Studio Sottocasa
STUDIO LEGALE SOTTOCASA
Informatica e Diritto

AI Act non basta da solo: cosa cambia dopo la ratifica UE della Convenzione del Consiglio d’Europa sull’intelligenza artificiale

Il 15 maggio 2026 l’Unione europea ha ratificato la Convenzione quadro del Consiglio d’Europa sull’intelligenza artificiale, i diritti umani, la democrazia e lo Stato di diritto. La notizia, presa isolatamente, potrebbe sembrare lontana dalla pratica quotidiana di imprese, professionisti e pubbliche amministrazioni. In realtà non è così. Il suo interesse giuridico sta nel fatto che ricorda una verità essenziale: il diritto dell’IA non coincide solo con la lista degli adempimenti dell’AI Act.

Oggi il dibattito pubblico tende a concentrarsi soprattutto sulle categorie regolatorie dell’AI Act: sistemi vietati, sistemi ad alto rischio, obblighi di trasparenza, governance, documentazione, banca dati UE, rapporti tra provider e deployer. Tutto questo è corretto ed è inevitabilmente centrale. Ma c’è un secondo livello, più profondo, che riguarda la logica complessiva della regolazione: quali diritti devono essere protetti, quali rimedi devono essere disponibili, quali cautele devono accompagnare l’uso dei sistemi di IA quando incidono in modo serio sulla vita delle persone.

È esattamente qui che la Convenzione del Consiglio d’Europa acquista peso.

La pagina istituzionale del Consiglio d’Europa la definisce il primo trattato internazionale giuridicamente vincolante in materia di intelligenza artificiale. Questa qualificazione va presa sul serio. La Convenzione non nasce per sostituire l’AI Act, né per ripeterne le categorie tecniche. Nasce piuttosto per creare una cornice generale entro cui leggere l’uso dell’IA dal punto di vista dei diritti umani, della democrazia e dello Stato di diritto.

Questo cambia il modo in cui va impostata anche la compliance.

L’AI Act, infatti, è soprattutto uno strumento regolatorio del mercato interno europeo. Organizza gli obblighi in base al rischio, individua operatori, distribuisce doveri, disciplina procedure, requisiti e controlli. La Convenzione del Consiglio d’Europa ragiona invece su un piano più ampio: quali principi devono governare l’intero ciclo di vita dei sistemi di IA, quali garanzie devono avere le persone incise dalle decisioni automatizzate o assistite da IA, quali valutazioni devono compiere gli Stati e gli attori che usano questi strumenti in contesti sensibili.

La differenza è importante perché impedisce una lettura riduttiva del tema. Un’impresa potrebbe pensare: “se non rientro nell’alto rischio, il problema giuridico è quasi chiuso”. Una pubblica amministrazione potrebbe ritenere sufficiente verificare il solo incastro formale con le regole di procurement o con qualche misura organizzativa interna. Uno studio professionale potrebbe considerare l’IA come una questione solo tecnologica o contrattuale. Questa impostazione è troppo stretta.

La Convenzione insiste su un nucleo di principi che meritano attenzione anche pratica: dignità umana, autonomia individuale, uguaglianza e non discriminazione, rispetto della privacy e dei dati personali, trasparenza e oversight, accountability e responsibility, affidabilità e safe innovation. Non sono formule ornamentali. Sono criteri che incidono sul modo in cui si progetta, si acquista, si integra e si governa un sistema di IA.

Ancora più rilevante è il blocco delle garanzie procedurali e dei rimedi. Il Consiglio d’Europa richiama, tra l’altro, la necessità di documentare le informazioni rilevanti sui sistemi e sul loro uso, di renderle disponibili alle persone interessate in misura sufficiente per consentire di contestare la decisione o l’uso del sistema, di assicurare la possibilità effettiva di reclamo alle autorità competenti e di prevedere garanzie procedurali quando il sistema incide in modo significativo sui diritti e sulle libertà fondamentali.

Qui il punto diventa molto concreto. Se un sistema di IA viene usato per selezionare candidati, attribuire punteggi, orientare una decisione amministrativa, filtrare richieste di accesso a un servizio, supportare valutazioni assicurative, bancarie o sanitarie, il problema non è solo “funziona bene?” oppure “è stato classificato correttamente?”. Il problema è anche: chi ne subisce gli effetti può capire cosa è accaduto? Può contestarlo? Esiste una traccia documentale sufficiente? Vi sono presidi contro automatismi opachi o contro eccessive deleghe alla macchina?

Un altro punto forte della Convenzione riguarda la valutazione del rischio e dell’impatto. Il Consiglio d’Europa parla di assessment iterativi rispetto agli impatti attuali e potenziali su diritti umani, democrazia e Stato di diritto, con conseguenti misure di prevenzione e mitigazione. Anche qui la lezione per il mercato è chiara: la valutazione del rischio non è solo una pratica tecnica di product governance, ma una pratica giuridica e organizzativa che deve interrogarsi sugli effetti dell’IA sulle persone e sulle istituzioni.

Per il lettore italiano il raccordo più utile è con la legge 23 settembre 2025, n. 132. L’art. 1 afferma che la legge promuove un utilizzo corretto, trasparente e responsabile dell’intelligenza artificiale, in una dimensione antropocentrica, e aggiunge che le sue disposizioni si interpretano e si applicano conformemente all’AI Act. Questo dato normativo interno non coincide con la Convenzione del Consiglio d’Europa, ma dialoga bene con essa. Entrambi i testi spingono verso una lettura non meramente efficientista dell’IA.

Il punto è che l’IA non si governa davvero con una checklist isolata, ma con un disegno più ampio di responsabilità, organizzazione interna, informazione, tracciabilità e gestione dei reclami.

Naturalmente, bisogna evitare semplificazioni inverse. La ratifica UE non significa che da un giorno all’altro cambino automaticamente tutti gli obblighi operativi delle imprese italiane. Non significa neppure che la Convenzione cancelli la centralità dell’AI Act. La Convenzione rafforza il quadro entro cui interpretare e applicare le regole esistenti e future, soprattutto nei contesti in cui l’uso dell’IA tocca diritti, libertà, accesso a prestazioni, affidamento del pubblico e corretto funzionamento delle istituzioni.

Vale la pena fare un esempio semplice. Se una società sviluppa o integra un sistema di supporto decisionale per processi HR, non basta chiedersi se il software rientri o meno tra gli high-risk AI systems. Occorre anche verificare se l’organizzazione è in grado di spiegare l’uso del sistema, conservare documentazione adeguata, gestire contestazioni, prevenire effetti discriminatori e mantenere una supervisione umana reale, non puramente nominale. Lo stesso vale per una pubblica amministrazione che intenda usare strumenti di IA per triage, classificazione, supporto istruttorio o interazione con l’utenza.

In questo senso la ratifica UE della Convenzione del Consiglio d’Europa conta perché riporta al centro un principio essenziale: l’innovazione giuridicamente sostenibile non è quella che si limita a correre dietro alla tecnologia, ma quella che costruisce fiducia, contestabilità e responsabilità.

L’AI Act resta il perno operativo della regolazione europea dell’intelligenza artificiale, ma non basta da solo a spiegare il senso complessivo della governance dell’IA. La ratifica del 15 maggio 2026 mostra che l’Europa vuole tenere insieme due livelli: da un lato la disciplina tecnica, i requisiti, le categorie di rischio e gli obblighi di compliance; dall’altro la cornice più ampia dei diritti, dei rimedi, della trasparenza sostanziale e della responsabilità istituzionale. Per imprese, professionisti, PA e studi legali il messaggio è questo: conformarsi alle regole sarà indispensabile, ma non sarà sufficiente se manca una vera architettura di garanzie.

Fonti principali