Il 1° gennaio 2026, il Dubai International Financial Centre ha iniziato ad applicare la Regulation 10 della sua Data Protection Law, la prima norma vincolante del Golfo che considera un sistema di IA in sé, e non solo i dati personali che tratta, come oggetto della regolamentazione. Qualsiasi entità registrata presso il DIFC che gestisca una "High Risk Processing Activity" tramite un sistema autonomo o semi-autonomo deve ora disporre di una valutazione d'impatto sulla protezione dei dati documentata, nominare un Autonomous Systems Officer e produrre, su richiesta, prove algoritmiche dei trigger di intervento umano. Sedici giorni prima, il 16 gennaio 2026, l'autorità saudita per i dati aveva confermato qualcosa di quasi altrettanto rilevante: 48 decisioni sanzionatorie emesse contro organizzazioni per violazioni della Personal Data Protection Law del Regno, con multe fino a SAR 5 milioni per violazione, raddoppiate in caso di recidiva.

Nessuno di questi sviluppi deriva da un unico Middle East AI Act, perché una legge del genere non esiste in nessuna parte della regione. Esistono invece quattro giurisdizioni che si muovono a velocità diverse su basi giuridiche diverse: gli Emirati Arabi Uniti che sovrappongono regole specifiche sull'IA nelle free zone a una legge federale sulla privacy ancora priva dei regolamenti attuativi dopo oltre quattro anni, l'Arabia Saudita che applica con rigore una legge sui dati mantenendo al contempo un quadro sull'IA perlopiù volontario, il Qatar che fa transitare la conformità in materia di IA attraverso una legge sui dati del 2016 e linee guida non vincolanti della NCSA, e Israele che ha riformato l'intera legge sulla privacy in un'unica soluzione e ora la applica attivamente.

Il 16 aprile 2026, la SDAIA saudita ha lanciato la MENA AI Harmonisation Initiative insieme a Emirati Arabi Uniti, Qatar e Oman, un tentativo di allineare la segnalazione delle violazioni, i principi di impiego etico e le regole sui flussi di dati transfrontalieri senza fondere le leggi nazionali in un unico testo. Per un team di compliance, questo significa quattro autorità di regolamentazione, quattro approcci di enforcement e un progetto di convergenza emergente ma ancora incompleto da monitorare contemporaneamente.

Quali autorità guidano realmente la governance di IA e dati in Medio Oriente?

Quattro organismi con quattro mandati distinti. Negli Emirati Arabi Uniti, l'UAE Data Office federale amministra il Federal Decree-Law No. 45 of 2021 sul mainland, mentre il DIFC Commissioner of Data Protection applica la Regulation 10 specificamente per l'IA all'interno della free zone del DIFC, e l'Abu Dhabi Global Market gestisce un regime parallelo secondo le proprie Data Protection Regulations. In Arabia Saudita, la Saudi Data and Artificial Intelligence Authority applica sia la vincolante Personal Data Protection Law tramite i suoi Committees for Reviewing Violations, sia pubblica il non vincolante AI Adoption Framework e le Generative AI Guidelines, che sono sempre più una condizione per l'aggiudicazione di contratti pubblici. In Qatar, il Compliance and Data Protection Department della National Cyber Security Agency applica la Personal Data Privacy Protection Law e ha emesso le linee guida sulla sicurezza dell'IA del 2024, mentre la Qatar Central Bank impone obblighi vincolanti sull'IA agli istituti finanziari autorizzati. In Israele, la Privacy Protection Authority applica la Privacy Protection Law appena riformata e considera le proprie direttive come diritto vincolante di fatto. Capire quale di queste quattro autorità governi effettivamente una specifica implementazione di IA è esattamente il tipo di domanda giurisdizione per giurisdizione a cui il monitoraggio regolatorio di Obsidian è progettato per rispondere con citazioni datate e verificate, anziché con un'impressione generica di "regolamentazione IA del Golfo".

Gli Emirati Arabi Uniti hanno davvero una legge vincolante sull'IA?

Non una legge autonoma, ma due strumenti vincolanti già raggiungono indirettamente l'IA. La PDPL federale, il Federal Decree-Law No. 45 of 2021, è entrata in vigore il 2 gennaio 2022 e si applica in modo extraterritoriale a qualsiasi trattamento dei dati personali dei residenti degli Emirati, compresi i dati utilizzati dai sistemi di IA per l'addestramento, la profilazione e le decisioni automatizzate. I suoi regolamenti attuativi erano attesi entro sei mesi dalla pubblicazione della legge, circa marzo 2022, e a metà 2026 non erano ancora stati emanati, lasciando i dettagli sanzionatori, citati dai commentatori legali in un intervallo tra AED 50.000 e AED 5 milioni per violazione, privi di un quadro normativo definitivo.

All'interno della free zone del DIFC, questa lacuna non esiste. La Regulation 10 della DIFC Data Protection Law, in vigore dal 2023 e attivamente applicata dal 1° gennaio 2026, richiede a qualsiasi Controller o Processor che implementi un sistema autonomo o semi-autonomo di completare una valutazione d'impatto sulla protezione dei dati prima della sua adozione, di mantenere un registro delle attività di trattamento legate all'IA e, per la High Risk Processing, di nominare un Autonomous Systems Officer e conservare le prove degli algoritmi che attivano l'intervento umano. Un'azienda che gestisce lo stesso strumento di credit-scoring basato sull'IA tramite un'entità DIFC e un'entità mainland degli Emirati si trova ad affrontare, nella prima, l'obbligo documentato di DPIA e di nomina di un responsabile previsto dalla Regulation 10, e, nella seconda, gli obblighi generali della PDPL federale ancora in attesa dei regolamenti attuativi.

L'applicazione della PDPL saudita è reale o resta perlopiù teorica?

Reale, e in accelerazione. La PDPL, promulgata con il Royal Decree No. M/19 of 2021 e modificata a marzo 2023, è entrata pienamente in vigore il 14 settembre 2023, con un periodo di grazia di un anno scaduto il 14 settembre 2024. La SDAIA ha confermato il 16 gennaio 2026 che i suoi Committees for Reviewing Violations avevano emesso 48 decisioni sanzionatorie nel corso dell'anno precedente, indicando come violazioni ricorrenti la raccolta o il trattamento illeciti senza una base giuridica valida, la divulgazione non autorizzata, misure tecniche di sicurezza inadeguate e l'invio di comunicazioni di marketing senza consenso. Le sanzioni amministrative raggiungono SAR 5 milioni per violazione, raddoppiando a SAR 10 milioni in caso di recidiva, e la divulgazione intenzionale di dati personali sensibili comporta sanzioni penali separate fino a due anni di reclusione e una multa di SAR 3 milioni. Le organizzazioni informate di una violazione hanno talvolta appena cinque giorni per rispondere.

La governance dell'IA in sé resta soft law. L'AI Adoption Framework della SDAIA e le Generative AI Guidelines del 2024 non sono legalmente vincolanti per la maggior parte degli usi nel settore privato, ma l'accreditamento SDAIA rispetto al framework è sempre più una condizione preliminare per aggiudicarsi contratti pubblici, e l'Arabia Saudita ha designato il 2026 come il suo "Year of Artificial Intelligence", un segnale che il livello volontario è quello con maggiori probabilità di irrigidirsi prossimamente.

Confronto tra i regimi di governance IA e dati in Medio Oriente, metà 2026

GiurisdizioneLegge vincolante sui datiNorma vincolante specifica per l'IAApproccio di enforcement 2026
EAU (federale)PDPL, Decree-Law 45/2021, in vigore dal 2022, regolamenti attuativi ancora in sospesoNessuna a livello federaleLinee guida e azioni caso per caso del Data Office
EAU (DIFC)DIFC Data Protection LawRegulation 10, applicata dal 1° gennaio 2026Attivo, verificati i requisiti di DPIA e nomina del responsabile
Arabia SauditaPDPL, pienamente applicabile da settembre 2024Nessuna vincolante; AI Adoption Framework volontarioAttivo, 48 decisioni confermate a gennaio 2026
QatarPDPPL, Law No. 13 of 2016Nessuna vincolante a livello centrale; le regole della QCB vincolano solo le bancheBasato su linee guida al di fuori dei servizi finanziari
IsraelePrivacy Protection Law, Amendment 13 da agosto 2025Nessuna dedicata; coperta dagli obblighi generali sulla privacyAttivo da gennaio 2026, enforcement sul DPO operativo

Cosa richiede realmente il Qatar a un sistema di IA che tratta dati personali?

Prima la conformità alla legge sui dati del 2016, poi le linee guida specifiche sull'IA. La Personal Data Privacy Protection Law, la legge originaria del Qatar del 2016 e la prima legge completa sulla protezione dei dati nel GCC, resta il livello minimo vincolante, applicata dalla divisione National Cyber Governance and Assurance Affairs all'interno della National Cyber Security Agency. Le Guidelines for Secure Adoption and Usage of Artificial Intelligence della NCSA, pubblicate a febbraio 2024, sono volontarie ma affrontano specificamente la minimizzazione dei dati, la limitazione della finalità, i controlli sui bias e la tracciabilità per i sistemi di IA, e l'agenzia ha avvertito che ignorarle può comunque generare un'esposizione ai sensi della vincolante PDPPL. L'unico ambito in cui la conformità sull'IA è già obbligatoria anziché consultiva è quello dei servizi finanziari, dove la linea guida sull'IA della Qatar Central Bank impone obblighi vincolanti di trasparenza, consenso e gestione dei dati agli istituti autorizzati, mentre la Qatar Financial Markets Authority ha diffuso a maggio 2025 una bozza di regolamento sull'IA che estenderebbe ulteriormente la copertura vincolante. Le entità registrate presso il Qatar Financial Centre rispondono a un terzo regime ancora diverso, le QFC Data Protection Regulations del 2021, che si aggiungono a qualunque disciplina della PDPPL o della NCSA sia applicabile.

Perché l'enforcement sulla privacy in Israele è diventato improvvisamente aggressivo nel 2026?

Perché una legge vecchia di quattro decenni è stata riscritta in un'unica soluzione, e i suoi periodi di grazia sono ormai scaduti. L'Amendment 13 alla Privacy Protection Law del 1981 è entrato in vigore il 14 agosto 2025, introducendo la nomina obbligatoria di un Data Protection Officer per le organizzazioni interessate, una definizione ampliata di dati sensibili che comprende le informazioni trattate dall'IA, e sanzioni amministrative pecuniarie che la Privacy Protection Authority può imporre senza un previo procedimento giudiziario. La PPA ha concesso un periodo di grazia temporaneo specificamente sull'obbligo del DPO, scaduto il 31 ottobre 2025, e a suo dire è passata da un approccio orientativo a un'applicazione proattiva, che include audit, indagini e segnalazioni penali, a partire da gennaio 2026. Le sanzioni possono raggiungere milioni di shekel con moltiplicatori per il trattamento su larga scala o di dati sensibili, e i singoli possono richiedere risarcimenti forfettari fino a ILS 100.000 senza dover dimostrare un danno effettivo, una soglia più bassa rispetto alla maggior parte degli altri regimi sulla privacy della regione.

Cosa dovrebbe fare ora un team che si occupa di governance IA e dati in Medio Oriente?

Separare le entità che affrontano un percorso di enforcement rigoroso da quelle che operano ancora su base di linee guida. Un'entità DIFC che gestisce IA su dati personali si trova già all'interno di un regime attivamente applicato con un obbligo documentato di DPIA; un'entità saudita al di fuori del settore finanziario affronta oggi un'applicazione rigorosa della PDPL ma, per ora, solo linee guida volontarie sull'IA; un'entità del Qatar al di fuori del settore bancario dispone ancora di un margine reale sulle regole specifiche per l'IA anche se la sua legge sui dati sottostante è pienamente vincolante; e qualsiasi operazione israeliana deve risolvere subito, non in una futura roadmap, la questione del proprio DPO.

Nulla di tutto ciò richiede di attendere che la MENA AI Harmonisation Initiative completi l'allineamento di quattro ordinamenti giuridici che non erano mai destinati a fondersi in uno solo. Obsidian monitora l'UAE Data Office, il DIFC Commissioner, la SDAIA, la NCSA, la QFMA e la PPA israeliana come fonti tier-0 separate a livello di giurisdizione e di framework, così che una scadenza di certificazione ai sensi della Regulation 10 o una nuova decisione sanzionatoria della SDAIA raggiunga il giusto responsabile della compliance nella settimana stessa della pubblicazione. Il compagno IA risponde a domande cross-giurisdizionali come "la nostra entità DIFC ha bisogno di un Autonomous Systems Officer per questo specifico strumento" con una citazione verificata anziché con un'impressione generica, e i team che utilizzano già propri assistenti IA possono collegare gli stessi dati verificati tramite l'MCP di Obsidian. Scopri come funziona la copertura completa di IA, dati e governance digitale nella pagina dei piani pensata esattamente per questo tipo di esposizione multi-regolatore.