È ormai chiaro che l’intelligenza artificiale non può più essere compresa né governata come una semplice tecnologia abilitante. Essa si sta configurando sempre di più come un’infrastruttura socio‑tecnica che permea l’intera organizzazione delle società contemporanee, incidendo sui processi decisionali, sulla distribuzione del potere, sulla competitività economica e, soprattutto, sulle condizioni della conoscenza.
In questa prospettiva si colloca il convegno “Intelligenza artificiale, Data governance, Equità digitale tra Etica, Diritti e Innovazione”, svoltosi il 26 marzo 2026 presso l’Università degli Studi di Roma UnitelmaSapienza, che ha rappresentato un momento di sintesi avanzata del dibattito europeo e nazionale sul governo giuridico dell’innovazione digitale ed algoritmica.
L’evento rappresenta il momento conclusivo del progetto di ricerca di Ateneo “Per un regime giuridico dei big data come beni comuni globali”, coordinato scientificamente da Gabriella Mazzei, con il patrocinio della Presidenza del Consiglio dei Ministri, dell’Agenzia per la Cybersicurezza Nazionale, dell’Agenzia per l’Italia Digitale e del Garante per la protezione dei dati personali.
Il convegno ha offerto una lettura sistemica del nuovo mosaico regolatorio europeo – AI Act, GDPR, Data Governance Act, Data Act – ponendo al centro il rapporto tra sviluppo tecnologico, diritti fondamentali e responsabilità pubblica.
Dagli interventi accademici e istituzionali è emersa con chiarezza l’inadeguatezza di una visione riduzionista dell’intelligenza artificiale, intesa come insieme di strumenti neutri.
Al contrario, l’IA si fonda su una filiera complessa che comprende dati, modelli, infrastrutture computazionali, catene di fornitura tecnologica ed energia. Questa filiera produce effetti sistemici e cumulativi che rendono centrale il tema della responsabilità pubblica nel governo dell’innovazione.
Inoltre, a differenza di altri sistemi ingegneristici che hanno una correlazione spiegabile tra input/output, i risultati prodotti dai sistemi AI, seppur plausibili o corretti, risultano di fatto caratterizzati da opacità (non‑spiegabilità) e quindi difficilmente controllabili in presenza di input variabili e contesti mutanti; in chiave giuridica, la stessa opacità si traduce in problemi di responsabilità, prova e verificabilità della conformità. In tale cornice, il diritto non si limita ad intervenire ex post per correggere distorsioni, ma assume una funzione costitutiva, orientando fin dall’origine le scelte progettuali e organizzative. Il Regolamento europeo sull’intelligenza artificiale (AI Act) rappresenta l’espressione più avanzata di questa impostazione.
L’AI Act europeo: il diritto come infrastruttura dell’innovazione
È emersa con forza l’idea dell’AI Act come legge‑quadro costituzionale della tecnica, in un certo senso in continuità con l’esperienza del GDPR. Come osservato negli interventi istituzionali, l’Europa ha scelto consapevolmente di regolare la tecnica per orientarne lo sviluppo, anziché subirla come fatto puramente economico o geopolitico. Questo approccio si fonda su un modello di bilanciamento tra innovazione e diritti, che distingue l’Unione Europea tanto dal liberismo statunitense quanto dal dirigismo cinese.
L’AI Act (Reg. UE 2024/1689) introduce una regolazione basata sul rischio, imponendo requisiti stringenti di qualità dei dati, trasparenza, supervisione umana e accountability per i sistemi di IA ad alto rischio, rafforzando la dimensione ex ante della tutela giuridica.
L’AI Act traduce quindi requisiti tipicamente ingegneristici — come la qualità dei dati, il logging, la documentazione tecnica, la supervisione umana, la robustezza e la sicurezza informatica — in obblighi giuridici vincolanti, soprattutto per i sistemi classificati ad alto rischio.
Questa convergenza tra architettura tecnica e responsabilità giuridica è particolarmente evidente nel tema della data governance. I dati non sono più un semplice fattore produttivo accessorio, ma costituiscono l’infrastruttura fondante della competitività e della legittimità dei sistemi di intelligenza artificiale.
Aver generato e reso disponibile grandi quantità di dati e implementato strumenti per la loro gestione non è più sufficiente per la trasformazione digitale: la qualità del dato diventa requisito fondamentale per lo sviluppo di sistemi affidabili e non discriminatori.
La qualità assume rilevanza etica, soprattutto in scenari ad alto rischio. In termini ingegneristici, qualità significa almeno: completezza, accuratezza, rappresentatività, aggiornamento, coerenza tra sorgenti e tracciabilità. In termini giuridici, questi stessi attributi diventano criteri di diligenza e di accountability, oltre che elementi essenziali per mitigare bias e discriminazioni. La qualità del dato emerge comerequisito etico e giuridico essenziale.
Il legislatore europeo, attraverso il Data Governance Act e il Data Act, ha sempre cercato di perseguire da un lato l’obiettivo di avere una società digitale equa e dall’altra di costruire un mercato comune dei dati e di spazi di condivisione per ricerca e servizi. A tal fine, spinto dalla necessità di regolare il transito di grosse quantità di dati, il quadro normativo europeo tenta di conciliare la tutela dei dati personali con la necessità di abilitare tali flussi informativi massivi di interesse pubblico, superando il paradigma esclusivo del consenso individuale in favore di meccanismi istituzionali di garanzia. In alcuni settori di interesse pubblico (es. sanità), il bilanciamento è particolarmente delicato.
Accanto a questi profili emerge con forza il tema della sicurezza. L’adozione massiva di sistemi generativi e di strumenti di analisi amplia la superficie di attacco e facilita ricostruzioni del “core” competitivo dell’organizzazione (know‑how, processi, identità), imponendo investimenti in disciplina del dato, segregazione, controlli di accesso e gestione contrattuale della proprietà dei dati. La cybersecurity by design, richiamata tanto dall’AI Act quanto dal quadro NIS2, diventa un requisito strutturale della governance dell’IA.
A completare lo scenario normativo si inserisce il cosiddetto Digital Omnibus, ossia il pacchetto europeo di semplificazione e coordinamento del diritto digitale attualmente in discussione, volto a razionalizzare il mosaico normativo esistente con una riscrittura trasversale, senza tuttavia alterarne l’impianto valoriale, almeno nelle intenzioni iniziali.
Sul piano nazionale invece, la discussione si intreccia con la Legge quadro 132/2025, che rappresenta il primo tentativo italiano nell’Unione Europea di costruire una cornice sistemica per l’attuazione dell’AI Act e per il governo pubblico dell’intelligenza artificiale.
Tab. 1 Corrispondenza tra requisiti tecnico‑ingegneristici e presìdi giuridici europei
| Requisito tecnico (ingegneria) | Descrizione operativa tecnica | Obbligo / presidio giuridico |
| Logging e tracciabilità | Registrazione sistematica di input, output, versioni del modello, dataset utilizzati e parametri decisionali lungo l’intero ciclo di vita del sistema IA. | AI Act (Reg. UE 2024/1689): obblighi di logging e documentazione tecnica per sistemi ad alto rischio; presupposto per audit, responsabilità e prova in caso di incidente. |
| Qualità del dato | Controllo su completezza, accuratezza, rappresentatività, aggiornamento e provenance dei dataset (training, validation, testing). | AI Act + Data Governance Act / Data Act: requisiti di data quality per mitigazione dei bias e affidabilità; rilievo etico‑giuridico della qualità del dato. |
| Human‑in‑the‑loop / human oversight | Supervisione umana effettiva nei punti decisionali critici, con possibilità di intervento, override e contestazione. | AI Act: obbligo di supervisione umana per i sistemi ad alto rischio; tutela dei diritti fondamentali e garanzia di non‑automatismo decisionale. |
| Cybersecurity by design | Protezione contro attacchi, leakage informativi, prompt injection, model inversion, data exfiltration; gestione della superficie di attacco. | NIS2, AI Act, Digital Omnibus: obblighi di sicurezza e resilienza; coordinamento e semplificazione del reporting degli incidenti (single‑entry point). |
| Explainability contestuale | Capacità di spiegare output, limiti e condizioni di affidabilità del sistema in relazione allo specifico contesto d’uso (non explainability astratta). | AI Act: obblighi di trasparenza e informazione agli utenti; presidio giuridico contro opacità decisionale ed effetto “autorità apparente”. |
| Change management del modello | Gestione controllata di aggiornamenti, ri‑addestramenti, fine‑tuning e drift del modello. | AI Act: continuità della conformità lungo il ciclo di vita; rilevanza per responsabilità e mantenimento della classificazione di rischio. |
| Data & model governance | Chiarezza su proprietà dei dati, licenze, diritti di utilizzo e rapporti con fornitori terzi (foundation models, cloud, API). | Data Act, GDPR, AI Act: tutela della proprietà dei dati, accountability del titolare e responsabilizzazione dei poteri privati. |
Epistemia: il rischio cognitivo dell’intelligenza artificiale generativa
In questo quadro tecnico-giuridico si inserisce in modo particolarmente rilevante il concetto di Epistemia, elaborato e sviluppato dal gruppo coordinato dal prof. Walter Quattrociocchi, direttore del Center of Data Science and Complexity for Society della Sapienza.
Per Epistemia si intende una condizione strutturale in cui la plausibilità linguistica viene scambiata per conoscenza, generando l’illusione del sapere senza il lavoro epistemico della verifica, del giudizio e della responsabilità cognitiva.
La nozione di Epistemia rappresenta uno dei contributi teorici più rilevanti per comprendere l’impatto dei sistemi di intelligenza artificiale generativa sulle condizioni epistemiche delle società digitali.
Nei lavori più recenti, l’Epistemia non viene descritta come un semplice difetto dei modelli o come un problema di hallucinations, bensì come una proprietà emergente dei sistemi generativi quando vengono utilizzati come surrogati cognitivi.
Dal punto di vista ingegneristico, l’Epistemia nasce dal fatto che i Large Language Models sono sistemi di ottimizzazione statistica della plausibilità linguistica, non sistemi di conoscenza ancorati a modelli causali del mondo. Essi producono output coerenti, ben formati e convincenti, ma privi di grounding epistemico.
Dal punto di vista giuridico, questa caratteristica si traduce in un rischio sistemico: decisioni, valutazioni, atti amministrativi o aziendali possono apparire razionali e motivate pur poggiando su basi epistemicamente infondate, rendendo fragile la catena di responsabilità, imputazione e prova.
L’Epistemia assume una rilevanza ancora maggiore se collocata nello spazio pubblico e istituzionale. Come emerso anche nel convegno, in un contesto globale in cui la qualità democratica è in regressione, la diffusione di strumenti che producono autorità discorsiva senza conoscenza rischia di erodere la razionalità collettiva.
L’Epistemia non è dunque un errore contingente o una disfunzione correggibile con miglioramenti tecnici, ma un rischio che incide sulla qualità della conoscenza, sulla responsabilità giuridica fino a potenzialmente influenzare la tenuta stessa delle istituzioni democratiche.
Nel paper Epistemological Fault Lines Between Human and Artificial Intelligence, Quattrociocchi, Capraro e Perc individuano vere e proprie linee di frattura tra il pipeline epistemico umano e quello dei modelli generativi:
- assenza di grounding
- mancanza di esperienza e motivazione
- impossibilità di ragionamento causale autentico
- assenza di metacognizione e di sensibilità ai valori
Questi concetti hanno implicazioni dirette per il diritto dell’intelligenza artificiale. Se il rischio principale non è solo l’errore tecnico, ma l’illusione cognitiva, allora la regolazione non può limitarsi alla sicurezza funzionale dei sistemi, ma deve affrontare il tema della affidabilità epistemica.
In questa prospettiva, le disposizioni dell’AI Act sulla trasparenza, sulla tracciabilità dei dati e sulla supervisione umana assumono un significato più profondo: esse mirano a contrastare l’Epistemia istituzionalizzando meccanismi di responsabilità del sapere, imponendo che la tecnica resti al servizio dell’uomo e non ne sostituisca il giudizio, preservando dunque l’epistemologia umana all’interno dei processi decisionali mediati dalla tecnica.In altri termini, il diritto europeo non tenta di correggere la natura statistica dell’IA, ma di impedirne la sostituzione indebita del giudizio umano. In questa prospettiva, l’AI Act, il più ampio quadro europeo della data governance e le ricerche delle comunità scientifica, possono essere letti come un tentativo di implementare dispositivi anti‑Epistemia.
Conclusioni: governare la trasformazione digitale per restare umani
L’Europa fonda la propria identità non sul potere tecnologico, ma sul diritto come infrastruttura della convivenza digitale. In un mondo in cui solo una minoranza della popolazione vive in contesti pienamente democratici, la regolazione dell’AI diventa una questione di tenuta dello spazio pubblico e della razionalità collettiva.Il concetto di Epistemia ci ricorda che la sfida non è soltanto tecnica o giuridica, ma epistemologica: senza una governance del sapere, l’innovazione rischia di essere socialmente regressiva. Governare l’IA significa governare le condizioni della conoscenza in società sempre più mediate da sistemi algoritmici, con l’obiettivo fondamentale di mantenere l’uomo al centro della trasformazione digitale.
REFERENZE
- Università degli Studi di Roma UnitelmaSapienza, news: “Intelligenza artificiale, Data governance, Equità digitale tra Etica, Diritti e Innovazione”, con informazioni su data, luogo, coordinamento scientifico e patrocinî istituzionali (consultato tramite web).
- Regolamento (UE) 2024/1689 (Artificial Intelligence Act). Testo e versioni ufficiali disponibili anche tramite portali UE (EUR-Lex) e raccolte divulgative; utile per riferimenti agli obblighi lungo la catena del valore e alla classificazione per rischio.
- European Commission, pagine istituzionali su Artificial Intelligence e implementazione dell’AI Act, incl. governance/enforcement (AI Office, AI Board, autorità nazionali).
- W. Quattrociocchi, V. Capraro, M. Perc, “Epistemological Fault Lines Between Human and Artificial Intelligence”, arXiv:2512.19466 (submitted 22 Dec 2025), DOI: 10.48550/arXiv.2512.19466.
- Edoardo Loru, Jacopo Nudo, Niccolò Di Marco, Alessandro Santirocchi, Roberto Atzeni, Matteo Cinelli, Vincenzo Cestari, Clelia Rossi-Arnaud, Walter Quattrociocchi, The simulation of judgment in LLMs, arXiv:2502.04426 submitted 6th Feb 2025.