C'e una frase che gli ingegneri ripetono come un mantra in ogni settore a rischio:
"Le regolamentazioni sono scritte col sangue."
Significa esattamente quello che sembra. Le regole che ti proteggono oggi esistono perche qualcuno e morto ieri. Non perche un comitato era visionario. Non perche un'azienda ha scelto l'etica al posto del profitto. Perche il numero di vittime e diventato abbastanza alto da rendere impossibile ignorare il problema.
Lo schema
Nel luglio 1976, un reattore chimico dello stabilimento ICMESA vicino a Seveso rilascio una nube di diossina sulla campagna circostante. I bambini svilupparono cloracne. Il bestiame mori. La bonifica duro anni.
La Comunita Europea rispose con la Direttiva Seveso: un quadro normativo per la prevenzione degli incidenti industriali che e ancora in vigore oggi, aggiornato tre volte.
Nel marzo 1979, il reattore di Three Mile Island in Pennsylvania si fuse parzialmente. Nessuno mori direttamente, ma il terremoto politico riscrisse le regole della regolamentazione nucleare negli Stati Uniti e di fatto uccise l'industria nucleare americana per tre decenni.
Nell'ottobre 2018 e nel marzo 2019, due Boeing 737 MAX caddero dal cielo, uccidendo 346 persone. Gli investigatori scoprirono che Boeing aveva progettato un sistema automatico di controllo del volo chiamato MCAS, poi lo aveva minimizzato con i regolatori e nascosto ai piloti.
La FAA, catturata da decenni di auto-certificazione industriale, aveva delegato la supervisione della sicurezza proprio all'azienda che avrebbe dovuto controllare.
Il copione e sempre lo stesso: l'industria innova, la regolamentazione arranca, qualcuno paga il prezzo, poi le regole vengono riscritte.
L'AI sta seguendo il copione
Siamo nel secondo atto di questa storia. Quello in cui tutti conoscono i rischi ma nessuno ha abbastanza volonta politica per agire.
I numeri non sono sottili.
Gli incidenti legati all'AI sono aumentati del 50% anno su anno dal 2022 al 2024, e a ottobre 2025 avevano gia superato il totale dell'intero 2024.
Un veicolo autonomo Waymo ha investito un bambino vicino a una scuola elementare a Santa Monica nel gennaio 2026. I genitori di un adolescente hanno fatto causa a OpenAI dopo che ChatGPT avrebbe incoraggiato il figlio a togliersi la vita. La Borsa di Varsavia ha dovuto sospendere tutte le contrattazioni per un'ora dopo che sistemi automatizzati avevano innescato un flash crash.
Non sono casi limite. Sono i primi capitoli.
Nel frattempo, l'apparato normativo che dovrebbe prevenire tutto questo procede in ritardo. La Commissione Europea ha mancato la propria scadenza del 2 febbraio per fornire le linee guida sull'Articolo 6 dell'AI Act, la sezione che definisce cosa conta come AI ad alto rischio.
I due organismi di standardizzazione incaricati di scrivere gli standard tecnici hanno mancato la scadenza dell'autunno 2025. Ora puntano a fine 2026.
Le aziende sono legalmente obbligate a rispettare regole che non sono ancora state scritte.
Il gap di governance e il vero rischio
Ecco cosa rende tutto questo pericoloso. Non come dibattito politico, ma come realta di business.
Il 73% delle aziende ha messo l'AI in produzione. Solo il 7% ha un monitoraggio di governance in tempo reale su cosa quei sistemi fanno davvero.
Un divario di 66 punti tra deployment e supervisione.
Il 38% delle aziende che hanno implementato l'AI senza framework di governance dichiara di pentirsene. Non in un sondaggio sull'etica. Nelle review post-incidente, dopo che qualcosa e andato storto.
Il parallelo con Boeing e istruttivo. Boeing non mancava di talento ingegneristico. Mancava di una cultura in cui le preoccupazioni sulla sicurezza potessero prevalere sulla pressione commerciale. La FAA non mancava di autorita. Aveva esternalizzato quell'autorita all'entita che avrebbe dovuto sorvegliare.
Quando il sistema MCAS malfunziono, non c'era uno strato indipendente a intercettarlo.
La maggior parte delle aziende che implementano AI oggi e nella stessa posizione. Il sistema AI e attivo. Il business case e approvato. Il livello di governance e un PDF da qualche parte su SharePoint.
Cosa significa per il tuo business
Se stai aspettando che la regolamentazione ti dica che aspetto ha la governance, stai aspettando che il sangue venga versato.
L'AI Act europeo alla fine produrra le sue linee guida. Le autorita nazionali alla fine nomineranno i loro garanti. Ma "alla fine" non e una strategia di compliance.
Le aziende che attraverseranno i prossimi cinque anni senza un incidente AI catastrofico non sono quelle con i modelli migliori. Sono quelle che hanno integrato la governance nell'architettura prima che fosse richiesto dalla legge.
Seveso ci ha dato la Direttiva Seveso. Three Mile Island ci ha dato la regolamentazione nucleare moderna. Il Boeing MAX ci ha dato la riforma congressuale della certificazione FAA.
La governance AI avra il suo incidente fondativo. L'unica domanda e se la tua organizzazione sara il monito, o quella che era gia preparata.