South Korea AI Basic Act — La Prima Legge AI Asiatica Sistemica

Cos'è: L'Act on the Development of Artificial Intelligence and Establishment of Trust — comunemente chiamato AI Basic Act — è la legge quadro coreana sull'intelligenza artificiale approvata dall'Assemblea Nazionale il 26 dicembre 2024 ed entrata in vigore il 22 gennaio 2026. È la prima legge AI sistemica di un paese asiatico OECD e la terza al mondo dopo l'EU AI Act europeo e i regolamenti settoriali cinesi. Definisce categorie di rischio, obblighi di trasparenza per generative AI, regime sandbox per l'innovazione, e sanzioni amministrative fino a 30 milioni di won.

Il percorso legislativo: cinque anni di iterazioni

Il dibattito coreano sulla regolamentazione AI è iniziato concretamente nel 2020, quando il Ministry of Science and ICT pubblicò la prima "National AI Strategy" indicando l'obiettivo di rendere la Corea uno dei tre principali hub AI mondiali entro il 2030. Già allora era chiaro che una strategia industriale ambiziosa richiedeva un framework normativo coerente — non per frenare lo sviluppo, ma per dare prevedibilità giuridica alle imprese coreane impegnate su mercati internazionali.

Tra il 2021 e il 2023 sono stati presentati in Parlamento sette diversi disegni di legge sulla regolamentazione AI, con orientamenti distanti tra loro. La svolta è arrivata nel 2024 con un compromesso tra il People Power Party (allora al governo) e il Democratic Party of Korea (opposizione), che hanno consolidato i progetti precedenti in un unico testo unificato. L'approvazione del 26 dicembre 2024 è avvenuta con maggioranza bipartisan ampia — un dato politicamente rilevante che ha trasmesso ai laboratori AI un segnale di stabilità del framework normativo nel medio periodo.

La data di entrata in vigore — 22 gennaio 2026 — è stata scelta per dare alle imprese circa tredici mesi di periodo transitorio per adeguarsi. Il Ministry of Science and ICT pubblicherà nel frattempo i decreti attuativi che specificano le soglie tecniche e le procedure operative — il dettaglio è demandato a regolamenti secondari, non bloccato nel testo della legge primaria, esattamente come avvenuto con l'EU AI Act.

High-impact AI: la categoria centrale

Il cuore tecnico dell'AI Basic Act è la definizione di "high-impact AI" — sistemi che, per il dominio applicativo o per la scala di deployment, possono incidere significativamente sui diritti fondamentali, sulla sicurezza o sul welfare dei cittadini. La categoria comprende AI utilizzati in sanità, energia, infrastrutture critiche, giustizia penale, assunzioni lavorative, sistemi educativi e servizi pubblici essenziali.

Per i sistemi qualificati come high-impact, il provider deve adempiere a obblighi specifici: condurre risk assessment prima del deployment, mantenere documentazione tecnica accessibile su richiesta dell'autorità competente, implementare meccanismi di monitoraggio post-deployment, e fornire spiegazioni comprensibili agli utenti finali sui criteri di decisione del sistema. Il principio è quello del "human oversight" — ogni decisione automatizzata che incida significativamente sull'utente deve essere reversibile attraverso revisione umana su richiesta.

Una categoria parallela e parzialmente sovrapposta riguarda i sistemi di "generative AI". Per i modelli che producono testo, immagini, audio o video sintetici, l'Act impone obblighi di etichettatura: i contenuti generati artificialmente devono essere marcati come tali in modo visibile o tecnicamente rilevabile (watermarking, metadati). L'obiettivo dichiarato è contrastare la disinformazione e le manipolazioni elettorali — un tema particolarmente sentito in Corea dopo le ondate di deepfake che hanno colpito personaggi pubblici e candidate politiche tra il 2023 e il 2024.

Il regime sandbox: bilanciare safety e competitività industriale

L'aspetto più innovativo dell'AI Basic Act rispetto al modello europeo è il regime sandbox per l'innovazione. La legge prevede esplicitamente che il Ministry of Science and ICT possa autorizzare deroghe temporanee a obblighi specifici per progetti AI ritenuti strategici o sperimentali, a condizione che siano implementate misure compensative di safety.

Il meccanismo funziona così: un'impresa che sviluppi un sistema AI innovativo può richiedere ammissione al sandbox regolatorio. Se ammessa, opera per un periodo definito (tipicamente 24 mesi prorogabili) con un set di obblighi semplificato, sotto monitoraggio diretto dell'autorità. I dati raccolti durante il sandbox informano poi sia il rilascio commerciale del sistema sia, potenzialmente, l'aggiornamento dei regolamenti attuativi. Il modello è ispirato dall'esperienza positiva del fintech sandbox coreano del 2018, che ha permesso lo sviluppo di servizi di pagamento mobile e crypto custody in modo controllato.

Questo elemento differenzia profondamente l'approccio coreano da quello europeo. L'EU AI Act prevede sandbox regolatori ma con meccanismi pesanti di approvazione e con scope limitato. La versione coreana è più snella e operativa, riflettendo un calcolo di policy esplicito: la Corea non può permettersi di perdere il treno dell'AI per ragioni regolatorie, in un contesto in cui i suoi principali competitor industriali — Stati Uniti, Cina, Giappone — operano con framework meno vincolanti.

Sanzioni e architettura di enforcement

Le sanzioni previste dall'AI Basic Act sono amministrative, non penali, e si articolano in tre livelli. Il livello base — violazioni di obblighi documentali, di trasparenza o di etichettatura per generative AI — può comportare multe fino a 30 milioni di won (circa 20.000 euro). Il livello intermedio — violazioni reiterate o mancata cooperazione con le autorità — può raddoppiare l'importo. Il livello grave — violazioni che hanno causato danni significativi a utenti o terze parti — può comportare la sospensione temporanea dell'attività del sistema AI in territorio coreano.

L'architettura di enforcement è centralizzata nel Ministry of Science and ICT, che coordina con altre autorità settoriali (Financial Services Commission per applicazioni finanziarie, Korea Communications Commission per media, Ministry of Health per applicazioni sanitarie). Questa configurazione è più snella di quella europea, dove la divisione tra AI Office centrale, autorità nazionali e autorità di sorveglianza del mercato ha generato preoccupazioni di frammentazione.

L'importo massimo delle sanzioni — 30 milioni di won — appare modesto in valore assoluto, soprattutto se confrontato con i 35 milioni di euro o 7% del fatturato globale dell'EU AI Act. La scelta è deliberata: il legislatore coreano ha preferito un sistema sanzionatorio basato sulla certezza dell'applicazione (multe contenute ma effettivamente irrogate) rispetto a un sistema basato sulla gravità potenziale (multe altissime raramente applicate). È una scommessa empirica sull'efficacia dei due modelli che il triennio 2026-2029 metterà alla prova.

Perché il modello asiatico è diverso da quello europeo

Confrontando l'AI Basic Act coreano con l'EU AI Act emergono differenze concettuali che vanno oltre i dettagli tecnici. Primo: l'approccio europeo è risk-based con categorie chiuse — unacceptable risk, high risk, limited risk, minimal risk — definite ex ante dal legislatore. L'approccio coreano è risk-based ma con categorie aperte, demandate ai regolamenti attuativi del ministero, più adattabili ma anche meno prevedibili nel medio periodo.

Secondo: l'EU AI Act tratta i diritti fondamentali come bene da proteggere prioritariamente, anche a costo di rallentare l'innovazione. L'AI Basic Act tratta innovazione industriale e protezione dei diritti come obiettivi paritari da bilanciare. Il sandbox regolatorio è la manifestazione concreta di questo bilanciamento — uno strumento che il modello europeo prevede in forma molto più ristretta.

Terzo, e forse il più importante: l'approccio coreano è meno extraterritoriale. L'EU AI Act vincola tutti i sistemi AI rilasciati nel mercato europeo, anche se sviluppati altrove. L'AI Basic Act ha scope geografico più contenuto, applicandosi primariamente a sistemi sviluppati o dispiegati in Corea da imprese registrate in Corea. È una scelta consapevole: il legislatore coreano sa che non può imporre standard globali, e preferisce un framework che protegga i propri cittadini senza pretendere di riformare l'intera industria AI mondiale. Per altri paesi asiatici — Giappone, Singapore, Indonesia, Vietnam — che stanno tutti lavorando a leggi AI proprie nel 2025-2026, il modello coreano è probabilmente più replicabile di quello europeo, perché meno costoso da implementare e meno ambizioso geopoliticamente.

---