Con Roberto Baldoni, ospite del podcast Eurofocus, siamo partiti da due numeri contenuti nel suo libro, “Charting digital sovereignty: a survival playbook”. Il primo è 20, come le direttive e i regolamenti europei che bisogna rispettare nel campo della cybersecurity. Il secondo è zero, come il numero di cloud provider del Vecchio continente in grado di competere a livello internazionale.
Baldoni è un professore ordinario di informatica alla Sapienza che negli scorsi anni è stato prima vicedirettore al Dis e poi primo direttore dell’Agenzia per la Cybersicurezza Nazionale, dove è tuttora dirigente.
La prima domanda che gli faccio è se noi europei riusciremo a invertire questa tendenza fatta di tanta regolazione e poca industrializzazione.
Per invertirla dobbiamo cambiare la struttura dell’Unione, che dipende da un mercato unico di 27 Paesi che sulla carta è unico ma in realtà resta molto frammentato. Finché non avremo delle politiche industriali veramente europee e non 27 politiche industriali, non potremo mai avere un cloud provider di scala europea in grado di competere con i giganti americani e cinesi. Ma questo vale in generale per il settore digitale, la cybersecurity, la difesa, le compagnie di telecomunicazioni. Parlando delle 20 leggi europee che si applicano al settore, finché la parte regolatoria avrà la meglio su (e non ascolterà) la parte industriale, non ci sarà un freno al dilagare degli atti normativi. Regolamentare è cosa buona se non diventa un’azione fine a sé stessa, che soffoca l’innovazione.
Lei parla di ascolto e confronto tra la parte pubblica e quella privata. Ma spesso se un cloud provider francese va a parlare con la Commissione europea, e magari trova un dirigente tedesco, avrà meno possibilità di essere ascoltato rispetto a un’azienda americana che arriva da “fuori” e non finisce nella trappola delle rivalità incrociate.
Le Istituzioni europee sono fatte da persone di diverse nazionalità, dunque questo tipo di cortocircuiti sono all’ordine del giorno. Mentre noi litighiamo su quale modello nazionale adottare, la Cina ha sfruttato il suo immenso mercato interno per cercare i giganti industriali che ora invadono il resto del mondo. Gli Stati Uniti si sono resi conto di aver perso tempo e con il Chips and Science Act (52 miliardi di dollari), più 500 miliardi di fondi pubblici e 500 miliardi di fondi privati, stanno riconfigurando le catene di approvvigionamento globali. Se ragioniamo con politiche industriali legate alla scala dell’Italia, della Spagna e della Francia, non andremo da nessuna parte. Anche perché creiamo una duplicazione di spese, soprattutto in ricerca e sviluppo, totalmente inutile.
Nel suo libro, che è un manuale di sopravvivenza per orientarsi tra tecnologia, politica e guerre commerciali, spiega che Stati Uniti e Regno Unito hanno adottato un approccio diverso dall’Europa nel regolamentare l’intelligenza artificiale generativa: hanno affidato ad agenzie specializzate l’analisi del rischio nell’adozione di questi sistemi, di cui ancora non si conoscono gli effetti concreti. Questa analisi viene fatta attraverso un confronto continuo tra settore pubblico e privato. Da noi con l’AI Act, abbiamo scelto la strada di un regolamento ex ante che potrebbe rallentare lo sviluppo di nuove aziende in questo settore.
Le prime discussioni sull’AI Act risalgono addirittura al 2018, è stato approvato nel 2024 e avrà completa attuazione nel 2026. Su alcune cose, come il bias degli algoritmi o l’etichettatura dei contenuti sintetici per evitare le trappole dei deep fake, i regolatori si stavano muovendo bene. Dopodiché è arrivato un piccolo e insignificante breakthrough tecnologico, anche noto come ChatGpt, che è stata una sorpresa anche per me, da addetto ai lavori, per la potenza che riusciva a dispiegare. Quindi a Bruxelles sono corsi ai ripari e hanno modificato la bozza per includere questi sistemi di cui però ancora non conosciamo gli effetti e i rischi concreti nel medio e lungo termine. Americani e inglesi invece hanno affidato la questione ad agenzie di tecnici in collaborazione con il settore privato, che in questo campo è dominante, per studiare il campo, predisporre delle regole e poi usare questi super-sistemi in relativa sicurezza.
Come mai da noi si è scelto di arrivare a una norma prima di capire fino in fondo dove ci porterà questa rivoluzione tecnologica?
Alla fine dell’anno scorso c’è stato un tentativo di Francia e Germania di rallentare la corsa normativa, ma nel Parlamento e nella Commissione c’era l’urgenza di approvarlo prima della fine di questa legislatura. È stato previsto un “grace period” per questi sistemi, e spero che serva per arrivare a un framework che possa gestire in sicurezza i rischi. Non è ancora chiaro se l’ufficio che sarà istituito a Bruxelles servirà per studiare tecnicamente queste tecnologie o solo per gestire multe e violazioni.
Che effetto ha questa regolazione sul mondo industriale?
Prendiamo un giovane startupper europeo, che magari vuole aprire una società specializzata in IA generativa a Roma. Ovviamente dovrà stare attento a ogni centesimo che spende, e come prima cosa gli arriva questo malloppo di 200 pagine, da studiare per capire se quello che sta facendo è “compliant” con la legislazione europea. È chiaro che questo giovane sentirà le sirene che vengono dagli Stati Uniti, dal Golfo, dal Sud-est asiatico, dove non solo c’è una regolamentazione decisamente più snella, ma offrono finaziamenti per chi crea nuove imprese tecnologiche. Allora questo ragazzo magari andrà a Singapore, farà crescere la sua creatura, e solo quando avrà la scala sufficiente per entrare nel mercato europeo, e i soldi per pagare fior di avvocati, si metterà a capire se ottempera con i 27 ordinamenti comunitari più l’AI Act.
Ma non c’è il precedente del GDPR, il regolamento sui dati che è considerato un esempio di Brussels effect? Il resto del mondo potrebbe adottare le stesse regole dell’AI Act
C’è una grande differenza: il Gdpr fu pensato nel 2014, quando si conosceva bene il problema e sapevamo come intervenire anche a livello tecnico. Qui la cosa è invece molto, molto diversa, perché ci sono problemi etici, tecnologici, rischi sistemici, secondo qualcuno rischi apocalittici. È vero che quel regolamento è stato copiato da molte nazioni, ma bisogna anche riflettere sul fatto che noi, come Europa, non abbiamo fatto business con questo primato regolatorio. Non abbiamo creato aziende che hanno sfruttato il Gdpr e sono, grazie a esso, diventate leader globali nella gestione dei dati. E anche qui entra in gioco la disconnessione tra la parte regolatoria e la parte industriale. Cosa che, negli Usa, grazie al National Security Council, non accade, perché tutto è strettamente interconnesso, perché si fa politica regolatoria con in testa una politica industriale, non viceversa.
