: documentazione tecnica, rispetto del copyright. E se il tuo homelab offre servizi AI a terzi — anche gratis, anche ad amici — potresti diventare un "deployer" ai sensi del regolamento.
L'AI Act è un cantiere aperto in cui nemmeno gli operai sanno leggere i disegni. Morrison Foerster ha scritto che "la portata effettiva della semplificazione regolatoria sull'AI resta, nel migliore dei casi, modesta". Tradotto: anche se il Digital Omnibus viene approvato, non risolve i problemi di fondo.
Eppure le sanzioni, quelle sì, sono già scritte nero su bianco: 35 milioni di euro o il 7% del fatturato globale per le pratiche proibite, 15 milioni o il 3% per la non-conformità high-risk, 7,5 milioni o l'1% per informazioni errate. Le multe sono pronte. Le regole per evitarle, no.
L'AI Act non è una legge cattiva — è una legge incompiuta applicata a un settore che corre più veloce di chi lo regola. La Commissione ha mancato la propria deadline, il 40% dei sistemi aziendali è inclassificabile, l'Italia ha una legge senza poteri sanzionatori, e la risposta ufficiale è rimandare di 16 mesi. Il punto non è se l'Europa abbia ragione a voler regolamentare l'AI — è che un regolamento che non riesce a regolamentarsi erode la credibilità dell'intero progetto. Per chi fa homelab, l'esenzione per uso personale tiene. Ma è un equilibrio fragile, appeso a linee guida fantasma. Tieni d'occhio i triloghi del Digital Omnibus nella primavera 2026 — perché da quelle negoziazioni uscirà il regolamento che conterà davvero.
Fonti: AI Act — testo ufficiale (EUR-Lex) | IAPP — Deadline mancata linee guida | appliedAI — Studio classificazione rischio | EY Global AI Survey 2026 | Morrison Foerster — Digital Omnibus | Legge 132/2025 (GU) | Linux Foundation EU — AI Act e open source