Un anno dalla firma del trattato globale sull'IA da parte della Svizzera — cosa è successo da allora?

Il 27 marzo 2025, il consigliere federale Albert Rösti ha firmato a Strasburgo la Convenzione quadro del Consiglio d’Europa sull’intelligenza artificiale, i diritti umani, la democrazia e lo Stato di diritto. La Svizzera — che aveva svolto un ruolo determinante nella stesura del trattato — è diventata il 15° firmatario del primo accordo internazionale giuridicamente vincolante sull’IA.

La firma era accompagnata da impegni chiari. Il Consiglio federale aveva già deciso nel febbraio 2025 di ratificare la convenzione e di predisporre le necessarie modifiche alla legislazione svizzera entro la fine del 2026. I principi erano inequivocabili: trasparenza, non discriminazione e rispetto dei diritti umani nei sistemi di IA sarebbero diventati obblighi applicabili.

A un anno di distanza, vale la pena chiedersi: cosa è realmente successo da allora?

La convenzione: firmata da molti, ratificata da nessuno

A marzo 2026, nessun Paese ha ratificato la convenzione. Resta firmata ma non ratificata da tutte le parti, e l’entrata in vigore richiede cinque ratifiche. Il trattato esiste come dichiarazione d’intenti, non ancora come diritto vincolante.

C’è tuttavia una dinamica. L’11 marzo 2026, il Parlamento europeo ha approvato la conclusione della convenzione da parte dell’UE — un passo significativo verso la ratifica a livello europeo, che conterebbe tra le cinque necessarie. Canada e Giappone hanno firmato al Summit sull’IA di Parigi nel febbraio 2025. La comunità dei firmatari cresce, anche se la ratifica resta lenta.

Il calendario legislativo svizzero: in linea, ma stretto

La Svizzera ha scelto esplicitamente di non adottare una «legge svizzera sull’IA» sul modello dell’approccio europeo. Il Consiglio federale persegue invece una strategia normativa snella e settoriale — regole trasversali solo per i domini giuridici fondamentali come i diritti fondamentali e la protezione dei dati.

Due filoni di lavoro sono in corso:

• Il Dipartimento federale di giustizia e polizia (DFGP), insieme al DATEC e al DFAE, sta preparando un disegno di legge per la procedura di consultazione, atteso entro la fine del 2026.
• Il DATEC sta elaborando separatamente un piano di attuazione per le misure giuridicamente non vincolanti, anch’esso previsto entro la fine del 2026.

Nessun progetto è stato ancora pubblicato. Considerato il processo legislativo svizzero — consultazione, dibattito parlamentare, eventuale referendum — la legge non dovrebbe entrare in vigore prima del 2029 al più presto.

Nel frattempo, si applica il diritto vigente. L’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ritiene che la legge federale sulla protezione dei dati (LPD), in vigore dal settembre 2023, è direttamente applicabile ai sistemi di IA che trattano dati personali. Le organizzazioni non possono attendere una nuova legislazione per adempiere ai propri obblighi di trasparenza e protezione dei dati — questi esistono già.

L’UE non aspetta

Mentre la Svizzera delibera, il regolamento europeo sull’IA sta già entrando in vigore per fasi — e le aziende svizzere che operano nel mercato dell’UE devono conformarsi indipendentemente dai tempi nazionali.

• Febbraio 2025: Le pratiche di IA vietate sono state proibite e gli obblighi di alfabetizzazione sull’IA sono entrati in vigore.
• Agosto 2025: Sono iniziati gli obblighi per i modelli di IA di uso generale; gli Stati membri hanno designato le autorità nazionali competenti; l’Ufficio europeo per l’IA è diventato pienamente operativo.
• Agosto 2026: La maggior parte delle norme entra in vigore, compresi gli obblighi per i sistemi di IA ad alto rischio, i requisiti di trasparenza e l’applicazione integrale.

Per gli istituti finanziari svizzeri, i fornitori di servizi sanitari e qualsiasi organizzazione che serve clienti europei, agosto 2026 è una scadenza più stringente di qualsiasi cosa prevista nel calendario nazionale.

FINMA: orientamenti pubblicati, applicazione in attesa

Nel dicembre 2024 — tre mesi prima della firma del trattato — la FINMA ha pubblicato la comunicazione sulla vigilanza 08/2024 sulla governance e la gestione dei rischi nell’uso dell’IA negli istituti finanziari sottoposti a vigilanza. Richiede che gli istituti mantengano un inventario degli strumenti di IA, classifichino i relativi rischi, garantiscano la spiegabilità e formino adeguatamente il personale.

Da allora non sono state pubblicate ulteriori circolari o misure di applicazione specifiche per l’IA. La FINMA ha segnalato che ulteriori orientamenti seguiranno con l’evolversi del panorama, ma per ora la comunicazione 08/2024 resta il punto di riferimento principale per il settore finanziario svizzero.

Parlamento: appetito selettivo per la regolamentazione

Il Parlamento svizzero ha mostrato una posizione prudente. Nell’aprile 2025, il Consiglio nazionale ha respinto una mozione per una regolamentazione specifica sui deepfake con 111 voti contro 70. Il governo ha sostenuto che il diritto penale e civile esistente copre già l’abuso di deepfake e che una regolamentazione più ampia dell’IA è in preparazione.

Sul fronte della proprietà intellettuale, il Consiglio degli Stati ha adottato nel marzo 2025 una mozione che chiede una migliore protezione delle opere protette dal diritto d’autore contro l’addestramento dell’IA — un dibattito che prosegue al Consiglio nazionale ma che difficilmente produrrà legislazione prima del 2027.

Nel frattempo, le minacce che la convenzione doveva affrontare si sono intensificate

I principi della convenzione — trasparenza, responsabilità, protezione contro la manipolazione — non sono aspirazioni astratte. Descrivono esattamente le capacità che vengono sfruttate nel mondo reale, in questo momento, in Svizzera.

L’Ufficio federale della cibersicurezza (UFCS) ha documentato un aumento di quasi cinque volte delle frodi d’investimento tramite deepfake nel primo semestre 2025 — da 729 a 3'485 casi segnalati. Video deepfake di personalità pubbliche, tra cui la presidente della Confederazione Karin Keller-Sutter, sono stati utilizzati per attirare le vittime su piattaforme fraudolente. Considerando tutte le forme di frode d’investimento online, nel 2025 in Svizzera sono stati rubati circa CHF 250 milioni.

Nel gennaio 2026, un imprenditore nel Canton Svitto ha perso diversi milioni di franchi svizzeri a causa di aggressori che avevano clonato la voce di un partner commerciale con l’IA — una frode mantenuta per due settimane di telefonate. L’Associazione svizzera dei banchieri ha riconosciuto che la frode è entrata in una nuova era definita dagli attacchi guidati dall’IA.

Non si tratta di casi isolati. È la realtà operativa che i principi della convenzione dovrebbero affrontare. Il divario tra le ambizioni del trattato e il ritmo dell’attuazione nazionale si allarga — e viene colmato da criminali che non conoscono tali ritardi.

Cosa viene dopo

I prossimi dodici mesi saranno decisivi:

• Fine 2026: Il disegno di legge del DFGP è atteso. La sua portata e ambizione riveleranno quanto seriamente la Svizzera intenda tradurre i principi della convenzione in diritto applicabile.
• Agosto 2026: Gli obblighi dell’UE per l’IA ad alto rischio e la trasparenza entrano pienamente in vigore — una scadenza di conformità de facto per qualsiasi organizzazione svizzera con esposizione al mercato europeo.
• Luglio 2026: La prima sessione del Dialogo globale delle Nazioni Unite sulla governance dell’IA si tiene a Ginevra, assegnando alla Svizzera un ruolo di ospite sulla scena internazionale.
• Rapporto di dicembre 2025: La valutazione del Consiglio federale secondo cui l’IA amplifica le minacce informatiche esistenti senza cambiare fondamentalmente il panorama sarà messa alla prova dagli eventi.

La firma della convenzione da parte della Svizzera un anno fa è stata una chiara dichiarazione d’intenti. La domanda ora è se l’intenzione si tradurrà in azione a un ritmo che corrisponda alla minaccia.