La Transparency in Frontier Artificial Intelligence Act rappresenta il nuovo perno della strategia californiana in tema di intelligenza artificiale. La legge interviene sui modelli di frontiera più potenti, fissando regole di trasparenza, sicurezza e responsabilità che ridisegnano i rapporti tra sviluppatori, istituzioni pubbliche e interessi collettivi.
Indice degli argomenti
La riforma californiana e il contesto normativo di riferimento
Lo Stato della California ha recentemente attuato una riforma organica in materia di intelligenza artificiale mediante la promulgazione di una serie di leggi, tra le quali spicca la SB 53 – Transparency in Frontier Artificial Intelligence Act – TFAIA, approvata lo scorso 29 settembre 2025, recante norme volte a garantire la sicurezza e la trasparenza dei modelli di intelligenza artificiale, tenuto conto della cornice generale delineata dall’Ordine Esecutivo n. 12/2023 e delle raccomandazioni elaborate dal gruppo di lavoro congiunto sui modelli di frontiera dell’IA (“Joint California Policy Working Group“) nel rapporto finale “California Report on Frontier AI Policy“.
Si tratta di una legge tecnologicamente all’avanguardia, per molti aspetti inedita nel complessivo panorama regolatorio di riferimento, dedicata specificamente ai modelli IA di frontiera (cd. “frontier models“), dotati di capacità di calcolo molto elevate e addestrati con grandi quantità di risorse computazionali che, per tale ragione, determinano un impatto di vasta portata potenzialmente in grado di generare “rischi catastrofici“.
Dal punto di vista giuridico-sistematico, anche rispetto ai profili di comparazione e confronto che emergono in relazione alla disciplina introdotta dall’AI Act, l’ambito applicativo della normativa californiana è circoscritto ai soli “modelli IA di frontiera“, ritenuti più avanzati con elevate soglie computazionali che presentano le caratteristiche tecniche indicate, senza, pertanto, includere nella sua portata operativa tutti gli altri sistemi algoritmici meno pervasivi. Il perimetro di operatività della legge europea sull’intelligenza artificiale, invece, ricomprende, in senso più ampio, tutti i modelli di intelligenza artificiale, classificati in modelli ordinari per finalità generali (art. 53) e modelli con rischio sistemico (art. 55), mediante un differenziato regime di graduale mitigazione con la previsione di obblighi crescenti e progressivamente stringenti, indistintamente a carico della platea generale di fornitori e deployers (art. 50).
La nuova regolamentazione californiana, destinata a entrare in vigore a partire dal 1° gennaio 2026, integra in via complementare il quadro normativo vigente, alla luce di quanto già previsto dalla legge SB-942 – California AI Transparency Act, recante standard uniformi di divulgazione per i fornitori di sistema di intelligenza artificiale generativa al fine di identificare la provenienza dei relativi output che interagiscono con gli utenti.
Obiettivi strategici e nuove istituzioni per l’IA
La legge SB 53 – Transparency in Frontier Artificial Intelligence Act introduce una serie di prescrizioni nei confronti dei cd. “sviluppatori di frontiera” che addestrano modelli di intelligenza artificiale con una determinata potenza di calcolo, istituendo, a tal fine, il Dipartimento per la Tecnologia in seno alla Government Operations Agency, preposto a curare un “inventario completo di tutti i sistemi decisionali automatizzati ad alto rischio” utilizzati nel settore pubblico, e il consorzio “CalCompute” incaricato di “sviluppare un quadro normativo per la creazione di un cluster di cloud computing pubblico che promuova lo sviluppo e l’implementazione di un’intelligenza artificiale sicura, etica, equa e sostenibile”, come si evince dalla premessa riassuntiva del citato testo legislativo.
Leadership californiana nell’innovazione dell’intelligenza artificiale
Entrando nel merito delle novità introdotte dalla legge TFAIA, la Sezione 1 enuncia espressamente l’obiettivo perseguito dallo Stato della California di assumere la leadership mondiale nel settore dell’innovazione e della ricerca in materia di intelligenza artificiale grazie al rafforzamento di un ecosistema pubblico-privato, alimentato dalla sinergica cooperazione tra tessuto imprenditoriale e settore universitario, al fine di sfruttare le potenzialità offerte dalle nuove tecnologie emergenti per il benessere economico e sociale del Paese.
In tale prospettiva, emerge l’esigenza di positivizzare un catalogo di principi vincolanti in materia, “a sostegno di una governance efficace dell’intelligenza artificiale” basata su condizioni effettive di trasparenza e accesso alle informazioni in grado di incrementare il livello di consapevolezza generale rispetto alle modalità di funzionamento dei modelli IA addestrati dagli sviluppatori di frontiera, soprattutto quando i sistemi avanzati di intelligenza artificiale possono determinare “rischi catastrofici“, “usi dannosi”, malfunzionamenti e “incidenti critici” per la sicurezza.
Definizioni tecniche e categorie di modelli IA regolamentati
Nell’ambito della Sezione 2 prende forma l’inquadramento definitorio delle fattispecie regolate dalla nuova disciplina. Al riguardo, giova precisare che le qualificazioni delineate dal legislatore risultano elastiche nella configurazione terminologica delle categorie contemplate, peraltro, suscettibili di periodico aggiornamento contenutistico da parte del Dipartimento per la Tecnologia con l’intento di adeguare costantemente la normativa vigente alle continue novità dell’evoluzione tecnologica: la revisione di tali concetti è, infatti, prevista entro e non oltre il 1° gennaio 2027 e successivamente ogni anno, tenuto conto degli sviluppi tecnologici, della letteratura scientifica e degli standard nazionali e internazionali esistenti.
Dopo aver declinato la generale accezione – comunemente riconosciuta – di “modello di intelligenza artificiale” – inteso come “sistema progettato o basato su macchine che varia nel suo livello di autonomia e che può, per obiettivi espliciti o impliciti, dedurre dall’input che riceve come generare output che possono influenzare ambienti fisici o virtuali” (cfr. Sez. 2, lett. b, TFAIA) -, il legislatore ricostruisce, in via interpretativa, la specificità del “modello IA di frontiera” ricorrendo a una duplice categorizzazione di tale nozione. In particolare, viene il rilievo il “modello di fondazione” (“foundation model“) quando, in presenza di tutti i requisiti normativamente indicati, il sistema di IA viene addestrato su un ampio set di dati e progettato per la generalità dell’output, risultando adattabile a un’ampia gamma di compiti distintivi (cfr. Sez. 2, lett. f – TFAIA).
Soglie computazionali e identificazione dei modelli di frontiera
Inoltre, ad ulteriore puntualizzazione descrittiva della nozione, il legislatore precisa che il cd. “modello di frontiera” identifica un “modello di base che è stato addestrato utilizzando una quantità di potenza di calcolo maggiore di 10^26 operazioni intere o in virgola mobile” (cfr. Sez. 2, lett. i – TFAIA).
Obblighi di trasparenza per i grandi sviluppatori di frontiera
Il cd. “Transparency in Frontier Artificial Intelligence Act” pone stringenti prescrizioni di trasparenza, responsabilità e monitoraggio a carico del cd. “grande sviluppatore di frontiera” che, nell’attività di addestramento dei modelli di intelligenza artificiale, raggiunge ricavi lordi annuali superiori a cinquecento milioni di dollari ($ 500.000.000) nell’anno solare precedente.
In primo luogo, il “grande sviluppatore di frontiera” è tenuto a “pubblicare in modo chiaro e visibile sul proprio sito web un framework di intelligenza artificiale” (da aggiornare almeno una volta l’anno), anche nell’ottica di consentire di verificare il rispetto degli standard (nazionali e internazionali) e delle best practice di settore applicabili, con l’ulteriore possibilità di valutare l’imposto intervento di mitigazione, suscettibile di periodica revisione, da attivare in presenza di “rischi catastrofici“.
Sicurezza informatica e rapporti periodici obbligatori
Inoltre, è stabilita la necessità di perfezionare efficaci pratiche di sicurezza informatica in grado di garantire la pronta attuazione di concreti processi azionabili in risposta agli incidenti critici per la sicurezza.
Come ulteriore requisito di trasparenza, la legge TFAIA pone a carico dello “sviluppatore di frontiera” in via di anticipazione preventiva (ossia, prima o contemporaneamente all’implementazione di un nuovo modello di frontiera o di una versione sostanzialmente modificata di un modello di frontiera esistente), l’obbligo di pubblicare in modo chiaro e visibile sul proprio sito web un rapporto sulla trasparenza contenente informazioni precise e aggiornate riguardanti le modalità di output supportate dal sistema e i relativi usi previsti.
Il rapporto sulla trasparenza deve, altresì, riassumere le attività di valutazione effettuate, anche con il coinvolgimento di terze parti, in relazione ai rischi catastrofici e i risultati ottenuti che, in ogni caso, un “grande sviluppatore di frontiera” è tenuto a trasmettere all’Ufficio dei servizi di emergenza periodicamente (in linea generale, almeno ogni 3 mesi).
Gestione degli incidenti critici e regime sanzionatorio
Se viene scoperto un incidente critico per la sicurezza da cui possa derivare un rischio imminente di morte o di gravi lesioni fisiche, lo sviluppatore di frontiera ha l’obbligo di effettuare tale comunicazione entro 24 ore alle competenti autorità.
Il mancato rispetto delle prescrizioni stabilite dal legislatore costituisce una violazione della normativa che comporta l’irrogazione di una sanzione commisurata alla gravità della condotta posta in essere, con una soglia edittale massima, comunque, non superiore a un milione di dollari ($ 1.000.000).
Il consorzio CalCompute per il cloud computing pubblico
La legge TFAIA prevede l’istituzione, all’interno della Government Operations Agency, di un nuovo consorzio, denominato “CalCompute“, preposto a edificare un quadro regolatorio finalizzato a realizzare un cluster di cloud computing pubblico al fine di favorire “lo sviluppo e l’implementazione di un’intelligenza artificiale sicura, etica, equa e sostenibile”.
Tra i principali compiti espletati dal “CalCompute” vi è quello di promuovere la ricerca e l’innovazione a vantaggio del pubblico, nonché ampliare l’accesso alle risorse computazionali.
Governance multistakeholder e partecipazione allargata
In un’ottica di partecipazione “multistakeholder“, la composizione del nuovo organismo è aperta alla presenza di rappresentanti del settore universitario e della ricerca, nonché delle organizzazioni sindacali e di gruppi portatori di interessi, anche provenienti dalla società civile, dotati di specifiche competenze ed esperienze, inclusi esperti di etica e difensori dei diritti dei consumatori, oltre agli specialisti del settore tecnologico e di intelligenza artificiale.
Protezione dei whistleblower e definizione di rischio catastrofico
Nell’ambito della Sezione 4 viene configurato il regime di tutela del whistleblower quando vengono segnalati rischi catastrofici nei modelli di base dell’intelligenza artificiale.
Più nel dettaglio, il legislatore ricostruisce il significato di “rischio catastrofico” per indicare un “rischio prevedibile e materiale che lo sviluppo, l’immagazzinamento, l’uso o l’implementazione di un modello di fondazione da parte di uno sviluppatore di frontiera contribuisca materialmente alla morte o al ferimento grave di più di 50 persone o a più di un miliardo di dollari ($ 1.000.000.000) di danni o perdite di proprietà derivanti da un singolo incidente”.
Diritti e tutele per chi denuncia problemi di sicurezza
La legge TFAIA pone a carico degli sviluppatori di frontiere obblighi positivi (“di fare”) e negativi (“di non fare”) al fine di garantire un sistema di protezione per i dipendenti che denunciano problemi di sicurezza (“whistleblowers“).
In particolare, gli sviluppatori di frontiera sono tenuti a fornire a tutti i dipendenti un avviso chiaro sull’esercizio dei propri diritti, comprese le modalità di come effettuare una denuncia anonima di illeciti utilizzando a tale scopo un’apposita piattaforma interna, precludendosi, al contempo, la possibilità di “creare, adottare, applicare o stipulare una norma, un regolamento, una politica o un contratto che impedisca a un dipendente di divulgare, o che si vendichi nei confronti di un dipendente per aver divulgato, informazioni” alle autorità competenti, al fine di segnalare “un pericolo specifico e sostanziale per la salute o la sicurezza pubblica derivante da un rischio catastrofico“.
Le opinioni espresse nel presente articolo hanno carattere personale e non sono, direttamente o indirettamente collegate, in alcun modo, alle attività e funzioni lavorative svolte dall’Autore, senza, quindi, impegnare, in alcun modo, l’Amministrazione di appartenenza del medesimo.
