Cosa accadrebbe se le regole non dovessero più essere semplicemente rispettate, bensì diventassero impossibili da violare? Cosa accadrebbe se la compliance cessasse di essere un insieme di procedure e si trasformasse in architettura tecnica?
E se la compliance come la conosciamo noi diventasse architettura tecnica, struttura aziendale? È questa la domanda alla base di una rivoluzione silenziosa che sta emergendo all’intersezione tra due delle tecnologie più discusse del nostro tempo: la blockchain e l’intelligenza artificiale. Una convergenza che promette di trasformare radicalmente il modo in cui le organizzazioni garantiscono il rispetto delle regole.
Indice degli argomenti
Lo scenario
Viviamo in un’epoca in cui le imprese sono sommerse da obblighi normativi. Regolamenti europei, differenti legislazioni nazionali, direttive settoriali, codici di autodisciplina, standard internazionali: il perimetro della compliance aziendale si è dilatato fino a diventare uno degli aspetti più critici e costosi della gestione d’impresa. Eppure, nonostante l’ipertrofia regolamentare, gli scandali continuano, le violazioni si moltiplicano, la fiducia del pubblico vacilla.
Questo paradosso ha una spiegazione strutturale: la compliance tradizionale è fondata su un modello retrospettivo e dichiarativo. Le aziende promettono di rispettare le regole, documentano procedure e controlli, ma la verifica effettiva avviene quasi sempre dopo che il danno si è verificato.
È un sistema basato sulla fiducia e sull’autocertificazione, intrinsecamente vulnerabile a errori, omissioni e manipolazioni. Il costo di questa inefficienza non è solo economico: è un costo in termini di credibilità istituzionale, di tutela dei diritti, di fiducia nel sistema economico nel suo complesso.
Dal controllo alla prevenzione: un cambio di paradigma
Per comprendere la portata di questa trasformazione, occorre prima capire i limiti del modello attuale. La compliance tradizionale funziona secondo una logica sequenziale: si definiscono le regole, si comunicano ai dipendenti, si implementano procedure di controllo, si verificano periodicamente i risultati, si interviene in caso di violazione. Questo approccio ha un difetto strutturale: separa nettamente il momento della regola dal momento dell’azione.
Il dipendente che deve decidere se approvare un’operazione, l’algoritmo che deve elaborare una richiesta, il sistema che deve processare un dato: tutti operano in uno spazio in cui la violazione è tecnicamente possibile. La regola esiste come vincolo esterno, come divieto che può essere trasgredito. Il controllo interviene dopo, spesso troppo tardi. Quando la violazione è scoperta, il danno è già fatto: dati personali sono stati compromessi, decisioni discriminatorie sono state prese, operazioni irregolari sono state eseguite.
Il nuovo paradigma della compliance capovolge questa logica. Non si tratta più di controllare se le regole sono state rispettate, ma di rendere tecnicamente impossibile violarle. La compliance diventa preventiva anziché retrospettiva, incorporata anziché sovrapposta, automatica anziché discrezionale. È quello che in gergo tecnico si chiama compliance by design[1]: la conformità non è più un obiettivo da raggiungere, ma una proprietà intrinseca del sistema. Non si tratta di una sfumatura semantica, ma di un cambiamento fondamentale nella logica stessa del controllo.
La blockchain come infrastruttura di fiducia
Per realizzare questo cambio di paradigma, serve un’infrastruttura tecnologica adeguata. Ed è qui che entra in gioco la blockchain, una tecnologia spesso fraintesa e ridotta alla sua applicazione più nota: le criptovalute. In realtà, la blockchain è qualcosa di molto più fondamentale: è un’architettura progettata per funzionare in ambienti a bassa fiducia, dove le parti:
- non possono o non vogliono affidarsi a un’autorità centrale
- non si conoscono tra loro e/o hanno posizioni, anche parzialmente, antitetiche, di controparte o di controllato/controllore.
Nella sua essenza, una blockchain è un registro distribuito che consente a soggetti che non si conoscono e non si fidano l’uno dell’altro di condividere informazioni e transazioni senza bisogno di un intermediario. Le informazioni registrate sono immutabili, verificabili da chiunque e attribuibili con certezza[2]. Non serve fidarsi di qualcuno: basta verificare cosa è stato registrato. È un passaggio dalla fiducia alla verificabilità, dalla promessa alla prova.
Questa caratteristica rende la blockchain particolarmente adatta alla compliance aziendale. In un contesto in cui le imprese devono dimostrare di aver rispettato determinate regole, la blockchain offre uno strumento di prova incontrovertibile. Ogni decisione, ogni approvazione, ogni accesso a dati sensibili può essere registrato in modo permanente e verificabile. Non si tratta più di affidarsi alle dichiarazioni dell’azienda: esiste una traccia oggettiva di ciò che è realmente accaduto. Una traccia che non può essere modificata retroattivamente, che non può essere cancellata, che non dipende dalla buona fede di chi l’ha prodotta.
Gli smart contract: quando le regole si auto-eseguono
Ma il contributo più rivoluzionario della blockchain alla compliance non riguarda la sola registrazione di eventi. Riguarda la possibilità di automatizzare l’applicazione delle regole attraverso i cosiddetti smart contract. Uno smart contract è un programma informatico che è eseguito su una blockchain e che applica automaticamente condizioni e conseguenze predefinite al verificarsi di determinati eventi. Non è un contratto nel senso giuridico del termine: è codice che si auto-esegue, senza bisogno di interpretazione, senza margini di discrezionalità[3].
Immaginiamo un esempio concreto. Un’azienda ha una policy interna che vieta ai dipendenti di accedere a determinati dati sensibili al di fuori dell’orario lavorativo. Nel modello tradizionale, questa regola è comunicata tramite circolare, inserita nel regolamento interno, magari accompagnata da sanzioni disciplinari. Ma tecnicamente, l’accesso resta possibile. Il dipendente che intende violare la regola può farlo, sapendo di rischiare una sanzione se scoperto. La violazione sarà scoperta solo se e quando qualcuno controllerà i log di sistema, ammesso che questi log esistano e siano completi.
Con uno smart contract, la logica cambia radicalmente. La regola è codificata nel sistema di accesso: il contratto verifica automaticamente l’orario e l’identità dell’utente, e semplicemente non consente l’accesso se le condizioni non sono soddisfatte. Non c’è possibilità di eccezione, non c’è margine di discrezionalità, non c’è modo di aggirare il controllo. La regola non è applicata a discrezione del soggetto obbligato: si applica da sola. Il passaggio dalla possibilità alla impossibilità della violazione è completo.
Questo meccanismo può essere esteso a una molteplicità di ambiti: limiti di spesa per categorie di dipendenti, autorizzazioni multilivello per operazioni sensibili, vincoli temporali per il trattamento di dati, restrizioni geografiche per l’accesso a sistemi critici, soglie automatiche per la segnalazione di operazioni sospette. In tutti questi casi, lo smart contract trasforma un obbligo normativo in un vincolo tecnico. L’azienda non deve più controllare se le regole sono state rispettate: le regole sono incorporate nel funzionamento stesso del sistema. L’obbligo normativo diventa un vincolo operativo: dal “dovresti” al “non puoi”.
L’intelligenza artificiale: da scatola chiusa a sistema controllabile
Se la blockchain offre l’infrastruttura per la compliance automatizzata, l’intelligenza artificiale rappresenta oggi una delle sfide più urgenti per la compliance stessa. I sistemi di AI sono sempre più diffusi nei processi aziendali: valutazione del credito, selezione del personale, analisi di rischio, assistenza clienti, raccomandazioni commerciali, diagnosi mediche, previsioni finanziarie. Eppure, nella maggior parte dei casi, questi sistemi operano come scatole chiuse di cui non è possibile comprendere né verificare il funzionamento.
L’opacità dell’AI e il framework normativo
L’opacità dell’AI non è solo un problema tecnico: è un problema di responsabilità. Quando un algoritmo prende una decisione che incide sui diritti di una persona, chi ne risponde? Il programmatore che ha scritto il codice? L’azienda che lo utilizza? Il fornitore del modello? La risposta non è semplice, e l’opacità del sistema la rende ancora più complicata. Se nessuno può spiegare perché l’algoritmo ha deciso in un certo modo, come si può stabilire se quella decisione era corretta, legittima, conforme alle regole?
Il Regolamento europeo sull’intelligenza artificiale (AI Act)[4], entrato in vigore nell’agosto 2024, ha tentato di rispondere a questa opacità imponendo obblighi di trasparenza, documentazione e controllo per i sistemi ad alto rischio. Ma il problema è l’effettività di questi obblighi: come si verifica che un sistema di AI abbia effettivamente rispettato le regole? Come si ricostruisce il percorso che ha portato a una determinata decisione? Come si distingue tra un errore del modello e una violazione delle policy?
È qui che l’integrazione tra blockchain e AI diventa particolarmente promettente. La blockchain può funzionare come layer di controllo dell’intelligenza artificiale, registrando in modo immutabile e verificabile tutti gli elementi rilevanti del processo decisionale: quali dati sono stati utilizzati, quale versione del modello è stata impiegata, quali parametri di configurazione erano attivi, quale output è stato prodotto, in quale momento temporale. Non si tratta di rendere l’AI completamente trasparente in tempo reale, obiettivo spesso irrealistico data la complessità dei modelli moderni. Si tratta di rendere possibile la ricostruzione ex post di ciò che è accaduto[5].
Controllare l’AI con gli smart contract
Ma l’integrazione può spingersi oltre la mera tracciabilità. Gli smart contract possono essere utilizzati per definire i confini operativi dell’intelligenza artificiale creando un sistema di regole che il modello non può violare. Questo approccio è particolarmente rilevante per le applicazioni più sensibili dell’AI, quelle che l’AI Act classifica come “ad alto rischio” e che richiedono garanzie rafforzate.
Consideriamo un sistema di AI utilizzato da una banca per la valutazione del merito creditizio. Il GDPR e l’AI Act impongono che le decisioni automatizzate non siano basate su dati discriminatori (origine etnica, genere, orientamento religioso) e che l’interessato abbia diritto a una spiegazione della decisione. Come garantire che il sistema rispetti effettivamente questi vincoli? Nel modello tradizionale ci si affida alle dichiarazioni del fornitore, ai controlli interni, alle verifiche periodiche. Ma questi controlli sono necessariamente parziali e retrospettivi.
Con un’architettura basata su smart contract è possibile definire tecnicamente quali categorie di dati possono essere utilizzate dal modello, bloccando automaticamente l’accesso a informazioni vietate. Lo smart contract può verificare che i dati in input non contengano variabili proibite e rifiutare l’elaborazione in caso contrario. È possibile imporre che ogni decisione sia accompagnata dalla registrazione dei fattori che l’hanno determinata rendendo così possibile la spiegazione richiesta dalla normativa. È possibile prevedere che decisioni particolarmente impattanti (come il rifiuto di un finanziamento sopra una certa soglia) richiedano una validazione umana prima di diventare definitive.
Le funzioni della blockchain applicata all’AI
La blockchain applicata all’AI assolve almeno a due funzioni:
- compliance by design e controllo sistemico “ex ante”; e
- black box con dati tracciabili, immutabili e verificati per ogni controllo “ex post”!
In questo scenario l’AI non è semplicemente obbligata a rispettare le regole: è tecnicamente impedita dal violarle. La compliance non dipende più dalla buona fede del fornitore o dall’efficacia dei controlli interni: è garantita dall’architettura stessa del sistema. È un passaggio dal “dovresti” al “non puoi”, dalla norma alla struttura, già visto prima.
La qualità dei dati: dalla frequenza all’affidabilità epistemica
Un altro ambito in cui l’integrazione tra blockchain e AI può trasformare la compliance riguarda la qualità dei dati. L’AI Act dedica particolare attenzione a questo tema richiedendo che i sistemi di AI siano addestrati su dati di qualità adeguata, pertinenti e rappresentativi. Ma nella pratica verificare la qualità dei dati utilizzati da un modello di AI è estremamente complesso. I dataset sono spesso enormi, provenienti da fonti multiple, trasformati attraverso processi opachi.
I modelli di intelligenza artificiale, e in particolare i Large Language Models (LLM), trattano il testo come rappresentazioni numeriche. Parole e simboli vengono “tokenizzati” in unità discrete (token), poi convertiti in identificativi e in vettori (embedding). Addestrati su grandi quantità di dati, imparano a stimare la probabilità del token successivo dato un contesto, catturando regolarità statistiche (co-occorrenze, dipendenze, pattern). Per questo l’AI non comprende il significato “in senso umano”: produce risposte coerenti perché sfrutta correlazioni apprese e la struttura del contesto, non perché abbia intenzionalità o consapevolezza[6]. Non esiste una distinzione qualitativa tra un’informazione proveniente da una fonte autorevole e una voce anonima su un forum. Dal punto di vista del modello sono entrambi dati, entrambi contribuiscono alle statistiche, entrambi influenzano l’output. Questo approccio è efficace dal punto di vista computazionale ma fragile dal punto di vista umano e giuridico.
Il ruolo degli oracoli
La blockchain, anche attraverso l’utilizzo accurato dei c.d. “oracoli”, ovvero di fonti esterne qualificate e autorizzate che inseriscono un’istruzione o un dato in blockchain[7], consente di reintrodurre una gerarchia epistemica tra le fonti di informazione. Attraverso meccanismi di certificazione on-chain è possibile attestare l’origine di un dato, collegarlo a un soggetto identificabile, renderlo verificabile nel tempo. Un sistema di AI progettato per interagire con dati certificati su blockchain può riconoscerli come “qualificati” e attribuire loro un peso maggiore nelle elaborazioni. Non tutti i dati devono avere lo stesso valore: questa distinzione, banale per l’intelligenza umana, può essere tecnicamente implementata anche per quella artificiale.
Pensiamo a un sistema di AI utilizzato per l’analisi di notizie o per la verifica di informazioni. Oggi questi sistemi non distinguono tra una testata giornalistica che aderisce a standard deontologici internazionali (come quelle affiliate al Trust Project[8]) e un blog anonimo che diffonde contenuti non verificati. Con un’infrastruttura blockchain, questa distinzione diventa possibile e tecnicamente implementabile. Le fonti certificate possono essere identificate, il loro contributo può essere pesato di conseguenza, la qualità complessiva dell’output può migliorare.
Privacy e consenso: dal divieto normativo al vincolo tecnico
Il tema della privacy rappresenta forse il banco di prova più significativo per la compliance automatizzata. Il GDPR ha introdotto principi stringenti sul trattamento dei dati personali: consenso informato, finalità determinate, minimizzazione, diritto alla cancellazione, diritto alla portabilità. Ma l’esperienza di questi anni ha mostrato quanto sia difficile garantire l’effettività di questi principi, specialmente nel contesto dell’AI dove i dati sono utilizzati per addestrare modelli che poi operano in modo autonomo.
Un esempio concreto: un paziente rilascia il consenso al trattamento dei propri dati sanitari per uno specifico progetto di ricerca. Successivamente, decide di revocare il consenso. Nel modello tradizionale, la revoca è comunicata al titolare del trattamento, che dovrebbe procedere alla cancellazione dei dati e alla cessazione del loro utilizzo. Ma come verificare che questo sia effettivamente avvenuto, specialmente se i dati sono già stati utilizzati per addestrare un modello di AI? Il consenso è stato revocato ma il modello continua a incorporare le informazioni apprese da quei dati.
Con un’architettura basata su blockchain il consenso può essere gestito attraverso credenziali verificabili, registrate on-chain, che specificano esattamente quali dati possono essere utilizzati, per quali finalità, per quanto tempo. Quando il consenso è revocato, la revoca è immediatamente registrata e il sistema di AI è tecnicamente impedito dall’accedere a quei dati[9]. Non si tratta solo di registrare la revoca: si tratta di renderla operativa in tempo reale, di tradurre un diritto giuridico in un vincolo tecnico. La tutela della privacy non dipende più solo dal rispetto di una norma da parte del titolare: è garantita da un vincolo che il sistema non può aggirare.
Questo passaggio dal divieto normativo al vincolo tecnico rappresenta uno dei contributi più rilevanti della blockchain al governo dell’AI. L’AI non “dovrebbe” utilizzare certi dati: semplicemente, non può. Il rispetto della privacy cessa di essere un obbligo e diventa una proprietà del sistema.
Audit e accountability: ricostruire ciò che è accaduto
Uno dei principi cardine della compliance è l’accountability: la capacità di rendere conto delle proprie azioni e decisioni. Ma l’accountability presuppone la possibilità di ricostruire ciò che è accaduto. E qui la blockchain offre un contributo decisivo, fornendo un’infrastruttura di audit che non dipende dalla buona fede di chi è sottoposto al controllo.
Immaginiamo uno scenario sempre più frequente: un sistema di AI utilizzato da un’azienda produce una decisione contestata. Può trattarsi del rifiuto di una domanda di finanziamento, dell’esclusione di un candidato da una selezione, della segnalazione di un comportamento come sospetto, della raccomandazione di un trattamento medico. L’interessato contesta la decisione e chiede spiegazioni. L’autorità di vigilanza avvia un controllo. Un giudice deve valutare la legittimità della decisione.
Nel modello tradizionale, l’azienda dovrebbe essere in grado di ricostruire il processo decisionale basandosi sui propri log interni. Ma questi log possono essere incompleti, manipolati, o semplicemente non progettati per rispondere a questo tipo di domande. L’azienda potrebbe affermare che il sistema ha funzionato correttamente, ma come verificarlo? Come distinguere tra una spiegazione accurata e una ricostruzione ex post costruita per giustificare la decisione?
La blockchain funziona perfettamente come “black box” per l’accountability aziendale. Con un’architettura blockchain, invece, tutti gli elementi rilevanti sono registrati in modo immutabile e indipendente: i dati utilizzati, la versione del modello, i parametri di configurazione, l’output prodotto, il timestamp preciso. Questa registrazione non dipende dall’azienda: è incorporata nell’infrastruttura. In caso di contestazione, esiste una traccia oggettiva che consente di ricostruire esattamente cosa è accaduto. L’accountability non nasce dalla trasparenza totale, che non è sempre possibile: nasce dalla possibilità di verifica. Ed è esattamente ciò che la blockchain rende possibile.
Casi d’uso e applicazioni concrete
Le applicazioni potenziali di questo modello sono numerose e toccano i settori più disparati. Nel settore finanziario, gli smart contract possono automatizzare i controlli antiriciclaggio, verificando in tempo reale che le transazioni rispettino i parametri normativi e bloccando automaticamente quelle sospette. Possono gestire i limiti operativi per categorie di clienti, impedendo tecnicamente operazioni non consentite. Possono garantire che i sistemi di scoring creditizio operino secondo le regole dichiarate, registrando ogni decisione in modo verificabile.
Nel settore sanitario, la blockchain può garantire la tracciabilità completa dell’utilizzo dei dati dei pazienti, dal consenso iniziale alla revoca, passando per ogni singolo accesso e utilizzo. Può certificare che i modelli di AI diagnostici siano stati addestrati su dataset conformi ai requisiti regolamentari. Può garantire che i dati di un paziente non siano utilizzati per finalità diverse da quelle autorizzate, implementando tecnicamente il principio di finalità del GDPR.
Nel settore delle risorse umane, gli smart contract possono garantire che i sistemi di selezione automatizzata non accedano a informazioni vietate (età, stato civile, appartenenza sindacale, stato di salute) e che ogni decisione sia accompagnata dalla documentazione richiesta per la trasparenza algoritmica. Possono implementare quote e obiettivi di diversità in modo automatico, garantendo che le procedure di selezione rispettino i parametri stabiliti.
Nel settore della supply chain, la blockchain può certificare l’origine e la tracciabilità dei prodotti, consentendo ai sistemi di AI di basare le proprie analisi su dati verificati e non manipolabili. Questo è particolarmente rilevante per la compliance in materia di sostenibilità e due diligence, dove le aziende devono dimostrare di conoscere e controllare la propria catena di fornitura. La blockchain può fornire la prova di questa conoscenza in modo oggettivo e verificabile.
I limiti e le sfide del modello
Sarebbe ingenuo presentare questo modello come una soluzione a tutti i problemi della compliance. Esistono limiti tecnici, organizzativi e concettuali che devono essere onestamente riconosciuti. La convergenza tra blockchain e AI è ancora agli albori, e molte delle applicazioni descritte richiedono sviluppi tecnologici che non sono ancora maturi.
Sul piano tecnico, l’integrazione tra blockchain e AI presenta sfide significative. Le blockchain pubbliche presentano problemi di scalabilità che le rendono poco adatte a registrare grandi volumi di transazioni in tempo reale. I sistemi di AI moderni elaborano milioni di operazioni al secondo: registrare ciascuna di queste operazioni su una blockchain pubblica sarebbe tecnicamente impossibile e economicamente insostenibile. Le blockchain private o consortili risolvono in parte questi problemi ma reintroducono elementi di centralizzazione che ne riducono le garanzie di indipendenza. Il compromesso tra scalabilità e decentralizzazione è ancora oggetto di ricerca e sviluppo[10].
Sul piano organizzativo, l’adozione di un’architettura di compliance automatizzata richiede investimenti significativi e competenze specialistiche che non tutte le imprese possiedono. Richiede inoltre un ripensamento profondo dei processi aziendali e delle responsabilità interne. Chi definisce le regole da incorporare negli smart contract? Chi le aggiorna quando la normativa cambia? Chi risponde se le regole sono state codificate in modo errato? Queste domande non hanno risposte semplici.
Sul piano concettuale, rimane aperta la questione fondamentale: chi decide quali regole incorporare nel codice? La compliance automatizzata non elimina la necessità di scelte normative e politiche; semplicemente le rende più definitive e più difficili da modificare. Una regola incorporata in uno smart contract è più rigida di una regola scritta in un regolamento: modificarla richiede un intervento tecnico, non solo una decisione amministrativa. Questo può essere un vantaggio (certezza, prevedibilità) ma anche un rischio (rigidità, difficoltà di adattamento a circostanze impreviste).
Il ruolo irrinunciabile del fattore umano
È importante sottolineare che la compliance automatizzata non implica l’eliminazione del controllo umano. Al contrario, lo rende più efficace e meglio indirizzato. Invece di disperdere risorse in controlli a campione su migliaia di operazioni routine, il personale addetto alla compliance può concentrarsi sui casi eccezionali, sulle situazioni ambigue, sulle decisioni che richiedono un giudizio qualitativo che nessun algoritmo può fornire.
L’obiettivo non è sostituire l’intelligenza umana con quella artificiale, né la discrezionalità con l’automatismo. È liberare l’intelligenza umana dai compiti routinari per concentrarla su quelli che effettivamente la richiedono. È garantire che le regole di base siano sempre rispettate, per consentire agli esseri umani di occuparsi delle eccezioni e dei casi limite. È spostare il lavoro umano dalla verifica del rispetto delle regole alla definizione delle regole stesse.
Questo approccio è perfettamente coerente con il principio di supervisione umana richiamato dall’AI Act. La norma europea non chiede che ogni decisione dell’AI sia presa da un essere umano; chiede che esista una supervisione umana significativa, proporzionata al rischio. Un sistema in cui le regole di base sono garantite tecnicamente consente di concentrare la supervisione umana dove effettivamente serve: sulle decisioni ad alto impatto, sui casi dubbi, sulle situazioni che richiedono un giudizio che va oltre l’applicazione meccanica di una regola.
Verso una nuova architettura della fiducia
Siamo all’inizio di una trasformazione profonda nel modo in cui le imprese gestiscono la conformità normativa. La convergenza tra blockchain e intelligenza artificiale apre possibilità che fino a pochi anni fa sembravano fantascienza: regole che si applicano da sole, decisioni automatizzate ma verificabili, privacy garantita tecnicamente e non solo giuridicamente, responsabilità tracciabili in modo oggettivo.
Questa trasformazione non avverrà dall’oggi al domani. Richiede investimenti, sperimentazioni, standard condivisi, forse anche un adeguamento del quadro normativo per riconoscere e valorizzare le nuove possibilità tecniche. Richiede un dialogo tra tecnologi, giuristi, regolatori e imprese che è ancora in gran parte da costruire. Ma la direzione sembra tracciata: dalla compliance basata sulla fiducia alla compliance basata sulla verifica, dalla regola che può essere violata al vincolo che non può essere aggirato, dal controllo retrospettivo alla prevenzione incorporata.
È, in fondo, lo stesso obiettivo che anima l’AI Act europeo e più in generale il tentativo dell’Unione Europea di costruire un modello di sviluppo tecnologico fondato sui diritti: ricondurre l’innovazione entro confini verificabili, responsabili e, in ultima analisi, umani. La blockchain e gli smart contract non sono la soluzione a tutti i problemi dell’intelligenza artificiale. Ma possono diventare il layer di controllo mancante, l’infrastruttura che consente di tradurre principi normativi in garanzie tecniche, promesse in proprietà del sistema.
In un mondo in cui le tecnologie evolvono più rapidamente della capacità di comprenderle e governarle, questa possibilità non è solo un’opportunità tecnica per le imprese che sapranno coglierla. È una necessità democratica per le società che vogliono mantenere il controllo sul proprio futuro. La compliance che diventa codice non è la fine del diritto: è un nuovo modo di renderlo effettivo.
Note
[1] L’espressione “by design” richiama l’idea, già presente nel GDPR (Regolamento UE 2016/679), di integrare i requisiti di conformità nella progettazione dei sistemi e dei processi (cfr. art. 25 GDPR: data protection by design e by default).
[2] Nel contesto enterprise la blockchain è spesso permissioned / consortile: non “pubblica a tutti”, ma verificabile e auditabile dai soggetti autorizzati secondo regole di governance condivise.
[3] Gli smart contract sono codice eseguibile su un registro distribuito, in senso tecnico sono “script automatici”: non coincidono, di per sé, con i “contratti” in senso giuridico e spesso dipendono da fonti esterne (oracoli) per acquisire dati dal mondo reale.
[4] Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce norme armonizzate sull’intelligenza artificiale e che modifica i regolamenti (CE) n. 300/2008, (UE) n. 167/2013, (UE) n. 168/2013, (UE) 2018/858, (UE) 2018/1139 e (UE) 2019/2144 e le direttive 2014/90/UE, (UE) 2016/797 e (UE) 2020/1828 (Artificial Intelligence Act), testo rilevante ai fini del SEE, GUUE L, 2024/1689, 12.7.2024, p. 1–144.
[5] Si veda l’articolo “Tracciabilità dell’AI, ecco come la blockchain diventa layer di controllo dell’AI”, di Andrea Luciano e Marco Troglia, pubblicato su Agenda Digitale in data 30 gennaio 2026 e reperibile al seguente LINK. “L’AI è ormai un’infrastruttura, spesso “silenziosa”, che filtra e orienta decisioni umane senza essere davvero verificabile. L’AI Act europeo prova a ridurre l’asimmetria con un approccio basato sul rischio, ma resta un limite tecnico. La blockchain viene proposta come layer di controllo per tracciabilità, audit, governance dei dati e compliance”.
[6] Tre referenze “classiche” per spiegare LLM/AI: (1) Goodfellow, Bengio, Courville, Deep Learning, MIT Press, 2016; (2) Jurafsky, Martin, Speech and Language Processing (3rd ed., online manuscript, release 6 Jan 2026); e (3) Vaswani et al., “Attention Is All You Need” (Transformer), NeurIPS 2017 / arXiv:1706.03762.
[7] In blockchain, un oracolo (oracle) è un componente middleware (spesso un servizio terzo o una rete di nodi) che collega smart contract a risorse “off-chain”, fornendo dati esterni verificati (es. prezzi, eventi, sensori) e/o inoltrando output verso sistemi esterni; è quindi il “ponte” tra registro on-chain e mondo reale, connesso al noto oracle problem (affidabilità della fonte). Si vedano in letteratura, inter alia, (1) Beniiche, A. A Study of Blockchain Oracles. arXiv preprint arXiv:2004.07140, 2020, e (2) Caldarelli, G. Understanding the Blockchain Oracle Problem: A Call for Action. Information 2020, 11(11), 509. https://doi.org/10.3390/info11110509; e (2) Caldarelli, G. Understanding the Blockchain Oracle Problem: A Call for Action. Information 2020, 11(11), 509. https://doi.org/10.3390/info11110509.
[8] The Trust Project è un consorzio internazionale di organizzazioni giornalistiche che sviluppa e promuove standard di trasparenza (“Trust Indicators”) per rendere più misurabile e comparabile l’affidabilità editoriale e facilitare scelte informate da parte del pubblico; cfr. The Trust Project, Understanding Trust Indicators (sito ufficiale), consultato il 27 febbraio 2026, disponibile su: https://thetrustproject.org/trust-indicators/. Per un inquadramento in letteratura (con riferimento esplicito al Trust Project e ai trust indicators in contesti digitali), v. Ribes, D.; Henchoz, N.; Portier, H.; Defayes, L.; Phan, T.-T.; Gatica-Perez, D.; Sonderegger, A. Trust Indicators and Explainable AI: A Study on User Perceptions. In: Ardito, C. et al. (Eds.), Human-Computer Interaction – INTERACT 2021, Lecture Notes in Computer Science, vol. 12933, Springer, Cham, 2021, pp. 662–671, DOI: 10.1007/978-3-030-85616-8_39.
[9] In pratica, per evitare conflitti tra immutabilità e diritti privacy, i dati personali non dovrebbero essere scritti “in chiaro” on-chain: si usano tipicamente hash, riferimenti e metadati, con dati off-chain e controlli di accesso. La revoca del consenso e la rimozione/limitazione dell’uso in modelli AI restano temi complessi (anche per la cosiddetta machine unlearning).
[10] Si vedano in letteratura, inter alia: (1) Croman, K.; Decker, C.; Eyal, I.; et al. On Scaling Decentralized Blockchains – (A Position Paper). In Financial Cryptography and Data Security (FC) 2016 Workshops, LNCS 9604; Springer, 2016; pp. 106–125. https://doi.org/10.1007/978-3-662-53357-4_8; (2) Vukolić, M. The Quest for Scalable Blockchain Fabric: Proof-of-Work vs. BFT Replication. In Open Problems in Network Security (iNetSec 2015), LNCS 9591; Springer, 2016; pp. 112–125. https://doi.org/10.1007/978-3-319-39028-4_9; e (3) Chohan, U. W. The Limits to Blockchain? Scaling vs. Decentralization. Discussion Paper Series: Notes on the 21st Century (CBRI), 2019. https://doi.org/10.2139/ssrn.3338560.
