SAVIA: tra Local policy laboratory e Local regulatory sandbox / Luisa Monti

Dirigente dell’Area servizi informativi-informatici dell’Assemblea legislativa della Regione Emilia-Romagna

1. Introduzione

Il progetto SAVIA nasce da una parte con precisi obiettivi di risultato e di impatto sul sistema regionale, dall’altra con la volontà di sperimentare l’applicazione di tecniche di intelligenza artificiale di ultima generazione a casi d’uso reali e concreti della pubblica amministrazione locale.

A parte per i mesi iniziali, durante i quali il progetto, grazie al prezioso supporto di CINECA, si è focalizzato sulla realizzazione del primo prototipo di chatbot, SAVIA si è sviluppato sotto forma di cantieri paralleli, finalizzati a sperimentare e portare a terra sotto-obiettivi specifici. Tali cantieri, solo in parte interdipendenti, hanno consentito di parallelizzare l’implementazione dei dataset, l’allenamento dei modelli, il fine tuning da parte di esperti giuridici, il coinvolgimento degli enti territoriali, la realizzazione di cruscotti e indicatori di qualità legislativa, le valutazioni data protection, l’industrializzazione…

In questo senso, SAVIA è un laboratorio a cielo aperto, in continua evoluzione, capace di creare convergenza di sforzi e obiettivi di una pluralità di stakeholder sul territorio; di generare nuovi stream di lavoro sulla base di sinergie a livello di implementazioni tecnologiche, dataset o metadati ottenuti, e ancora di obiettivi da raggiungere.

Nei paragrafi seguenti analizzeremo le regulatory sandbox, con particolare riguardo alle Artificial Intelligence Regulatory Sandbox (AIRS) a livello locale, con l’obiettivo di cogliere similitudini e spunti che possano essere di ispirazione per lo sviluppo nel medio periodo del progetto SAVIA e del suo laboratorio, sia in termini di migliorie che di aggiustamenti rispetto all’assetto attuale, sia in termini di quali vantaggi questo potrebbe avere per lo sviluppo di soluzioni di intelligenza artificiale per la pubblica amministrazione locale nel prossimo futuro.

2. Regulatory sandbox

Una spiegazione efficace di cosa sono le regulatory sandbox e degli obiettivi che si pongono è riportata nel sito della Commissione europea e recita come segue[1]:

Una regulatory sandbox (o spazio di sperimentazione normativa) è generalmente uno strumento che consente alle aziende di verificare che nuovi servizi o prodotti soddisfino tutti i requisiti normativi.

Un esempio di ciò è l’EU Blockchain Regulatory Sandbox istituito dalla Commissione europea su proposta del Ministero dell’Industria e del Commercio ceco. Nella prima fase, lo spazio di sperimentazione si concentrerà sulle applicazioni delle distributed ledger technology (DLT) al settore finanziario e aiuterà le imprese a verificare quali requisiti normativi saranno loro imposti e a prepararsi per la pertinente procedura di autorizzazione, se necessario. Successivamente, l’esperienza può essere utilizzata in altri settori gradualmente interessati dalla regolamentazione. A poco a poco, la consultazione e l’assistenza di esperti con la regolamentazione e il modello di business saranno affiancati da una componente tecnologica per testare i servizi e i prodotti stessi in un ambiente controllato prima della loro implementazione sul mercato.

Principale scopo è quello quindi di verificare la compliance normativa di nuovi servizi e prodotti prima di immetterli sul mercato, grazie a verifiche sul campo. Il fatto che l’EU blockchain regulatory sandbox sia stata concepita per avviarsi su sperimentazioni di applicazioni al settore finanziario non è casuale, e lo vedremo nei prossimi paragrafi.

3. Fintech regulatory sandbox

Le regulatory sandbox nascono circa un decennio fa proprio nel settore bancario e finanziario. Infatti, il banking sector presentava innanzi tutto una condizione al contorno necessaria per lo sviluppo delle regulatory sanbox, ossia era (ed è tuttora) un settore estremamente regolamentato, tanto che si parla spesso di over-regulated sector[2].

Inoltre, il settore bancario e finanziario è sempre stato caratterizzato da una forte spinta all’innovazione e all’adozione tecnologica, sia in logica di cost saving che di earning increase (spinta che rende questo settore tipicamente “avanti” di anni (se non decenni) nella digitalizzazione rispetto ad altri settori meno pioneristici).

Infine, in quel periodo si sono diffusi a livello capillare gli smartphone, che combinati con l’internet delle cose, hanno consentito a chiunque di accedere ad applicazioni, risorse remote e distribuite, condizione che ha consentito ai Paesi emergenti di “saltare” alcune fasi più tipicamente legacy del processo di bancarizzazione vissute invece lungamente nei Paesi sviluppati.

Il settore fintech[3], nei circa 30 anni dalla sua nascita, è arrivato nel 2023 a costituire il 5% del fatturato del settore dei servizi finanziari a livello globale (ossia circa 1,4 milioni di milioni di USD, ndr.). Ma soprattutto, questo slancio ha contribuito in maniera determinante a portare, nello stesso periodo, il 75% della popolazione dei Paesi in via di sviluppo ad avere un conto corrente[4].

Le regulatory sandbox nel settore finanziario, dunque, hanno rappresentato uno strumento concreto per favorire l’innovazione digitale, consentendo alle fintech di competere con modelli di business consolidati, di creare servizi compliant ma disruptive e meno costosi (esattamente come è accaduto in altri settori), e di mettere conseguentemente in discussione metodi tradizionali di fare banca[5]. Competizione resa particolarmente complessa dato che i modelli di business degli incumbent si erano sviluppati, articolati, differenziati e modificati nel tempo, evolvendo di pari passo con l’infrastruttura normativo-regolamentare.

Lo studio condotto da Banca d’Italia e presentato a fine 2021 dimostra come le sandbox in ambito fintech abbiano effettivamente contribuito allo slancio sopra descritto, aumentando del 50% la probabilità per le fintech di accesso a capitali, grazie alla riduzione dell’asimmetria informativa e alla riduzione dei costi per la compliance normativo-regolamentare[6].

Un esempio pragmatico e di successo di fintech regulatory sandbox è quella creata dalla britannica FCA (Financial Conduct Authority) nel 2016. Già nel 2017 l’analisi delle evidenze emerse dalla sandbox sono state utilizzate dalla stessa FCA per migliorare la sandbox, ma anche per indirizzare il policymaking e il lavoro di supervisione del sistema finanziario del Paese[7]. Dal 2021 ad ora, 254 aziende, startup o meno, hanno non solo dimostrato la compliance dei propri servizi innovativi al quadro normativo di riferimento, ma hanno anche testato tramite la sandbox le loro idee su un campione limitato di consumatori, potendo così trasformare i prototipi concepiti in servizi finanziari innovativi di successo[8].

4. EU blockchain regulatory sandbox

Rimanendo sui benefici apportati dalle sandbox nel processo di trasformazione digitale, e tornando alla EU blockchain regulatory sandbox – seppur in attesa di report più significativi che tengano conto delle successive coorti di use case ammessi – il Best practices report 2023 part B pubblicato dalla Commissione europea[9] tratteggia i seguenti risultati:

• maggiore certezza del diritto attraverso una migliore comprensione delle leggi e dei regolamenti pertinenti da parte degli innovatori e una maggiore fiducia nella conformità;
• maggiore fiducia tra le parti interessate e gli enti di regolamentazione/autorità mostrando il potenziale delle soluzioni Blockchain/DLT per supportare una conformità e una supervisione efficaci ed efficienti in diversi settori industriali;
• la possibilità di migliorare il quadro normativo a seguito dell’identificazione di problemi e soluzioni normative e di aree di chiarimento, portando a normative più efficaci;
• collaborazione transfrontaliera facilitata dal progetto tra enti di regolamentazione/autorità e innovatori europei e nazionali, promuovendo un approccio normativo più unificato delle soluzioni Blockchain/DLT che migliorerà pratiche normative più armonizzate e aiuterà a creare un quadro normativo più coeso;
• facilitata condivisione di conoscenze ed esperienze tra regolatori/autorità e con gli innovatori sulla base di casi d’uso concreti, con conseguente migliore comprensione dei requisiti di conformità tra innovatori Blockchain/DLT e regolatori/autorità;
• accelerata innovazione grazie alla messa a disposizione di un ambiente sicuro per perfezionare le applicazioni blockchain supportandone la conformità fin dalla progettazione.

Esiste anche una letteratura che mette in guardia sulla necessità di una corretta messa in pratica delle regulatory sandbox per assicurare risultati benefici e concreti. Una lista delle buone pratiche (o per contro degli errori da non fare) è fornita ad esempio dall’Università di Stanford[10] e può essere riassunta come segue: il regolatore deve vedere la regulatory sandbox come un sistema di confronto e informazione reciproca: le informazioni che il regolatore riesce a trarre dalla sandbox relativamente alla tecnologia, alle sue applicazioni in un determinato mercato devono essere funzionali per disegnare politiche migliori in quanto definite partendo da una maggiore conoscenza di ciò che si va a regolare.

L’incertezza normativa rappresenta solo la punta dell’iceberg dei problemi normativi che una nuova azienda o un nuovo business devono affrontare. Di conseguenza, non ha molto senso per un’agenzia di regolamentazione spendere troppe risorse nello sviluppo di policy che lavorino sulla deroga alla norma principale. Piuttosto, occorrerebbe concentrarsi sulla rimozione degli ostacoli al lancio di nuovi prodotti che potrebbero non solo essere pienamente conformi, ma anche migliorare il benessere.

Le agenzie di regolamentazione non dovrebbero considerare le regulatory sandbox come il canale principale per incoraggiare l’innovazione. Un regime di regolamentazione flessibile, in cui le regole sono chiare e i regolatori sono disposti a fornire indicazioni quando sorge incertezza, è il meccanismo migliore per promuovere l’innovazione. Quindi i regolatori dovrebbero dedicare la maggior parte dei loro sforzi all’elaborazione di politiche e normative a lungo termine.

Alla luce di queste considerazioni, appare utile rilevare come le regulatory sandbox non debbano essere viste esclusivamente come uno spazio di sperimentazione finalizzato a far comprendere alle imprese o agli enti che le utilizzano come rendere i loro servizi compliant con la normativa applicabile, ma anche come uno strumento utile al legislatore o al policy maker sia per comprendere meglio le tecnologie che si stanno regolando e le relative implicazioni nell’applicazione pratica, sia per rimuovere norme non necessarie, procedure inutilmente sovrastrutturate, ossia quel “di più” normativo-regolamentare che non coglie nel segno della necessità e della proporzionalità.

5. Privacy (regulatory) sandbox

L’Artificial Intelligence Act (AIAct)[11] ha una concezione, una struttura e una articolazione molto simili al Regolamento generale per la protezione dei dati personali (GDPR)[12]. Considerando inoltre che l’intelligenza artificiale funziona sui dati e che pertanto una parte del corretto funzionamento dei modelli di AI dipende anche dall’uso corretto di dati (personali), l’esperienza di privacy regulatory sandbox sarebbe stata assai utile nell’approcciare le AIRS.

Ma il GDPR, seppur solo di un decennio precedente, non aveva previsto la creazione di regulatory sandbox, né questa possibilità è stata introdotta in momenti successivi alla sua entrata in vigore. Non esistono quindi esperienze significative, a conoscenza dell’autore, relativamente a regulatory sandbox europee incentrate sul rispetto della normativa europea sulla protezione dei dati personali. Sarebbe stato infatti di assoluto interesse osservare applicazioni pratiche di concezioni avanguardiste, come ad esempio quella dei Personal information managament systems, su cui lo European Data Protection Supervisor aveva posto enfasi e aspettative[13].

Il tentativo di Google con la sua “privacy sandbox”[14] non può essere infatti ascritto tra le sandbox regolamentari: manca infatti nell’organizzazione e gestione della sandbox la componente relativa alle autorità competenti, sulle quali una regulatory sandbox si dovrebbe invece basare. Nel caso della Google privacy sandbox si è trattato di un tentativo di cogliere l’occasione dell’entrata in vigore del GDPR (nonché di legislazioni paragonabili adottati in altri Paesi a livello mondiale[15]) per superare alcuni limiti della direttiva ePrivacy[16] e ottenere forme di vantaggio competitivo nella gestione dei cookies finalizzati al web user tracking[17].

Per quanto, dunque, esempi di privacy regulatory sandbox sarebbero stati di assoluto interesse per i nostri obiettivi, questo fronte non ci fornisce purtroppo elementi aggiuntivi di analisi.

6. AI regulatory sandbox

Svolte queste necessarie considerazioni relativamente alle regulatory sandbox, alle lezioni e alle buone pratiche tratte dall’applicazione al settore bancario e finanziario, possiamo adesso affrontare il tema delle AI regulatory sandbox (AIRS) e di come queste potrebbero essere messe in pratica facendo tesoro di esperienze similari.

L’AIAct tratta delle AIRS all’articolo 57. In sintesi, limitatamente agli aspetti caratteristici delle AIRS e senza alcuna pretesa di esaustività:

ogni Stato Membro deve essere “coperto” da almeno una AIRS entro il 2 agosto 2026. Ciò non pregiudica la creazione di AIRS a livello regionale o locale. Anche il Garante europeo può istituire un AIRS per le istituzioni europee (e comunque, laddove gli AIRS prevedano trattamento di dati personali, l’autorità garante nazionale deve essere coinvolta). Gli Stati Membri provvedono alle risorse necessarie agli AIRS e garantiscono cooperazione con altre regulatory sandbox. AIRS cross-border sono benvenute.

L’AIRS consente di sperimentare sistemi di intelligenza artificiale in ambiente controllato, per un tempo limitato prima della loro immissione sul mercato, comprese prove in condizioni reali. Ai fini della sperimentazione, le autorità competenti supportando la sperimentazione:

• fornendo orientamenti sulle aspettative normative, garantendo sostegno e controllo circa le modalità per rispettare tali norme;
• facilitando l’emersione dei rischi e le modalità di mitigazione;
• fornendo su richiesta una prova scritta dell’avvenuta sperimentazione e dell’esito (relazione di uscita);
• l’aver concluso positivamente una sperimentazione tramite AIRS non esonera dalle proprie responsabilità il fornitore di sistemi di AI né esonera dai controlli delle autorità competenti.

Alla data di stesura del presente articolo le autorità competenti italiane non sono ancora state definite. Esiste una proposta di disegno di legge, «Disposizioni e delega al Governo in materia di intelligenza artificiale» (Atto Senato n. 1146)[18], che nella sua versione originale all’articolo 18 prevede che l’Agenzia per l’Italia digitale (AgID) e l’Agenzia per la cybersicurezza nazionale (ACN) siano designate quali Autorità nazionali per l’intelligenza artificiale. Anche se l’iter di tale proposta di disegno di legge è da poco iniziato ed esistono emendamenti che insistono proprio sull’articolo 18[19], possiamo assumere che l’impostazione iniziale venga confermata, vedendo quindi la regia della AIRS italiana “obbligatoria” (ossia quella prevista come minima e necessaria entro il 2 agosto 2026 dal comma 1 dell’articolo 57 dell’AIAct) condotta in maniera collaborativa da AgID e ACN, con la partecipazione del Garante per la protezione dei dati personali (GPDP). Ciò, a meno di una partecipazione da parte dell’Italia a un AIRS esistente, ossia costituito da altri Stati Membri o congiuntamente con le autorità competenti di altri Stati membri.

7. Local regulatory AI sandbox

Una innovation sandbox a livello locale sull’intelligenza artificiale è stata costituita in Svizzera dal Cantone di Zurigo, la Zurich Metropolitan Conference e Innovation Zurich[20]. Questa sandbox fornisce supporto per la compliance regolamentare in materia di intelligenza artificiale e fornitura di dati per la realizzazione di servizi basati sull’uso di modelli di intelligenza artificiale. La prima call for projects è partita nel 2021. Tra il 2022 e il 2024, la sandbox ha supportato l’implementazione di cinque progetti (su 21 presentati) nei settori di parcheggio intelligente, sistemi autonomi, manutenzione automatizzata delle infrastrutture, traduzione automatica e intelligenza artificiale nell’istruzione, come si evince dal rapporto pubblicato nel 2024[21]. La sandbox di Zurigo mira a creare competenze normative per l’intelligenza artificiale, promuovere l’innovazione dell’intelligenza artificiale, rafforzare il trasferimento di conoscenze e fornire impulso alla futura regolamentazione dell’intelligenza artificiale.

Anche se nel rapporto si prevede una nuova call con l’obiettivo di ammettere nuovi progetti tra il 2024 e il 2026, non risultano dal sito evidenze in tal senso. Ad ogni buon conto, se la sandbox del Cantone di Zurigo proseguirà, sarà interessante seguirne gli sviluppi.

8. Local AI regulatory sandbox e SAVIA

Poco dice in realtà l’AIAct sugli AIRS regionali, a parte il comma 2 dell’articolo 57 dedicato. Occorrerà pertanto attendere ulteriori specificazioni rivenienti dagli atti esecutivi di cui all’articolo 58 dello stesso regolamento (o da altra normativa nazionale) per conoscere eventuali modalità dettagliate e/o specifiche per l’istituzione, lo sviluppo, l’attuazione, il funzionamento e la supervisione degli AIRS a livello regionale o locale.

Anche in questo caso ci arrivano elementi utili dal settore bancario e finanziario: nel suo paper del 2023[22], l’Organizzazione per la Cooperazione e lo Sviluppo Economico mette in evidenza come le AIRS a livello locale possono avere una funzione di “local policy laboratories”, laboratori di politiche locali, anche in logica di sperimentazione regolamentare per devolution[23]. In effetti, non avrebbe senso istituire AIRS locali senza che questi rivestano un ruolo specifico distinto e possibilmente sinergico con quello di AIRS a livello nazionale o sovranazionale.

Ora, tornando a SAVIA, il progetto è stato concepito per:

• migliorare l’efficienza delle procedure connesse alla redazione dei testi normativi, anche utilizzando le nuove tecnologie e l’intelligenza artificiale;
• sviluppare strumenti a supporto delle procedure di valutazione degli effetti prodotti dalla normativa regionale;
• migliorare la trasparenza dei processi legislativi, mettendo a disposizione strumenti facilmente interrogabili e capaci di restituire risposte puntuali e complete relative al corpus normativo regionale e agli effetti da questo prodotto;
• facilitare la partecipazione dei cittadini al processo legislativo regionale, fornendo loro la possibilità di comprendere, valutare e proporre misure migliorative al legislatore, contribuendo così ad una partecipazione attiva della popolazione regionale ai processi istituzionali.

La creazione di un circolo virtuoso tra misurazione degli effetti prodotti e miglioramento del corpus normativo regionale intende generare anche una collaborazione sinergica tra sistema legislativo e governance degli enti territoriali e in ultima analisi del territorio regionale. La misurazione degli effetti di una legge o di un insieme di leggi passa anche dalla misurazione di come tale legge è stata attuata dagli enti territoriali e conseguentemente di quanto efficace sia la “filiera” complessiva nei suoi vari snodi.

Il “tratto a monte” che occorre integrare affinché SAVIA possa essere considerato un local policy laboratory a tutti gli effetti è proprio quello delle politiche regionali. Con il principale obiettivo di poter misurare, in ultima analisi, indicatori quanti-qualitativi circa la loro attuazione nel territorio. Una delle traiettorie di estensione “a monte” dei dataset e conseguentemente del dominio di lavoro del progetto può muoversi in questa direzione.

Ne consegue che SAVIA è già, nei fatti, un primo rudimento di sandbox regolamentare “regolatoria” a livello locale, nel quale prodotti e servizi sono leggi regionali e relative attuazioni. Non nei termini di una AIRS, ossia di una sandbox finalizzata alla verifica della compliance di soluzioni basate sull’intelligenza artificiale, quanto uno strumento di valutazione e simulazione della qualità delle leggi, e volendo delle politiche regionali che utilizza, a tale scopo, strumenti basati sull’intelligenza artificiale.

Chiaramente, utilizzando strumenti basati sull’intelligenza artificiale, SAVIA può anche candidarsi per valutare la compliance in primis di tali strumenti AI-based e poi anche di altri ideati e sviluppati dalla pubblica amministrazione locale. Quindi candidarsi ad essere una AIRS locale a tutti gli effetti. Per far questo, occorrerà prestare attenzione alle buone pratiche evidenziate in letteratura già menzionate nei paragrafi precedenti, verificare la regolamentazione attuativa dell’AIAct in materia di AIRS locali, nonché verificare eventuali raccordi con l’AIRS nazionale e con le relative autorità competenti. In questa ottica, SAVIA potrebbe essere, a sua volta, un prototipo già esistente sul quale valutare la regolamentazione attuativa dell’AIAct in materia di AIRS locali.

9. Conclusioni

In questo capitolo abbiamo analizzato le regulatory sandbox, con il duplice obiettivo di verificare se SAVIA possa essere considerata una sandbox regolamentare locale e in particolare una AIRS locale, nonché se esistono eventuali spunti di miglioramento nella sua conduzione.

Sulla base dell’esperienza raccolta dalle regulatory sandbox e delle regulatory sandbox nel settore finanziario, quanto disponibile sulle blockchain regulatory sandbox nonché sulle sandbox a livello locale, possiamo concludere che SAVIA può essere considerata, allo stato attuale, una AIRS a livello locale. Sarà, comunque, necessario verificare la regolamentazione attuativa dell’AIAct per poter effettuare valutazioni in termini di compliance, prestare attenzione al rispetto delle buone pratiche in materia di AIRS nonché valutare la collaborazione e i livelli di sinergia con la o le AIRS di livello nazionale e le relative autorità competenti.

Note

^[1] https://commission.europa.eu/projects/digital-regulatory-sandbox_en#:~:text=A%20regulatory%20sandbox%20is%20generally,of%20financial%20and%20decentralised%20technologies alla data 26 febbraio 2025.

^[2] https://www.nber.org/papers/w15018 alla data 26 febbraio 2025

^[3] Dal sito della Banca centrale irlandese alla data 26 febbraio 2025: La parola “fintech” è la combinazione delle parole “finanziario” e “tecnologia”. Descrive l’uso della tecnologia per fornire servizi e prodotti finanziari. Ciò potrebbe avvenire nei settori bancario, assicurativo, degli investimenti, ovvero in qualsiasi ambito correlato alla finanza.

^[4] https://www.weforum.org/stories/2024/11/fintechs-embracing-sustainable-growth/#:~:text=In%20the%2030%20years%20since,their%20toes%20through%20direct%20competition alla data 26 febbraio 2025.

^[5] B. King, Bank 2.0: How Customer Behavior and Technology Will Change the Future of Financial Services, Library Binding –2010.

^[6] https://www.bancaditalia.it/pubblicazioni/altri-atti-convegni/2022-financial-stability/sessione-5/V-1-Paper.pdf alla data 26 febbraio 2025.

^[7] https://www.fca.org.uk/publications/research/regulatory-sandbox-lessons-learned-report alla data 26 febbraio 2025.

^[8] https://www.fca.org.uk/firms/innovation/regulatory-sandbox alla data 26 febbraio 2025.

^[9] https://ec.europa.eu/digital-building-blocks/sites/display/EBSISANDCOLLAB/Best+practices+report+2023+-+Part+B

^[10] https://pacscenter.stanford.edu/a-few-thoughts-on-regulatory-sandboxes/ alla data 26 febbraio 2025.

^[11] Regulation (EU) 2024/1689 of the European Parliament and of the Council of 13 June 2024 laying down harmonised rules on artificial intelligence and amending Regulations (EC) No 300/2008, (EU) No 167/2013, (EU) No 168/2013, (EU) 2018/858, (EU) 2018/1139 and (EU) 2019/2144 and Directives 2014/90/EU, (EU) 2016/797 and (EU) 2020/1828 (Artificial Intelligence Act), https://eur-lex.europa.eu/eli/reg/2024/1689/oj/eng alla data 26 febbraio 2025.

^[12] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A02016R0679-20160504 alla data 26 febbraio 2025.

^[13] EDPS Opinion 9/2016 on Personal Information Management Systems, https://www.edps.europa.eu/sites/default/files/publication/16-10-20_pims_opinion_en.pdf, alla data 26 febbraio 2025.

^[14] https://privacysandbox.com/intl/en_us/, alla data 26 febbraio 2025.

^[15] https://www.dlapiperdataprotection.com/, alla data 26 febbraio 2025.

^[16] Direttiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002 relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A02002L0058-20091219, alla data 26 febbraio 2025.

^[17] Reconciling Privacy Sandbox initiatives with EU data protection laws. Lukasz Olejnik, Edinburgh Law School, University of Edinburgh, 2024 https://lukaszolejnik.com/stuff/PrivacySandbox_PAAPI_LLM_LO.pdf, alla data 26 febbraio 2025.

^[18] https://www.senato.it/leg/19/BGT/Schede/Ddliter/testi/58262_testi.htm, alla data 26 febbraio 2025.

^[19] https://www.senato.it/japp/bgt/showdoc/frame.jsp?tipodoc=Emendc&leg=19&id=1434129&idoggetto=1421069 alla data 26 febbraio 2025, proposta di modifica dell’articolo 18 che prevede l’istituzione di una nuova Autorità nazionale per l’intelligenza artificiale e le neurotecnologie.

^[20] https://www.zh.ch/en/wirtschaft-arbeit/wirtschaftsstandort/innovation-sandbox.html, alla data 26 febbraio 2025.

^[21] https://www.zh.ch/content/dam/zhweb/bilder-dokumente/themen/wirtschaft-arbeit/wirtschaftsstandort/dokumente/sandbox_de.pdf, alla data 26 febbraio 2025.

^[22] Regulatory sandboxes in artificial intelligence, OECD digital economy papers July 2023 No. 356.

^[23] Con devolution si intende il trasferimento o la delega di potere a un livello inferiore, in particolare dal governo centrale all’amministrazione locale o regionale.