L'interpretariato AI è classificato a «rischio limitato»: un obbligo di trasparenza e poco altro. Ma il problema della governance dei dati linguistici non nasce con l'intelligenza artificiale. Esisteva già — solo che nessuno lo guardava.
Il 2 agosto 2026, l'AI Act — il Regolamento europeo sull'intelligenza artificiale — diventa pienamente applicabile. È il primo quadro normativo al mondo che classifica i sistemi di intelligenza artificiale in base al rischio che rappresentano per i diritti fondamentali delle persone. E per la traduzione e l'interpretariato automatico, il verdetto del legislatore è chiaro: rischio limitato.
In pratica, significa un solo obbligo: informare l'utente che sta ascoltando o leggendo un output generato da intelligenza artificiale. Nessuna valutazione d'impatto sui diritti fondamentali. Nessun audit preventivo. Nessun obbligo di supervisione umana. Nessuna registrazione in database pubblici.
Questo articolo non contesta quella classificazione. La rispetta e la analizza. Ma segue il filo fino in fondo — e il filo porta in un posto inaspettato.
Perché «rischio limitato» ha senso — sul piano giuridico
La classificazione non è una svista. L'AI Act adotta un approccio basato sul rischio e protegge un perimetro preciso: i diritti fondamentali codificati dalla Carta europea. I sistemi ad alto rischio sono quelli che incidono su accesso al credito, occupazione, giustizia, istruzione, biometria, processi democratici. La traduzione automatica non ricade in nessuna di queste categorie.
Il legislatore ha guardato al tipo di sistema, non al contesto in cui viene utilizzato. È una scelta architetturale deliberata: regolare il sistema alla fonte, non i mille modi in cui può essere impiegato. Sul piano della teoria normativa, è coerente. I sistemi a rischio limitato — chatbot, generatori di contenuti, strumenti di traduzione — condividono un tratto: interagiscono con l'utente, ma non prendono decisioni che determinano le sue condizioni di vita.
Un obbligo di trasparenza, quindi: dire all'utente che c'è AI. Permettergli di calibrare le sue aspettative. Fine.
Quando il contesto d'uso cambia tutto
Ma lo stesso motore AI che traduce il menu di un ristorante traduce anche il discorso di un amministratore delegato davanti ai dipendenti di dieci Paesi. Traduce un negoziato sindacale in un Comitato Aziendale Europeo. Traduce una sessione di consenso informato in una conferenza medica internazionale. Traduce una conferenza stampa le cui parole verranno riprese dai media.
Il regolamento vede un unico sistema a rischio limitato. La realtà vede contesti in cui un errore di traduzione può alterare una decisione, viziare un consenso, produrre un danno reputazionale.
Non è un argomento contro l'AI Act. È la constatazione di una distanza strutturale tra la classificazione di un sistema e le conseguenze del suo utilizzo. Il regolatore ha fatto una scelta ragionevole — non poteva prevedere ogni contesto applicativo di ogni sistema a rischio limitato. Ma quella distanza esiste, e qualcuno deve colmarla.
A questo punto, l'obiezione più naturale è: con gli interpreti umani, almeno, questo problema non si pone. L'interprete è un professionista, è vincolato a un codice etico, non c'è nessuna pipeline tecnologica da governare. I dati sono al sicuro.
Davvero?
Il mito del processore volatile
L'interprete di conferenza è, nel momento in cui traduce, un processore biologico straordinariamente efficace: l'audio entra dal suo orecchio, viene elaborato nel cervello, esce dalla sua bocca. Nessun supporto digitale, nessun server, nessun provider terzo. Il dato personale — il nome di chi parla, la sua opinione, il suo ruolo — transita e scompare. Da questo punto di vista, l'interpretariato umano ha un profilo di rischio GDPR quasi nullo.
Ma l'interprete non vive solo nel momento del live.
Prima dell'evento, l'interprete riceve materiali di preparazione: slide riservate, glossari tecnici, verbali di riunioni precedenti, documenti sotto NDA. È prassi consolidata e necessaria — senza preparazione, la qualità dell'interpretariato crolla. Ma quel materiale finisce sul laptop personale dell'interprete, in allegati email non crittografati, su servizi cloud consumer, su chiavette USB. Il Codice Etico AIIC — il riferimento deontologico della professione dal 1957 — impone la riservatezza assoluta su tutto ciò che l'interprete apprende nell'esercizio delle funzioni. Ma è un obbligo deontologico individuale, privo di qualsiasi controllo tecnico. Nessun Mobile Device Management. Nessun Data Processing Agreement tra l'interprete freelance e il cliente. Nessun obbligo di cancellazione dei materiali post-evento che sia documentabile e verificabile.
Poi c'è un fenomeno più recente e più insidioso. L'interprete che, per prepararsi, carica quei materiali riservati su un LLM consumer — un chatbot gratuito, un servizio di traduzione automatica, uno strumento di estrazione terminologica — per generare glossari, riassumere documenti tecnici, familiarizzare con il gergo del settore. In quel momento, l'interprete sta facendo esattamente quello che si teme dalla pipeline AI: inviare dati del cliente a provider terzi, su server di giurisdizione incerta, senza alcun DPA, senza opt-out dal training, senza che il cliente ne sappia nulla. Solo che lo fa individualmente, fuori da qualsiasi perimetro di governance.
Durante l'evento, il quadro si è complicato ulteriormente. L'adozione crescente di CAI tools — strumenti digitali di assistenza all'interpretariato, come glossari automatici, suggerimenti terminologici in tempo reale, moduli di riconoscimento vocale per l'automonitoraggio — significa che anche in cabina l'interprete può star processando l'audio attraverso servizi cloud. Con le stesse implicazioni architetturali della pipeline AI: dati personali che transitano su server di terzi, in tempo reale, durante un evento riservato.
Il paradosso emerge con chiarezza: la pipeline AI non crea un problema di governance dei dati linguistici. Lo rende visibile. Il problema esisteva già, disperso in mille comportamenti individuali non coordinati, non documentati, non verificabili. L'AI lo centralizza — e proprio perché lo centralizza, lo rende per la prima volta governabile.
Chi governa la pipeline?
Una pipeline di interpretariato AI è, nella sua essenza, una catena di elaborazione: acquisizione audio, speech-to-text, traduzione neurale, sintesi vocale, distribuzione. Ciascun passaggio può coinvolgere un provider diverso, su infrastruttura diversa. I dati personali contenuti nel discorso — nomi, opinioni, posizioni attribuibili a persone identificabili — vengono processati tecnicamente a ogni nodo.
Il GDPR ha gli strumenti per governare questa catena. L'Art. 28 richiede che ogni sub-responsabile del trattamento sia autorizzato, che i Data Processing Agreement siano firmati, che le policy di data retention siano documentate, che gli opt-out dal training siano attivi e verificabili. Sono obblighi concreti, con sanzioni concrete.
Ma l'AI Act non li attiva per l'interpretariato AI — perché il servizio è a rischio limitato. E il cliente medio che acquista traduzione AI per un evento non sa nemmeno che quelle domande esistono. Non sa quanti provider toccano i dati dei suoi relatori. Non sa dove risiedono fisicamente quei server. Non sa se l'audio dei suoi dirigenti viene utilizzato per addestrare un modello di qualcun altro.
L'obbligo di trasparenza dice: «informiamo l'utente che c'è AI». Non dice: «informiamo l'utente di cosa succede ai dati lungo la pipeline». Sono due cose molto diverse.
Ed ecco l'ironia: quegli stessi strumenti GDPR — DPA, registri dei sub-responsabili, policy di retention, documentazione degli opt-out — non possono essere applicati alla «pipeline» dell'interprete freelance che carica i materiali del cliente su un chatbot gratuito. Non perché il GDPR non si applichi, ma perché non c'è nulla da mappare: il comportamento è individuale, episodico, invisibile.
La pipeline AI, almeno, è un oggetto che si può documentare, auditare e governare. A patto che qualcuno lo faccia.
Il paradosso della governance volontaria
Se il regolatore non impone governance sull'interpretariato AI, chi la pratica volontariamente si trova in uno svantaggio competitivo apparente. Mappare la pipeline, firmare DPA con ogni provider, documentare gli opt-out dal training, definire termini di cancellazione, predisporre documentazione per i DPO dei clienti — tutto questo ha un costo. E il mercato non lo premia, perché non lo richiede.
Chi offre traduzione AI senza governance può farlo a prezzo più basso, con meno complessità operativa, e con identico diritto normativo di operare — perché rispetta l'unico obbligo previsto: dire che c'è AI.
Eppure esiste un precedente storico. La sicurezza alimentare prima del sistema HACCP, la sicurezza sul lavoro prima del D.Lgs. 81/08: in entrambi i casi, le aziende che avevano adottato standard volontari prima dell'obbligo si sono trovate strutturalmente pronte quando la norma è arrivata. Chi aveva investito in processi ha guadagnato un vantaggio — non normativo, ma operativo e reputazionale — che i ritardatari hanno impiegato anni a colmare.
Nel settore dell'interpretariato AI, esistono già operatori che hanno scelto questa strada: pipeline mappate e documentate, DPA archiviati con ogni provider, opt-out dal training verificati, termini di cancellazione definiti, governance umana in tempo reale con protocolli di fallback. Non perché sia obbligatorio. Perché i clienti che gestiscono informazioni riservate — quelli che hanno un DPO, quelli che rispondono a un consiglio d'amministrazione, quelli che operano in settori regolati — prima o poi fanno le domande giuste. E chi non ha le risposte perde il tavolo.
Ma il punto più profondo è un altro: chi governa volontariamente la propria pipeline AI non sta solo investendo in compliance futura. Sta offrendo una governance dei dati oggettivamente superiore a quella che il modello tradizionale — interpreti freelance, materiali su email personali, preparazione su strumenti consumer — garantisce di fatto. Non di diritto. Di fatto.
Il Brussels Effect e la domanda aperta
L'AI Act sta seguendo la traiettoria del GDPR. Il Brasile ha approvato un quadro normativo AI ispirato al modello europeo. Canada e Australia procedono con framework convergenti. Persino lo Stato di New York ha pubblicato linee guida che adottano la classificazione del rischio europea. È quello che gli accademici chiamano Brussels Effect: la capacità del mercato unico europeo di esportare regole in virtù delle sue dimensioni.
Se la traduzione AI resta classificata a rischio limitato nel framework europeo, quel template verrà replicato altrove. Significa che nessun grande mercato regolerà la governance dell'interpretariato AI nel medio periodo. La responsabilità resterà interamente nelle mani del mercato.
L'AI Act stesso prevede uno strumento per questo: i codici di buone pratiche, che settori specifici possono sviluppare autonomamente per integrare gli obblighi minimi del regolamento. Ad oggi, nessuno ha scritto un codice di buone pratiche per l'interpretariato AI. Nessuna associazione di categoria, nessun consorzio, nessuna coalizione di operatori.
Lo spazio è vuoto. La domanda è chi lo riempirà — e con quale standard.
La trasparenza non è governance
L'AI Act ha fatto la sua parte. Ha classificato il rischio secondo criteri giuridici coerenti e difendibili. La traduzione automatica non minaccia direttamente i diritti fondamentali codificati dalla Carta europea.
Ma chi lavora in questo settore — con gli interpreti, con i motori AI, con i clienti che affidano le parole dei propri dirigenti a una tecnologia che non comprendono del tutto — sa che la distanza tra «rischio normativo limitato» e «rischio operativo concreto» non è teorica. È la distanza tra un sistema che funziona e un sistema di cui ci si può fidare.
Il paradosso di fondo è questo: l'intelligenza artificiale non ha creato il problema della governance dei dati nell'interpretariato. Lo ha reso visibile, centralizzato e — per chi vuole — governabile. Il vero rischio non è la pipeline AI documentata. È tutto quello che succede fuori da qualsiasi pipeline, in mille scelte individuali che nessun regolamento cattura e nessun codice etico può controllare tecnicamente.
Informare non è governare. Il regolatore ha tracciato una soglia minima. Ora tocca al settore decidere se fermarsi lì o costruire qualcosa di più solido.
Non per obbligo. Per coerenza.