Il 22 gennaio 2026 è entrata in vigore l'AI Basic Act della Corea del Sud, che ha reso il paese il primo al mondo a dotarsi di una legge orizzontale completa sull'IA fuori dall'Unione Europea. Tre settimane prima, l'emendamento alla legge cinese sulla cybersicurezza aveva già innalzato il tetto delle sanzioni legate all'IA a 50 milioni di yuan o al 5% del fatturato dell'anno precedente. Nel solo febbraio 2026, i regolatori cinesi hanno sanzionato 13.421 account e rimosso oltre 543.000 contenuti per il mancato rispetto dell'obbligo di etichettatura dei contenuti generati dall'IA previsto dallo standard nazionale obbligatorio GB 45438-2025.
In nessun'altra area la regolamentazione dell'IA e dei dati si muove a questo ritmo, né in così tante direzioni contemporaneamente. La Cina applica la normativa tramite campagne di controllo condotte in base alle leggi esistenti su cybersicurezza e dati, piuttosto che con sanzioni specifiche per l'IA. Il Giappone ha scelto una legge di promozione priva di sanzioni dirette. La Corea del Sud ha legiferato prima di tutti ma ha rinviato di un anno l'applicazione effettiva. L'India ha notificato le sue attese regole sulla protezione dei dati, ma ha posticipato gli obblighi sostanziali a maggio 2027. Singapore, Australia e Hong Kong sono ancora ferme a quadri volontari, documenti di consultazione e progetti di modifica bloccati.
Per un team di compliance che copre la regione, la domanda pratica non è mai "questo paese ha una legge sull'IA". È quale strumento sia effettivamente applicabile oggi, contro quale condotta, e a quale data la situazione cambia.
Quali paesi dell'Asia-Pacifico applicano attivamente oggi regole specifiche sull'IA?
La Cina è l'unico paese che gestisce un meccanismo di applicazione basato su sanzioni e chiusure costruito specificamente per contenuti e modelli di IA, mentre la Corea del Sud ha una legge specifica sull'IA in vigore ma sospesa. Le misure provvisorie cinesi per l'amministrazione dei servizi di IA generativa, in vigore dal 15 agosto 2023, richiedono a ogni servizio di IA generativa accessibile al pubblico di completare una valutazione di sicurezza e una registrazione dell'algoritmo presso la Cyberspace Administration of China prima del lancio. Al 17 marzo 2026, 796 servizi erano stati registrati a livello nazionale e altri 481 a livello locale. I fornitori che saltano la registrazione vengono disattivati; il modello delle campagne "Qinglang", l'ultima delle quali è un'azione speciale di quattro mesi lanciata nell'aprile 2026 contro i grandi modelli non registrati e i contenuti sintetici non etichettati, si basa sulla CSL, sulla legge sulla protezione delle informazioni personali e sulla legge sulla sicurezza dei dati, piuttosto che sulle misure sull'IA generativa in sé, il cui tetto sanzionatorio massimo è di 100.000 yuan.
L'AI Basic Act della Corea del Sud, in vigore dal 22 gennaio 2026, prevede sanzioni amministrative fino a 30 milioni di won per la mancata notifica agli utenti di un'interazione con l'IA, la mancata nomina di un rappresentante locale, o l'inosservanza di un ordine correttivo. Il Ministero della Scienza e delle TIC applica un periodo di grazia formale di un anno sulle indagini di accertamento dei fatti e sulle sanzioni, riservato nel frattempo ai casi che comportano un grave danno sociale o violazioni dei diritti umani, con il ripristino dell'applicazione ordinaria previsto intorno al 22 gennaio 2027.
Cosa richiede davvero alle aziende l'AI Promotion Act giapponese?
Quasi nulla di direttamente vincolante, e questo è proprio l'obiettivo. La legge sulla promozione della ricerca, dello sviluppo e dell'utilizzo delle tecnologie legate all'IA è stata approvata il 28 maggio 2025 ed è entrata pienamente in vigore il 1° settembre 2025, istituendo un Quartier Generale Strategico per l'IA presieduto dal Primo Ministro e imponendo un Piano Fondamentale per l'IA, adottato il 23 dicembre 2025. La legge non prevede sanzioni né divieti diretti; gli unici strumenti a disposizione del governo sono le richieste di collaborazione, le linee guida e la divulgazione pubblica delle condotte non conformi.
Gli obblighi vincolanti per l'impiego dell'IA in Giappone derivano ancora dal diritto settoriale esistente, principalmente dalla legge sulla protezione delle informazioni personali (APPI), insieme alle linee guida non vincolanti sulla governance dell'IA per le imprese di METI e MIC (versione 1.1, marzo 2025). Il Cabinet Office ha completato nel gennaio 2026 una consultazione pubblica su principi e un codice relativi all'IA generativa, che dovrebbe tradursi in ulteriori linee guida non vincolanti su proprietà intellettuale e trasparenza dei dati. Nel 2026, un'azienda che opera con l'IA in Giappone viene valutata sulla conformità all'APPI e sull'allineamento volontario alle linee guida, non sulla legge sull'IA in quanto tale.
Cosa cambia per la conformità sui dati personali in India tra oggi e il 2027?
Le Digital Personal Data Protection Rules, 2025, notificate il 13 novembre 2025 in applicazione del DPDP Act 2023, entrano in vigore in tre fasi distinte piuttosto che tutte insieme. Le regole 1, 2 e dalla 17 alla 21, che riguardano l'istituzione del Data Protection Board e l'architettura normativa, hanno avuto effetto immediato il 13 novembre 2025. La regola 4, relativa al quadro di registrazione dei Consent Manager, e la corrispondente Sezione 6(9), entrano in vigore il 13 novembre 2026. Gli obblighi sostanziali che la maggior parte dei team di compliance attende davvero, ossia i requisiti di informativa e consenso, la notifica delle violazioni, la protezione dei dati dei minori, gli obblighi dei Significant Data Fiduciary e l'architettura delle sanzioni e dei ricorsi previsti dalle Sezioni da 3 a 17 e da 28 a 34, non entrano in vigore prima del 13 maggio 2027.
Questo margine di diciotto mesi è deliberato, ma rappresenta anche una trappola per i team che considerano il DPDP Act come "non ancora reale". Il Board è già operativo e l'attività normativa è già in corso; i sistemi progettati per resistere a un controllo dopo maggio 2027 devono essere costruiti nel corso del 2026, non assemblati nell'ultimo trimestre prima della scadenza.
Come regola l'IA Singapore senza una legge vincolante sull'IA?
Interamente attraverso quadri volontari pubblicati dall'Infocomm Media Development Authority, di recente estesi anche agli agenti IA autonomi. Il Model AI Governance Framework for Agentic AI, lanciato il 22 gennaio 2026, è il primo quadro di governance al mondo dedicato specificamente ai sistemi agentici, costruito su quattro dimensioni: limitare il rischio a monte tramite la selezione dei casi d'uso e l'accesso con privilegio minimo, attribuire una chiara responsabilità umana, integrare controlli tecnici lungo tutto il ciclo di vita dell'agente, e responsabilizzare l'utente finale. Nulla di tutto ciò è giuridicamente vincolante, ma l'IMDA ha dichiarato che l'allineamento al quadro aiuta a gestire l'esposizione legale, poiché le organizzazioni che impiegano IA agentica restano comunque responsabili delle sue azioni ai sensi del diritto vigente, indipendentemente dal carattere volontario del quadro.
Singapore sovrappone questo quadro al Model AI Governance Framework for Generative AI del 2024 e al toolkit di test AI Verify, sviluppato congiuntamente con la Personal Data Protection Commission. Nel febbraio 2026, il Primo Ministro Lawrence Wong ha annunciato un nuovo National AI Council e una serie di missioni nazionali sull'IA destinate a manifattura, connettività, finanza e sanità, segnale che la scommessa regolatoria di Singapore nel breve termine resta il diritto soft unito a missioni settoriali, piuttosto che una legge orizzontale sull'IA.
Cosa è effettivamente applicabile oggi in Australia e Hong Kong?
In Australia una scadenza concreta è già fissata: dal 10 dicembre 2026, il Privacy and Other Legislation Amendment Act 2024 impone alle entità soggette agli APP di indicare, nella propria informativa sulla privacy, i tipi di informazioni personali utilizzate da qualsiasi programma informatico che prenda, o supporti in modo sostanziale e diretto, una decisione in grado di incidere significativamente sui diritti o gli interessi di una persona. L'obbligo riguarda sia i sistemi basati sull'IA sia gli strumenti basati su regole, si applica anche quando un essere umano resta formalmente coinvolto nel processo, e copre le decisioni prese a partire da tale data, indipendentemente dal momento in cui il sistema sottostante è stato implementato. L'Office of the Australian Information Commissioner ha aperto una consultazione pubblica sulle linee guida applicative il 18 maggio 2026, chiusa il 15 giugno 2026, con le linee guida definitive attese per settembre 2026, lasciando le entità a iniziare il lavoro di conformità senza disporne.
Hong Kong non ha una scadenza equivalente. Le modifiche proposte al Personal Data (Privacy) Ordinance, tra cui la notifica obbligatoria delle violazioni, sanzioni amministrative legate al fatturato e la regolazione diretta dei responsabili del trattamento dei dati, sono state discusse al Legislative Council nel 2025 ma, a metà 2026, restano proposte e non legge approvata, apparentemente bloccate da preoccupazioni sull'onere per le imprese. In loro assenza, il Privacy Commissioner for Personal Data disciplina l'IA tramite il Model Personal Data Protection Framework del 2024, non vincolante, e una checklist di marzo 2025 per l'uso dell'IA generativa da parte dei dipendenti, mentre la distinta Protection of Critical Infrastructures (Computer Systems) Ordinance è entrata pienamente in vigore il 1° gennaio 2026, aggiungendo obblighi di cybersicurezza per gli operatori di infrastrutture critiche designate.
| Giurisdizione | Strumento vincolante specifico sull'IA | Stato di applicazione a metà 2026 | Prossima data chiave |
|---|---|---|---|
| Cina | Misure sull'IA generativa (2023) + etichettatura GB 45438-2025 | Attiva, tramite campagne, via CSL/PIPL/DSL | Campagne trimestrali Qinglang in corso |
| Corea del Sud | AI Basic Act | In vigore, sanzioni sotto periodo di grazia | Fine del periodo di grazia intorno al 22 gennaio 2027 |
| Giappone | AI Promotion Act | In vigore, nessuna sanzione diretta | Fase II del Piano Fondamentale per l'IA in sviluppo |
| India | DPDP Act + DPDP Rules 2025 | Board operativo; obblighi sostanziali non ancora in vigore | Obblighi sostanziali in vigore dal 13 maggio 2027 |
| Singapore | Nessuno (quadri MGF volontari) | Non vincolante, ancorato al diritto settoriale esistente | Diffusione del National AI Council nel corso del 2026 |
| Australia | Privacy Act 1988 (emendamento ADM) | Non ancora in vigore | Obbligo di trasparenza ADM in vigore dal 10 dicembre 2026 |
| Hong Kong | PDPO (non modificata) | Modifiche bloccate dal 2025 | Nessun calendario confermato |
Seguire sette traiettorie regolatorie in parallelo, in mandarino, coreano, giapponese e inglese, e riverificare ciascuna ogni volta che un ministero pubblica una nuova circolare o un'assemblea legislativa fa uscire un progetto di legge dalla commissione, non è un compito che un singolo responsabile compliance possa sostenere manualmente su tutto il perimetro Asia-Pacifico. Il monitoraggio per giurisdizione di Obsidian segue ogni fonte ufficiale, dal registro delle registrazioni della CAC alle notifiche della Gazzetta ufficiale indiana, al momento della pubblicazione, e segnala la misura specifica che riguarda un quadro normativo già presente nella watchlist di un'azienda.
Per i team che hanno bisogno della stessa risposta verificata all'interno di un flusso di lavoro piuttosto che in una dashboard, l'MCP consente a un assistente IA già impegnato in altre attività di compliance di confermare se il periodo di grazia del MSIT sia effettivamente terminato, o se l'OAIC abbia già pubblicato le sue linee guida sulla decisione automatizzata, senza che una persona debba prima riverificare la fonte primaria. In questo scambio, l'IA di Obsidian agisce come un compagno regolatorio, non come un sostituto del responsabile compliance che convalida la risposta: si limita a fornire il fatto verificato prima della scadenza, non dopo.
Cosa dovrebbe fare ora un team di governance IA e dati in Asia-Pacifico
Ordinate il lavoro in base alla scadenza applicabile, non ai titoli di giornale. Un team esposto alla Cina deve avere subito aggiornati la registrazione dell'IA generativa e l'etichettatura GB 45438, dato che le campagne di applicazione si svolgono ogni trimestre. Un team in Corea deve avere pronta una base di conformità all'AI Basic Act prima che il periodo di grazia si concluda intorno a gennaio 2027. Un team in India deve progettare la propria architettura di consenso e notifica delle violazioni durante il 2026, in modo da resistere al controllo del Board una volta che gli obblighi sostanziali del DPDP entreranno in vigore nel maggio 2027. Un team in Australia deve avere pronti il testo dell'informativa sulla privacy e l'inventario delle decisioni prima del 10 dicembre 2026, non dopo.
I piani di Obsidian sono pensati esattamente per seguire questo tipo di calendario di governance IA e dati, asincrono e multi-giurisdizionale, fonte ufficiale per fonte ufficiale, affinché la prossima circolare della CAC, linea guida del MSIT o decisione dell'OAIC raggiunga il team di compliance prima di finire in un titolo di giornale.