Il nuovo executive order AI firmato da Donald Trump il 2 giugno 2026 segna una correzione significativa nella politica americana sull’intelligenza artificiale. La Casa Bianca non introduce un regime di autorizzazione preventiva per i modelli più avanzati, ma costruisce un canale volontario di accesso anticipato per il governo federale, con l’obiettivo di testare capacità cyber, proteggere infrastrutture critiche e contenere i rischi di uso offensivo.
La scelta conta anche per l’Europa. Gli Stati Uniti si muovono verso una sorveglianza leggera, selettiva e centrata sulla sicurezza nazionale, mentre l’Unione europea ha già incardinato gli obblighi sui modelli di AI generale nell’AI Act. Il confronto non riguarda più solo chi regola di più o di meno: riguarda quale architettura riesce a tenere insieme innovazione, sicurezza, certezza giuridica e capacità di enforcement.
Indice degli argomenti
I cinque punti chiave dell’executive order AI di Trump
Il provvedimento della Casa Bianca ruota attorno a cinque passaggi operativi.
| Punto | Cosa prevede | Perché conta |
|---|---|---|
| Review volontaria | Gli sviluppatori possono dare al governo accesso ai modelli frontier coperti fino a 30 giorni prima del rilascio | Crea un canale di valutazione preventiva senza trasformarlo in autorizzazione obbligatoria |
| Benchmark classificati | Tesoro, Dipartimento della Guerra, Nsa, Cisa e altre strutture federali devono sviluppare entro 60 giorni un processo classificato per valutare capacità cyber avanzate | Il perimetro dei modelli “covered frontier” non è ancora operativo |
| Nessuna licenza obbligatoria | L’ordine esclude esplicitamente licensing, preclearance o permessi governativi obbligatori per sviluppo, pubblicazione o distribuzione di modelli AI | È la clausola politica e giuridica che rassicura industria e investitori |
| Clearinghouse cyber | Il Tesoro deve creare entro 30 giorni una AI cybersecurity clearinghouse con industria e operatori di infrastrutture critiche | Punta a coordinare vulnerability scanning, validazione delle falle e distribuzione delle patch |
| Enforcement penale | Il Dipartimento della Giustizia deve dare priorità ai reati informatici commessi con l’uso di AI | Sposta il focus anche sull’uso criminale degli agenti AI e degli strumenti di automazione |
Il testo ufficiale chiarisce che il framework è volontario e che l’accesso anticipato ai modelli dovrà avvenire con protezioni su riservatezza, cybersecurity, rischio interno e proprietà intellettuale. La stessa Casa Bianca, nella fact sheet pubblicata il 2 giugno 2026, presenta l’ordine come un equilibrio tra leadership industriale americana e sicurezza nazionale.
La clausola che definisce il compromesso politico
La parte più rilevante dell’ordine è la clausola che esclude qualunque forma di licenza obbligatoria, preclearance o autorizzazione governativa per lo sviluppo, la pubblicazione, il rilascio o la distribuzione di nuovi modelli AI, inclusi i modelli di frontiera. È il confine politico tracciato prima di tutto il resto.
Per capire perché quella clausola sia centrale occorre guardare ai giorni che hanno preceduto la firma. Il 21 maggio 2026 la Casa Bianca aveva programmato una versione più incisiva dello stesso ordine. Secondo la ricostruzione di Axios, la bozza prevedeva un framework volontario con accesso ai modelli almeno 90 giorni prima del rilascio pubblico. Quella finestra avrebbe potuto produrre effetti vicini a un controllo preventivo, pur senza dichiararlo come regime autorizzatorio.
La versione finale riduce la finestra a 30 giorni e rende esplicita l’assenza di obbligatorietà. È il punto di equilibrio tra due spinte interne all’amministrazione: da un lato sicurezza nazionale, cyber risk e protezione delle infrastrutture critiche; dall’altro competitività americana, velocità di rilascio dei modelli e timore di avvantaggiare la Cina con un apparato regolatorio troppo lento.
Dalla deregulation alla vigilanza cyber
Il cambio di tono è evidente. Il 20 gennaio 2025, con l’executive order sulle “Initial Rescissions of Harmful Executive Orders and Actions”, Trump aveva revocato l’executive order 14110 di Joe Biden del 30 ottobre 2023 sulla sicurezza dell’intelligenza artificiale. Il Nist ricorda che quell’ordine, dedicato allo sviluppo e all’uso sicuro, protetto e affidabile dell’AI, è stato rescisso il 20 gennaio 2025.
Il modello Biden usava una leva più prescrittiva. Imponeva agli sviluppatori dei sistemi più potenti di condividere con il governo informazioni su test di sicurezza, risultati di red teaming e processi di sviluppo, agganciandosi anche al Defense Production Act per alcuni obblighi informativi. Era un impianto contestato dall’industria come oneroso, ma aveva un perimetro più definito e attribuiva al governo federale una posizione più forte nella fase precedente al rilascio dei modelli.
La traiettoria americana diventa così leggibile: obblighi Biden, revoca Trump, vuoto regolatorio, framework volontario Trump. Gli obiettivi dichiarati restano simili: sicurezza dei modelli avanzati, protezione delle infrastrutture critiche, competitività americana. Cambia la forma giuridica scelta per perseguirli, e quella differenza sposta il punto centrale della responsabilità.
Il nodo giuridico dell’executive order su AI del Governo Usa: chi porta il rischio
Il regime volontario è una scelta politica con conseguenze giuridiche precise. La sicurezza delle infrastrutture critiche è uno degli ambiti in cui l’ordinamento americano può giustificare obblighi preventivi, responsabilità da inadempimento e controllo pubblico su attività private che producono rischi sistemici. Con questo ordine, l’amministrazione sceglie di non costruire un simile meccanismo per l’AI frontier.
La conseguenza è che il rischio sistemico resta in larga parte allocato sul mercato. Se un modello con capacità cyber avanzate viene rilasciato senza revisione federale e contribuisce a un incidente su infrastrutture critiche, il governo potrà sostenere di non avere previsto un potere di blocco. La clausola anti-licensing rende esplicito questo limite: l’esecutivo si dota di competenze, benchmark e canali di cooperazione, ma esclude l’autorità di impedire il rilascio.
Il punto non è solo teorico. Le aziende che aderiranno al framework potranno usare la cooperazione con il governo come segnale di affidabilità. Quelle che non aderiranno non subiranno, per effetto dell’ordine, una sanzione diretta. La responsabilità del rilascio resta quindi affidata a incentivi reputazionali, pressioni commerciali, rapporti con clienti regolati e possibili responsabilità ex post, non a un obbligo amministrativo preventivo.
Un meccanismo operativo ancora incompleto
L’ordine prevede che le agenzie federali sviluppino entro 60 giorni un processo di benchmarking classificato per stabilire quando un modello raggiunga la soglia di covered frontier model. Fino a quel momento, il meccanismo di revisione anticipata non ha un perimetro soggettivo pienamente operativo: le aziende sono invitate a partecipare a una procedura le cui soglie di attivazione devono ancora essere definite.
Questo elemento incide anche sulla certezza giuridica. Il testo istituisce una categoria regolatoria, ma rinvia la sua concretizzazione tecnica. In un settore in cui le capacità dei modelli cambiano rapidamente, il benchmarking potrà diventare il vero luogo della regolazione: non una norma generale sul modello, ma una classificazione tecnica delle capacità cyber che determina chi entra nel framework e con quali aspettative di cooperazione.
La stessa logica vale per la AI cybersecurity clearinghouse. Il Tesoro, in coordinamento con National Cyber Director, Nsa e Cisa, dovrà costituire entro 30 giorni una struttura di collaborazione tra governo, industria AI e gestori di infrastrutture critiche, inclusi ospedali rurali, banche comunitarie e utility locali. L’obiettivo è usare i modelli più avanzati per scoprire vulnerabilità software, validarle e distribuire patch. Anche qui, però, il funzionamento dipenderà da adesione volontaria, fiducia tra soggetti pubblici e privati e capacità tecnica di coordinare disclosure e remediation.
Il confronto con l’AI Act europeo
L’Unione europea arriva allo stesso nodo da una strada diversa. Le obbligazioni per i provider di modelli di AI generale sono entrate in applicazione il 2 agosto 2025. Per tutti i modelli general-purpose l’AI Act prevede documentazione tecnica, policy sul copyright e sintesi dei contenuti usati per l’addestramento. Per i modelli con rischio sistemico si aggiungono notifica alla Commissione, valutazione e mitigazione dei rischi, incident reporting e protezioni di cybersecurity.
La Commissione europea indica una presunzione di rischio sistemico per i modelli addestrati con oltre 10^25 flop, soglia attualmente soggetta a revisione. Le linee guida della Commissione precisano anche che i provider extra-Ue rientrano nel perimetro quando immettono modelli sul mercato dell’Unione, tramite Api, download, servizi cloud o integrazione in applicazioni.
La differenza con l’ordine americano è netta. L’Ue usa una cornice giuridica orizzontale, con obblighi applicabili e futura enforcement da parte dell’AI Office. Gli Usa adottano un meccanismo federale volontario, concentrato sulle capacità cyber dei modelli più avanzati e sulla protezione delle infrastrutture critiche. Il primo modello offre più certezza regolatoria. Il secondo cerca rapidità, collaborazione con l’industria e minore attrito competitivo.
Executive order AI di Trump: cosa significa per le imprese europee
Per le aziende europee che sviluppano, integrano o acquistano sistemi AI, l’ordine di Trump produce tre effetti indiretti.
- Il primo riguarda la supply chain tecnologica. Molti modelli frontier usati in Europa nascono negli Stati Uniti. Se i grandi sviluppatori americani aderiranno al framework federale, le loro procedure di sicurezza, disclosure e accesso anticipato potranno diventare uno standard di fatto anche per clienti europei, cloud provider, system integrator e operatori critici.
- Il secondo effetto riguarda la compliance. Le imprese che operano nell’Ue dovranno continuare a ragionare dentro l’AI Act, ma potrebbero trovarsi davanti a fornitori statunitensi che comunicano la conformità anche attraverso audit, test o cooperazione con agenzie federali americane. Queste evidenze potranno aiutare nelle valutazioni di rischio, ma non sostituiranno gli obblighi europei su documentazione, trasparenza, copyright, incident reporting e cybersecurity.
- Il terzo effetto è geopolitico. Washington sta costruendo un linguaggio regolatorio alternativo: meno centrato sui diritti fondamentali e più sulla sicurezza nazionale, sulle infrastrutture critiche e sulla competizione con la Cina. Bruxelles dovrà evitare che l’attuazione dell’AI Act diventi solo un costo amministrativo per le imprese europee, mentre gli Stati Uniti consolidano un canale privilegiato tra governo, big tech e settori critici.
Il rischio di due standard globali
La divergenza tra Usa e Ue può produrre un doppio standard per gli sviluppatori globali. Negli Stati Uniti, un provider potrà puntare su collaborazione volontaria, accesso anticipato e benchmark classificati. In Europa dovrà dimostrare conformità a obblighi legali, inclusa la documentazione per autorità e downstream provider, la sintesi dei dati di training e le misure di sicurezza per i modelli a rischio sistemico.
Questa differenza può anche diventare una divisione del lavoro. Gli Stati Uniti potrebbero avanzare più rapidamente nella costruzione di test cyber operativi sui modelli frontier. L’Europa potrebbe offrire un quadro più leggibile per imprese, Pa e cittadini, soprattutto nei casi in cui l’AI incide su diritti, servizi pubblici, sicurezza dei prodotti e responsabilità lungo la filiera.
La partita si sposta quindi sull’attuazione. Se il framework americano resterà troppo dipendente dalla buona volontà delle aziende, rischierà di lasciare zone opache proprio sui modelli più sensibili. Se l’AI Act europeo produrrà procedure lente, incerte o frammentate, rischierà di rafforzare la narrativa americana secondo cui la regolazione frena l’innovazione.
Una nuova fase della governance AI
L’executive order AI di Trump non crea un AI Act statunitense. Introduce però un segnale politico chiaro: anche l’amministrazione più orientata alla deregolazione riconosce che i modelli frontier non possono essere trattati come normali prodotti software quando mostrano capacità avanzate nel dominio cyber.
Per l’Europa il messaggio è duplice. La scelta regolatoria dell’AI Act non appare isolata: la sicurezza dei modelli più potenti è ormai un tema anche a Washington. La competizione, però, si giocherà sulla capacità di trasformare gli obblighi in controlli efficaci, proporzionati e tecnicamente aggiornati. La governance dell’AI entra così in una fase più concreta, dove il vantaggio non sarà avere la regola più ambiziosa, ma il sistema più credibile per farla funzionare.
