In un’epoca in cui l’intelligenza artificiale cresce a passi vertiginosi, la California ha deciso di non restare spettatrice: il governatore Gavin Newsom ha firmato la legge SB 53 — la Transparency in Frontier Artificial Intelligence Act — che impone a grandi aziende IA obblighi di trasparenza, segnalazione e responsabilità. È un passo audace, perché stabilisce che non si può più sviluppare modelli “avanzati” senza essere pronti a mostrarne i rischi, a riferire eventuali incidenti e a rendere conto al pubblico.
Per comprendere appieno quanto è innovativa (e complessa) questa legge, bisogna guardare al contesto che l’ha generata: nel 2024 era stata proposta una versione più severa, la SB 1047, con obblighi più stringenti e audit obbligatori. Quella proposta fu respinta, almeno in parte per timore che potesse soffocare l’innovazione. SB 53 è una versione più temperata — ma non per questo meno significativa — che cerca di conciliare la spinta tecnologica con l’esigenza di regole.
Secondo versioni attendibili riportate da Reuters e The Verge, la legge si applica alle grandi aziende di IA con un fatturato annuo superiore a 500 milioni di dollari, tra cui OpenAI, Anthropic, Meta, DeepMind, NVIDIA, Google, e altre.
I principali obblighi previsti sono:
- Valutazione e divulgazione dei rischi catastrofici: le aziende devono dichiarare come intendono mitigare rischi estremi, quali la perdita di controllo, l’uso dei modelli per armi biologiche o attacchi infrastrutturali.
- Segnalazione di incidenti rilevanti: se un modello sviluppa comportamenti ingannevoli, subisce un attacco o devia in modo pericoloso, l’azienda è tenuta a segnalarlo al dipartimento californiano dei servizi d’emergenza entro un termine (es. 15 giorni).
- Tutela dei whistleblower: i dipendenti che segnalano potenziali rischi o violazioni sono protetti da ritorsioni.
- Sanzioni fino a 1 milione di dollari per violazioni delle disposizioni della legge.
- Trasparenza pubblica: le aziende devono rendere pubblici i framework di sicurezza (entro 30 giorni dalla pubblicazione di un nuovo modello), descrivendo i processi adottati per rispettare standard nazionali e internazionali.
- Creazione di una infrastruttura pubblica chiamata “CalCompute”: la legge prevede che si formi un consorzio statale per offrire risorse di calcolo condivise, accessibili anche a startup e ricercatori, riducendo la barriera all’ingresso.
Con queste norme, la California intende costruire il suo ruolo come stato faro nell’IA responsabile, colmando il vuoto lasciato dal Congresso americano e dando un modello che altri stati possano seguire.
Le reazioni non si sono fatte attendere. Tra le grandi aziende IA, Anthropic ha dichiarato il suo sostegno, lodando la legge come un quadro che equilibra sicurezza pubblica e innovazione. Altri attori, tra cui Meta e OpenAI, avevano fatto pressioni contro la legge, sostenendo che regole a livello statale possano frammentare il mercato e complicare la vita delle startup.
Critici nel mondo della finanza tecnologica, come Colin McCune (Andreessen Horowitz), hanno avvertito che se ogni stato adotterà regole diverse, le startup potrebbero diventare vittime di un mosaico normativo ingestibile.
Sul fronte politico, l’approvazione di SB 53 arriva in un momento in cui al Congresso si discute come legiferare sull’intelligenza artificiale a livello federale. Il deputato Ted Lieu ha detto che la regolazione dell’IA è inevitabile, ma che resta da vedere se saranno i 50 stati ad agire separatamente o se sarà il Congresso ad assumersi la responsabilità.
Un tema chiave è il rapporto tra norme statali e leggi federali: molti temono che regole divergenti tra stati possano ostacolare la scalabilità dei modelli IA e imporre costi legali e tecnici elevati. Tuttavia, la mancanza di una normativa federale uniforme ha spinto stati come la California ad assumere un ruolo attivo.
Con l’entrata in vigore di SB 53, le aziende di IA ad alto fatturato dovranno pensare la sicurezza non come una pratica interna, ma come una responsabilità pubblica. I costi di compliance aumenteranno — audit, infrastrutture di segnalazione, documentazione — ma molti coinvolti ritengono che queste spese saranno inevitabili se si vuole legittimare l’IA agli occhi della società.
Un punto critico sarà come misurare i “rischi catastrofici” e come definire “incidenti rilevanti”: non basta l’intenzione, servono criteri chiari e condivisi. E spesso le imprese operano in contesti multinazionali: adeguarsi solo in California può creare disallineamenti internazionali.
C’è anche il rischio che l’equilibrio “innovazione vs sicurezza” resti fragile: se le regole diventano troppo restrittive, le aziende potrebbero spostarsi altrove o ridurre investimenti in California. Se troppo deboli, si perde la credibilità normativa.
Infine, c’è la speranza che SB 53 diventi un modello replicabile: dato che molte aziende IA hanno almeno parte delle loro sedi o operazioni in California, la legge potrebbe fungere da leva per una regolazione più ampia, anche federale.