Il Texas è diventato il primo Stato americano dotato di una legge vincolante e organica sull'IA il 1° gennaio 2026, data di entrata in vigore del Texas Responsible Artificial Intelligence Governance Act (TRAIGA). Lo stesso giorno è diventato applicabile anche il California Transparency in Frontier Artificial Intelligence Act, che obbliga gli sviluppatori di modelli di frontiera a trasmettere ogni tre mesi valutazioni dei rischi catastrofici all'Office of Emergency Services dello Stato. Nessuna azienda che opera a livello nazionale può scegliere un solo regime e ignorare l'altro.

Il governo federale ha trascorso il 2025 e il 2026 cercando di impedire esattamente questo esito, senza riuscirci. Una moratoria federale decennale sulla regolamentazione statale dell'IA è stata stralciata dal One Big Beautiful Bill Act dopo un voto del Senato a 99 contro 1 nel luglio 2025. Di fronte a questo fallimento, il presidente Trump ha firmato l'Executive Order 14365 l'11 dicembre 2025, istituendo un AI Litigation Task Force incaricato di contestare direttamente le leggi statali sull'IA in tribunale e di condizionare i finanziamenti federali per la banda larga alla deregolamentazione degli Stati. A metà 2026 erano state promulgate oltre 145 leggi statali sull'IA in tutto il paese, su oltre 1.200 proposte presentate, e la campagna federale volta a neutralizzarle non aveva ancora prodotto una sola contestazione giudiziaria vincente.

A nord del confine, il calcolo è diverso ma non meno rilevante. Il Canada non ha alcuna legge federale sull'IA: l'Artificial Intelligence and Data Act è morto al foglio degli ordini nel gennaio 2025, quando il Parlamento è stato prorogato, e il governo ha confermato nel 2025 che non sarà ripresentato nella sua forma originale. La conformità in Canada passa invece attraverso il diritto in materia di privacy, in primo luogo la Legge 25 del Quebec, che prevede già sanzioni fino a 25 milioni di dollari canadesi o al 4% del fatturato mondiale per le violazioni relative alla presa di decisioni automatizzate.

Quali regolatori guidano realmente la governance dell'IA e dei dati in Nord America?

Negli Stati Uniti non esiste un unico regolatore dell'IA. L'applicazione delle norme è ripartita tra i procuratori generali statali, che agiscono in base a nuove leggi specifiche sull'IA, la Federal Trade Commission, che si avvale dei propri poteri esistenti in materia di pratiche sleali e ingannevoli, e i regolatori settoriali, che sovrappongono regole sull'IA alla normativa bancaria, sanitaria e del lavoro. Da quando il presidente Trump ha revocato l'Executive Order 14110 dell'era Biden il 23 gennaio 2025 tramite l'Executive Order 14179, non esiste più alcun quadro federale vincolante sull'IA, ma solo l'America's AI Action Plan, pubblicato su base volontaria nel luglio 2025, e una campagna di preemption delle leggi statali che non ha ancora avuto successo.

In Canada il quadro è più semplice sulla carta e più complesso nella pratica: non esiste alcuna legge federale sull'IA, per cui gli obblighi derivano dal Personal Information Protection and Electronic Documents Act a livello federale e dalle leggi provinciali, in primis la Legge 25 del Quebec, per tutto ciò che riguarda i dati personali utilizzati in decisioni automatizzate. I settori regolamentati a livello federale aggiungono un ulteriore strato, tra cui l'Office of the Superintendent of Financial Institutions per banche e assicuratori. Capire quale regime si applichi realmente a un determinato utilizzo dell'IA, statale, federale o provinciale, è esattamente il tipo di domanda cross-giurisdizionale a cui il monitoraggio normativo di Obsidian è pensato per rispondere, con citazioni datate e verificabili invece di un'impressione generica di "regolamentazione dell'IA".

Cosa richiede realmente il TRAIGA texano a partire dal 2026?

Il testo vieta l'uso intenzionalmente improprio, piuttosto che imporre valutazioni del rischio per ogni sistema. Il TRAIGA, in vigore dal 1° gennaio 2026, vieta l'IA sviluppata o utilizzata con l'intento di discriminare illegalmente, violare diritti costituzionali o manipolare il comportamento in un modo che causa un danno. Il procuratore generale del Texas detiene l'autorità esclusiva di applicazione e deve inviare una notifica scritta con un periodo di sanatoria di 60 giorni prima di procedere con le sanzioni. Le violazioni non sanate dopo tale periodo comportano sanzioni civili da 10.000 a 12.000 dollari per le violazioni sanabili, da 80.000 a 200.000 dollari per quelle non sanabili, e da 2.000 a 40.000 dollari al giorno per le violazioni continuative. Il TRAIGA neutralizza inoltre le ordinanze locali sull'IA a livello statale e istituisce una sandbox normativa di 36 mesi, ma non concede ai privati alcun diritto di azione, per cui ogni caso passa esclusivamente dall'ufficio del procuratore generale.

Il Colorado AI Act è effettivamente entrato in vigore, e cosa lo ha sostituito?

No, e la sua sostituzione cambia completamente l'oggetto della conformità. Il Colorado AI Act originale, approvato nel 2024, doveva entrare in vigore il 30 giugno 2026 e avrebbe imposto obblighi in materia di discriminazione algoritmica e programmi obbligatori di gestione del rischio a sviluppatori e utilizzatori di sistemi di IA ad "alto rischio". Il governatore Jared Polis ha invece firmato l'SB 26-189 il 14 maggio 2026, abrogando quella legge prima ancora della sua entrata in vigore e sostituendola con una normativa più circoscritta che regola le tecnologie di presa di decisioni automatizzate usate in "decisioni rilevanti". La nuova legge elimina gli obblighi di gestione del rischio e di valutazione d'impatto a favore di avvisi preventivi ai consumatori, di un diritto a una spiegazione successiva alla decisione e di un controllo umano effettivo. Entra in vigore il 1° gennaio 2027, lo stesso giorno in cui diventano applicabili le regole californiane del CCPA sulle tecnologie di presa di decisioni automatizzate, il che significa che due delle norme più rilevanti del paese in materia di IA entrano in vigore nella stessa data.

Date chiave per la governance dell'IA e dei dati in Nord America, 2026-2027

DataRegimeCosa cambia
1° gennaio 2026TRAIGA (Texas)Entra in vigore la prima legge statale organica sull'IA; inizia l'applicazione da parte del procuratore generale
1° gennaio 2026SB 53 (TFAIA), CaliforniaGli sviluppatori di modelli di frontiera devono pubblicare quadri di sicurezza IA e report di trasparenza; iniziano le segnalazioni trimestrali di rischio catastrofico al Cal OES
11 dicembre 2025Executive Order 14365Lanciato l'AI Litigation Task Force per contestare le leggi statali sull'IA in tribunale
14 maggio 2026SB 26-189 (Colorado)Il Colorado AI Act originale viene abrogato e sostituito con una legge ADMT più circoscritta
1° gennaio 2027SB 26-189 (Colorado) / regole ADMT del CCPA (California)Entrambi i regimi sulla presa di decisioni automatizzate diventano applicabili nella stessa data

Washington è realmente in grado di neutralizzare le leggi statali sull'IA?

Non ancora, nonostante due tentativi. Il primo, una moratoria federale proposta da 5 a 10 anni sulla regolamentazione statale e locale dell'IA, era stata inserita in una prima versione alla Camera del One Big Beautiful Bill Act nel maggio 2025 e rimossa dopo un voto del Senato a 99 contro 1 nel luglio 2025. Il secondo, l'Executive Order 14365, firmato l'11 dicembre 2025, ha scelto la via giudiziaria anziché quella legislativa: incarica il Department of Justice di individuare le leggi statali sull'IA ritenute "eccessive" e di contestarle in tribunale, e incarica le agenzie federali di condizionare i finanziamenti per lo sviluppo della banda larga al mancato rispetto, da parte degli Stati, di leggi ritenute eccessive. Nessuno dei due meccanismi ha finora, a metà 2026, prodotto una sentenza che invalidi il TRAIGA, l'SB 53 o l'SB 26-189 del Colorado, il che significa che i team di conformità devono comunque pianificare tenendo conto di tutte e tre come leggi pienamente in vigore, e non come semplici bersagli di un'eventuale preemption federale. Si può chiedere all'IA di Obsidian di fornire su richiesta lo stato attuale di applicazione di ciascuna di queste leggi, con fonti tratte direttamente dal testo normativo monitorato, invece che da un commento potenzialmente già superato al prossimo deposito giudiziario.

Perché il Canada non ha ancora una legge federale sull'IA, e cosa colma il vuoto?

Perché il suo unico tentativo serio è crollato insieme al governo che lo aveva redatto. L'Artificial Intelligence and Data Act, inserito nel disegno di legge C-27 insieme a un pacchetto federale di modernizzazione della privacy, ha superato la seconda lettura nell'aprile 2023 ma non ha mai raggiunto un voto finale prima della proroga del Parlamento nel gennaio 2025, che ha fatto decadere il disegno di legge. Il ministro dell'Industria Evan Solomon ha confermato nel 2025 che l'AIDA non sarebbe tornata nella sua forma originale, e la strategia "AI for All" del governo per il 2026 ha scelto esplicitamente un modello di governance distribuita anziché una singola legge sull'IA, affidandosi invece al diritto esistente in materia di privacy, diritti umani e normativa settoriale.

In pratica, questo significa che la Legge 25 del Quebec funge da soglia di conformità sull'IA più vincolante disponibile in Canada per qualsiasi organizzazione che tratti dati personali sul suo territorio. La sezione 12.1 richiede, dal settembre 2023, che chiunque prenda una decisione basata esclusivamente su un trattamento automatizzato informi la persona interessata, le spieghi la decisione su richiesta e le consenta di farla riesaminare da una persona. La Commission d'acces a l'information du Quebec applica attivamente questa disposizione, con sanzioni amministrative pecuniarie fino a 10 milioni di dollari canadesi o al 2% del fatturato mondiale, e sanzioni penali fino a 25 milioni di dollari o al 4% del fatturato mondiale, a seconda di quale sia maggiore in ciascuna fascia. Le entità regolamentate a livello federale aggiungono le regole del PIPEDA in materia di consenso e limitazione delle finalità, per cui un unico strumento di selezione del personale automatizzato utilizzato in Quebec, in Ontario e nel settore bancario federale può far scattare tre obblighi di conformità distinti provenienti da tre fonti diverse, nessuna delle quali è definita una "legge sull'IA".

Cosa deve fare concretamente un team di conformità di fronte a questo mosaico normativo?

Mappare ogni sistema di IA in base agli Stati e alle province in cui è effettivamente utilizzato, non in base a uno standard nazionale unico, perché nessuno dei due paesi ne possiede uno. Uno strumento di selezione del personale attivo solo in Texas, California e Colorado deve rispettare i divieti basati sull'intento del TRAIGA, gli obblighi di trasparenza dell'SB 53 se coinvolge un modello di frontiera e, a partire dal 1° gennaio 2027, le regole di divulgazione sulla presa di decisioni automatizzate che si sovrappongono tra Colorado e California: tre regimi con trigger, regolatori e strutture sanzionatorie diversi. Un utilizzo in Canada aggiunge il PIPEDA e, se sono coinvolti residenti del Quebec, i requisiti più severi della Legge 25 in materia di divulgazione e revisione umana.

Obsidian monitora queste fonti tier-0, gli uffici dei procuratori generali statali, il Cal OES, la CAI del Quebec, e gli ordini esecutivi federali che ne stanno ridisegnando il quadro, a livello di giurisdizione e di normativa, con avvisi non appena arriva una data di entrata in vigore o cambia un approccio applicativo. Consulta i piani pensati per i team di governance dell'IA e di protezione dei dati che affrontano proprio questo tipo di esposizione multi-giurisdizionale, oppure collega l'MCP di Obsidian ai tuoi strumenti in modo che la risposta a "quale dei nostri sistemi di IA è esposto al TRAIGA" arrivi con una citazione, non con una supposizione.