Sovranità digitale Cittadinanza digitale Intelligenza Artificiale Sicurezza Informatica Sanità digitale Documenti digitali Industria 5.0/Innovazione in azienda Libri Procurement dell'innovazione Guide alla scelta tech Infrastrutture digitali Fatturazione elettronica Scuola digitale Cultura e società digitali Mercati digitali Startup Sostenibilità e smart city

la frattura

Audit indipendenti per l’AI, l’Illinois sfida la linea volontaria di Trump

Home Sicurezza digitale
Partecipa al dibattito
Indirizzo copiato

L’Illinois approva una legge che introduce audit indipendenti sulle pratiche di sicurezza dei principali sviluppatori di IA, mentre la Casa Bianca di Donald Trump privilegia cooperazione volontaria e supervisione limitata. Il confronto apre una frattura sulla governance americana dei modelli di frontiera

Pubblicato il 5 giu 2026
Tania Orrù

Data Protection, Compliance & Digital Governance Advisor

shutterstock_2711391569 (1)
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Mentre la Casa Bianca di Donald Trump sceglie una strada fondata sulla collaborazione volontaria con le grandi aziende dell’intelligenza artificiale, l’Illinois imbocca la direzione opposta.

Audit indipendenti per l’AI: cosa cambia per i modelli di frontiera con la normativa dell’Illinois

Il 27 maggio il Parlamento dello Stato ha approvato il disegno di legge SB 315, una normativa destinata ai principali sviluppatori di modelli di frontiera (come OpenAI, Anthropic, Google DeepMind e altri operatori comparabili) che introduce un principio fino ad oggi assente nel panorama normativo statunitense: le dichiarazioni delle aziende sulla sicurezza dei propri sistemi non saranno più sufficienti, ma dovranno essere sottoposte a verifiche indipendenti da parte di soggetti terzi.

AI, la legge della California e le differenze con l’AI Act

Se, come annunciato dal governatore JB Pritzker, il provvedimento verrà promulgato, l’Illinois diventerà il primo Stato americano a rendere obbligatori audit esterni sulle pratiche di sicurezza dei laboratori che sviluppano i modelli di IA più avanzati.

La notizia potrebbe apparire come uno dei tanti interventi statali che negli ultimi due anni hanno cercato di colmare il vuoto normativo lasciato dal Congresso. In realtà rappresenta qualcosa di più, in quanto è la prima volta che negli Stati Uniti si tenta di tradurre in obblighi giuridicamente verificabili una serie di impegni che finora le aziende avevano assunto principalmente su base volontaria, quali framework di sicurezza, valutazioni dei rischi, procedure di segnalazione degli incidenti e protezione dei whistleblower.

Pochi giorni dopo l’approvazione della legge dell’Illinois, il 2 giugno 2026, Donald Trump ha firmato il nuovo Executive Order “Promoting Advanced Artificial Intelligence Innovation and Security”, inaugurando una diversa visione della governance dell’intelligenza artificiale.

Il confronto tra queste due iniziative ed approcci consente di osservare una frattura sempre più evidente all’interno degli Stati Uniti: da una parte gli Stati federati che cercano di costruire obblighi regolatori vincolanti, dall’altra un’amministrazione federale che continua a privilegiare meccanismi volontari e una supervisione limitata per non rallentare la corsa tecnologica americana.

Cosa prevede il disegno di legge SB 315

L’approvazione del disegno di legge SB 315 da parte del Parlamento dell’Illinois rappresenta uno degli sviluppi più significativi nel dibattito americano sulla governance dell’intelligenza artificiale. Il provvedimento, che attende soltanto la firma del governatore JB Pritzker (già dichiaratosi favorevole alla promulgazione), si rivolge ai cosiddetti frontier AI developers, ossia le aziende che sviluppano i modelli di intelligenza artificiale più avanzati, tra cui OpenAI, Anthropic e Google DeepMind.

A prima vista la legge potrebbe sembrare una semplice evoluzione delle iniziative già adottate da Stati come California (California Senate Bill 1047, anche se non entrata in vigore) e New York (Responsible AI Safety and Education “RAISE” Act), che impongono ai grandi sviluppatori di predisporre piani per la gestione dei rischi più gravi, pubblicare informazioni sulle misure di sicurezza adottate e rendere noti eventuali incidenti significativi. In realtà, l’Illinois introduce un elemento inedito nel panorama normativo statunitense: l’obbligo di sottoporre tali pratiche a verifiche indipendenti da parte di soggetti terzi.

Secondo le ricostruzioni pubblicate dalla stampa internazionale , la legge dell’Illinois sarebbe infatti la prima normativa americana a imporre audit annuali indipendenti sulle pratiche di sicurezza adottate dai laboratori che sviluppano modelli di frontiera.

Finora le principali aziende del settore hanno pubblicato autonomamente framework di sicurezza, valutazioni dei rischi e report sulle misure adottate per mitigare i potenziali danni derivanti dall’utilizzo dei propri sistemi. In altre parole, erano al tempo stesso soggetti regolati e controllori di sé stessi. Non a caso, tra i sostenitori della legge si è diffusa l’immagine secondo cui le imprese dell’intelligenza artificiale starebbero sostanzialmente “correggendo i propri compiti da sole”.

L’obiettivo della nuova disciplina è proprio quello di superare questo modello di autoregolamentazione, introducendo un meccanismo di controllo esterno incaricato di verificare se gli impegni pubblicamente assunti dalle aziende trovino effettiva applicazione nella pratica.

Il passaggio dalla trasparenza alla verifica esterna

La legge richiede infatti la predisposizione e la pubblicazione di piani per la gestione dei rischi gravi o catastrofici associati ai modelli avanzati, il loro aggiornamento periodico, la realizzazione di audit indipendenti sulle pratiche di sicurezza, l’adozione di procedure di trasparenza e segnalazione degli incidenti, la protezione dei whistleblower e la creazione di canali di segnalazione interna per i dipendenti delle aziende interessate. Sono inoltre previste possibili sanzioni civili in caso di violazione degli obblighi introdotti dal provvedimento. Il passaggio più rilevante, tuttavia, non riguarda tanto il contenuto delle misure richieste quanto il principio che le ispira: la sicurezza non può più essere affidata esclusivamente alle dichiarazioni delle imprese e deve poter essere verificata da soggetti indipendenti. Il dibattito si sposta dunque dalla semplice trasparenza alla vera e propria accountability verificabile.

La rilevanza della legge dipende anche dal contesto istituzionale in cui nasce. Negli Stati Uniti il Congresso non è infatti ancora riuscito ad approvare una disciplina federale organica sull’intelligenza artificiale e questo vuoto normativo ha spinto diversi Stati ad assumere un ruolo sempre più attivo. I promotori di SB 315 rivendicano esplicitamente questa funzione sperimentale, sostenendo che l’Illinois possa anticipare future soluzioni federali.

La legge offre quindi uno spaccato particolarmente interessante dell’evoluzione della governance dell’IA negli Stati Uniti: anziché emergere da una strategia nazionale unitaria, le regole stanno prendendo forma attraverso iniziative statali che cercano di definire nuovi standard di sicurezza e responsabilità per i principali sviluppatori di modelli avanzati.

Perché l’Illinois è un laboratorio della regolazione digitale

Lo Stato è da tempo considerato uno dei laboratori normativi più innovativi degli Stati Uniti in materia di tecnologie digitali e tutela dei diritti fondamentali. Già nel 2008 il legislatore statale aveva approvato il Biometric Information Privacy Act (BIPA), una legge che ancora oggi rappresenta uno dei più incisivi strumenti di tutela dei dati biometrici esistenti negli Stati Uniti. Il BIPA impone alle aziende obblighi stringenti nella raccolta e nell’utilizzo di impronte digitali, scansioni facciali e altri identificatori biometrici, prevedendo inoltre la possibilità per i cittadini di agire direttamente in giudizio in caso di violazione. È proprio grazie a questa normativa che società come Facebook, Google e Clearview AI sono state coinvolte negli ultimi anni in contenziosi multimiliardari relativi all’uso delle tecnologie di riconoscimento facciale.

L’approccio dell’Illinois si è infatti spesso distinto da quello federale per una maggiore attenzione ai rischi derivanti dall’innovazione tecnologica.

Lo Stato è intervenuto più volte anche in materia di privacy sul luogo di lavoro, monitoraggio dei dipendenti, utilizzo di sistemi automatizzati nei processi di assunzione e trasparenza degli algoritmi. Non sorprende quindi che proprio qui sia emersa una delle prime iniziative legislative americane orientate a introdurre forme di accountability indipendente per gli sviluppatori di intelligenza artificiale avanzata.

Il disegno di legge SB 315 appare dunque come l’evoluzione naturale di una tradizione normativa consolidata. Se il BIPA aveva anticipato di anni il dibattito globale sul riconoscimento biometrico, la nuova legge sull’intelligenza artificiale potrebbe rappresentare un analogo tentativo di anticipare il futuro della governance dei modelli di frontiera: non limitarsi a chiedere alle aziende di dichiarare come gestiscono i rischi, ma creare meccanismi capaci di verificarlo concretamente.

Dall’autoregolamentazione all’accountability verificabile

I grandi laboratori di IA controllano sostanzialmente sé stessi e gli altri sviluppatori di modelli avanzati pubblicano periodicamente documenti nei quali descrivono le misure adottate per mitigare i rischi associati ai propri sistemi. Rendono noti alcuni risultati dei test, definiscono soglie di rischio, illustrano le procedure di rilascio e gli strumenti di sicurezza implementati. Tuttavia, salvo rare eccezioni, nessun soggetto indipendente è chiamato a verificare se tali procedure vengano effettivamente rispettate.

La filosofia della nuova legge dell’Illinois nasce proprio da questa criticità. Il legislatore ha infatti ritenuto che il vero tema da affrontare sia l’assenza di un controllo esterno sulla concreta attuazione di impegni formali da parte delle imprese.

La rilevanza di questo approdo è notevole, in quanto ammette che la regolazione deve concentrarsi, più che sul contenuto delle misure di sicurezza, sulla loro verificabilità. Una logica che ricorda molto da vicino il principio europeo dell’accountability: all’obbligo di adottare determinate misure, si affianca l’essere in grado di dimostrare, attraverso verifiche indipendenti, che tali misure esistono e funzionano.

Una soluzione americana a un problema europeo

Negli ultimi anni il dibattito transatlantico sull’intelligenza artificiale è stato spesso rappresentato come uno scontro tra due modelli opposti, che ha visto l’Europa orientata alla regolazione preventiva, e gli Stati Uniti più focalizzati sull’innovazione.

Il disegno di legge SB 315 richiama alcuni degli strumenti tipici della cultura regolatoria europea.

Non si tratta di una licenza preventiva né di un’autorizzazione amministrativa (scongiurate dall’executive order di Trump), bensì dell’idea di sottoporre gli sviluppatori più potenti a controlli indipendenti: ciò richiama meccanismi già noti nel GDPR, nella compliance finanziaria, nella sicurezza delle infrastrutture critiche e nei sistemi di certificazione.

L’assunto sotteso alla legge è che, se le aziende sostengono di adottare rigorosi standard di sicurezza, tali standard debbano poter essere verificati da soggetti terzi. Questo approccio rende la legge dell’Illinois potenzialmente più innovativa di molte altre iniziative legislative statali.

La risposta di Trump: sorveglianza volontaria anziché audit obbligatori

Come già sottolineato, la Casa Bianca ha scelto un approccio fondato sulla cooperazione volontaria tra industria e governo federale. L’ordine esecutivo istituisce un meccanismo attraverso il quale le aziende possono condividere anticipatamente con le autorità federali i propri modelli più avanzati fino a trenta giorni prima del rilascio pubblico, consentendo analisi focalizzate soprattutto sui rischi cyber e sulla sicurezza nazionale.

Nella versione inizialmente discussa alla Casa Bianca si ipotizzavano forme più incisive di controllo e tempi di revisione più lunghi, ma, dopo settimane di tensioni politiche e pressioni provenienti dall’industria tecnologica, il testo definitivo è stato significativamente alleggerito e si è trasformato in un quadro di cooperazione non obbligatoria.

L’obiettivo dichiarato è evitare che regole troppo severe rallentino la competitività americana nella corsa globale all’intelligenza artificiale, in particolare nei confronti della Cina.

Il sorprendente sostegno delle Big AI: Perché OpenAI e Anthropic sostengono la legge dell’Illinois

Un elemento che merita particolare attenzione è il sostegno ricevuto dalla legge dell’Illinois da parte di OpenAI e Anthropic.

Per lungo tempo le grandi piattaforme tecnologiche hanno contrastato iniziative regolatorie percepite come troppo invasive. Nel caso dell’Illinois, invece, i due principali laboratori americani di frontiera hanno espresso pubblicamente il proprio appoggio, sostenendo che la normativa trasformerebbe in standard minimi obbligatori pratiche che le aziende più avanzate già seguono volontariamente. Le grandi imprese dispongono in effetti delle risorse necessarie per sostenere audit complessi, procedure di documentazione e sistemi di reporting avanzati. Per molti operatori dominanti, l’introduzione di requisiti di sicurezza standardizzati può persino rafforzare le barriere all’ingresso e consolidare la propria posizione competitiva.

Standard minimi o nuove barriere all’ingresso

Tuttavia, resta da capire se il sostegno espresso da OpenAI e Anthropic a SB 315 rappresenti l’anticipazione di un nuovo consenso industriale sulla supervisione indipendente oppure una posizione legata a uno specifico contesto politico e normativo.

L’Executive Order del 2 giugno sembra infatti muoversi in una direzione diversa, privilegiando meccanismi volontari di collaborazione tra governo e imprese rispetto all’introduzione di obblighi regolatori vincolanti.

Emerge quindi una possibile ambiguità: da un lato, i principali sviluppatori di modelli di frontiera continuano a dichiararsi favorevoli a standard elevati di sicurezza, trasparenza e accountability; dall’altro, l’approccio federale offre loro un quadro più flessibile rispetto a quello delineato dall’Illinois. La vera questione è quindi se il sostegno agli audit indipendenti sia destinato a consolidarsi come principio generale della governance dell’intelligenza artificiale oppure se rimarrà confinato a iniziative statali circoscritte.

La risposta potrebbe emergere quando il dibattito si sposterà dal livello locale a quello nazionale: sostenere verifiche indipendenti in un singolo Stato è una cosa, accettare un sistema federale di audit obbligatori per tutti i modelli di frontiera sarebbe una scelta ben diversa.

Occorrerà ora capire quale sarà la reale disponibilità dell’industria ad accettare forme strutturate di controllo esterno.

Chi deve definire gli standard di sicurezza dell’AI

Oltre alle obiezioni di chi si oppone ad una maggiore regolazione dell’intelligenza artificiale, anche una parte del settore tecnologico contesta il presupposto stesso su cui si fonda l’SB 315: l’idea che esistano già criteri sufficientemente maturi per consentire a soggetti terzi di valutare la sicurezza dei modelli di frontiera.

La Chamber of Progress, organizzazione che rappresenta gli interessi di numerose grandi aziende tecnologiche, tra cui Google, Apple e Amazon, ha sostenuto infatti che la normativa rischierebbe di affidare a revisori esterni l’accesso a sistemi estremamente sensibili in assenza di metodologie condivise e standard tecnici consolidati. Il problema non sarebbe tanto la verifica indipendente in sé, quanto la mancanza di un consenso su cosa debba essere effettivamente verificato, con quali strumenti e secondo quali parametri.

Il nodo delle metodologie condivise

La critica tocca, in verità, un nodo reale del dibattito internazionale sulla sicurezza dell’intelligenza artificiale. A differenza di settori come la finanza, la cybersicurezza o la protezione dei dati personali, nei quali esistono da anni standard, certificazioni e procedure di audit ampiamente riconosciuti, nel campo dei modelli di frontiera manca ancora un quadro metodologico condiviso. Non esiste oggi un equivalente delle certificazioni ISO o dei controlli contabili applicabile in modo uniforme alla valutazione dei rischi associati all’IA avanzata. Chi si oppone alla legge teme quindi che gli audit possano trasformarsi in esercizi formali privi di reale efficacia o, al contrario, imporre alle aziende obblighi incerti e potenzialmente incompatibili con la tutela della proprietà intellettuale e dei segreti industriali.

Le critiche si inseriscono inoltre in un confronto più ampio sul futuro della regolazione americana.

Se, per l’amministrazione Trump, la presenza di requisiti diversi da Stato a Stato potrebbe aumentare i costi di compliance, rallentare l’innovazione e ridurre la capacità degli Stati Uniti di competere con attori come la Cina, la legge dell’Illinois diventai il simbolo di uno scontro che va ben oltre gli audit indipendenti. Mette infatti in evidenza il contrasto tra chi ritiene che la rapidità dell’innovazione renda necessarie sperimentazioni regolatorie immediate, anche a livello locale; e chi teme che una regolazione frammentata possa trasformarsi in uno svantaggio strategico nella competizione tecnologica globale.

Due modelli opposti di governance dell’intelligenza artificiale

Dietro le due iniziative di Illinois e Washington emergono poi, in definitiva, due diverse concezioni del rischio.

La legge dell’Illinois parte dall’assunto che i modelli di frontiera siano ormai sufficientemente potenti da richiedere controlli indipendenti e meccanismi di accountability formalizzati. La conseguenza diretta di questa prospettiva è che il rischio principale sia un deficit di supervisione.

L’Executive Order federale parte dalla convinzione opposta: il pericolo maggiore sarebbe introdurre vincoli che possano rallentare l’innovazione americana. In questa visione, il rischio prioritario è l’eccesso di regolazione.

I due modelli producono pertanto due forme di controllo profondamente differenti. L’Illinois punta sulla verifica indipendente delle promesse formulate dalle aziende; Washington punta invece sull’accesso anticipato e volontario del governo ai modelli più avanzati per finalità prevalentemente legate alla cybersecurity e alla sicurezza nazionale.

Il conflitto tra Stati e governo federale sulla regolazione AI

La vicenda assume un significato ancora più ampio se letta alla luce delle precedenti iniziative dell’amministrazione Trump volte a limitare la proliferazione di normative statali sull’intelligenza artificiale.

Già nel dicembre 2025 l’amministrazione Trump aveva delineato una strategia volta a costruire un quadro nazionale uniforme per la regolazione dell’intelligenza artificiale, sostenendo che la proliferazione di normative statali differenti rischiasse di creare un “patchwork” regolatorio capace di aumentare i costi di compliance e rallentare la competitività americana nella corsa globale all’IA. L’Executive Order “Ensuring a National Policy Framework for Artificial Intelligence” indicava infatti come obiettivo esplicito la costruzione di un Uniform Federal policy framework for AI e l’adozione di misure dirette a contrastare le leggi statali considerate incompatibili con tale approccio.

L’approvazione del disegno di legge SB 315 dimostra però che gli Stati non intendono attendere il Congresso né rinunciare al proprio ruolo regolatorio. Per questo motivo quanto sta accadendo in Illinois potrebbe diventare molto più di una semplice legge statale e rappresentare il primo banco di prova di un conflitto destinato a caratterizzare la prossima fase della governance dell’intelligenza artificiale americana su chi debba controllare i modelli di frontiera e secondo quali regole.

La risposta fornita dall’Illinois è chiara: chi sviluppa sistemi così potenti deve accettare controlli indipendenti. La risposta della Casa Bianca è più prudente: prima di imporre nuovi obblighi occorre evitare che la regolazione diventi un ostacolo alla leadership tecnologica degli Stati Uniti.

Il modo in cui gli Stati Uniti affronteranno questa tensione, oltre ad influenzare direttamente il futuro della regolazione americana, potrebbe contribuire a definire gli standard di accountability dei modelli di frontiera a livello globale.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

O
Tania Orrù
Data Protection, Compliance & Digital Governance Advisor

Avvocato e consulente in compliance, protezione dei dati e governance digitale, con oltre dieci anni di esperienza come DPO in contesti multinazionali. Si occupa di modelli di gestione e valorizzazione dei dati in ambito d’impresa, integrando compliance normativa, governance organizzativa e strategia aziendale. Attualmente è Global HSE Coordinator in un gruppo internazionale del lusso. Relatrice in convegni e iniziative formative su privacy, governance digitale e rischi emergenti dell’ecosistema tecnologico, è membro del Gruppo di Lavoro Marketing & E-commerce di Federprivacy e del collettivo Privacy She-Leaders per la promozione della leadership femminile nel settore delle nuove tecnologie e protezione dei dati. Scrive di privacy, diritti fondamentali, violenza digitale di genere e trasformazione tecnologica.

Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • Agenti AI tecnologie emergenti - genai in azienda soluzioni di intelligenza artificiale; AI codice penale AI generativa in azienda

  • la guida

    Agenti AI in azienda: come adottarli in modo conforme e sicuro

    02 Feb 2026

    di Giacomo Borgognone e Anna Cataleta

    Condividi
  • Global,Digital,Payment,Network,Connecting,Users,,Banks,,And,Financial,Services

  • BCE e mythos

    L'AI è una scossa per le banche UE: quali soluzioni?

    03 Giu 2026

    di Maurizio Carmignani

    Condividi
  • intelligenza artificiale pc sistemi di raccomandazione AI generativa nei Global Business Services intelligenza artificiale e lavoro

  • la lettura

    Rischi sociali e etici dell'AI generativa: i pericoli nascosti

    18 Giu 2025

    di Valter Mellano

    Condividi
0
Lascia un commento, la tua opinione conta.x