21 Mar Regulatory Sandboxes per l’IA e la Cybersecurity: tra Innovazione e Compliance

Autori: Davide Baldini, Jacopo Dirutigliano, Laura Senatore, Lorenzo Covello

Le Regulatory Sandboxes in generale

Le Regulatory Sandboxes (in italiano, “Spazi di sperimentazione normativa”) consentono alle aziende di testare prodotti tecnologici innovativi in un ambiente reale controllato, nell’ambito di un quadro specifico sviluppato e monitorato da una o più autorità competenti, per un periodo di tempo limitato[1].

In quanto strumento regolatorio flessibile e dinamico, le Regulatory Sandboxes sono particolarmente adatte a governare tecnologie dirompenti, come l’intelligenza artificiale (IA), in cui gli approcci normativi tradizionali potrebbero non riuscire a tenere il passo con la rapidità dell’innovazione tecnologica.

Offrendo uno spazio sicuro e supervisionato per la sperimentazione, le Regulatory Sandboxes mirano a promuovere una relazione proattiva e collaborativa tra regolatori e imprese.

Regulatory Sandboxes nell’ambito dell’AI Act e del Cyber Resilience Act

Le Regulatory Sandboxes sono previste dal Regolamento europeo sull’Intelligenza Artificiale (AI Act) e dal Cyber Resilience Act (CRA).

Ai sensi dell’AI Act, ogni Stato Membro è tenuto a istituire almeno un Sandbox entro il 2 agosto 2026. Possono inoltre essere istituite Sandbox a livello regionale e locale[2], nonché Sandbox congiunte, co-gestiti con altri Stati membri.

Questi spazi consentono ai provider di IA di sviluppare, testare e validare sistemi di IA innovativi sotto la supervisione delle autorità di sorveglianza del mercato. Le autorità sono tenute a fornire orientamenti ai partecipanti riguardo alle loro aspettative di compliance e a come soddisfare i requisiti previsti dall’AI Act, il che può includere la possibilità di testare il sistema di IA sulla base di condizioni reali.

Inoltre, quando il sistema di IA comporta il trattamento di dati personali, le autorità nazionali per la protezione dei dati devono partecipare alla Sandbox per supervisionare e offrire indicazioni sugli obblighi previsti dal GDPR, che si applica congiuntamente all’AI Act[3].

Il CRA, che diventerà applicabile partire da dicembre 2027, consente inoltre la creazione di Sandbox a livello nazionale per testare prodotti innovativi con elementi digitali, al fine di facilitarne lo sviluppo, la progettazione, la validazione e il collaudo in conformità ai requisiti di cybersecurity.

Le Regulatory Sandboxes possono quindi servire come strumento di collaborazione tra regolatori e aziende, colmando il divario tra innovazione, governance dell’IA e requisiti di cybersecurity[4], richiedendo alle autorità competenti di assistere le aziende nella creazione di nuovi prodotti conformi by design alla normativa.

Vantaggi per le imprese e per le Autorità

Una volta completata con successo la Sandbox, l’autorità rilascia un rapporto finale (“exit report”), che può essere utilizzato dall’azienda partecipante per dimostrare la conformità alle normative pertinenti, incluso il superamento delle valutazioni di conformità. Pertanto, le aziende coinvolte nella Sandbox possono sia accelerare l’accesso al mercato, sia rendere i propri prodotti e servizi compliant by design, acquisendo così un vantaggio competitivo rispetto ai concorrenti.

Ciò è particolarmente utile alla luce dei molteplici livelli di regolamentazione digitale dell’UE che possono applicarsi allo sviluppo e alla commercializzazione di prodotti innovativi (es. AI Act, GDPR, CRA, che possono applicarsi cumulativamente in alcuni casi), lasciando spesso le aziende di fronte a numerose sfide di conformità.

• • • • Per startup e PMI, la partecipazione è particolarmente vantaggiosa poiché consente loro di implementare i requisiti di conformità fin dall’inizio, garantendo che i loro prodotti siano conformi by design all’AI Act, al CRA e al GDPR. Questo non solo riduce l’incertezza normativa, ma migliora anche la preparazione al mercato e aumenta il valore della soluzione agli occhi di potenziali investitori e partner.
      • Per le grandi aziende, un coinvolgimento anticipato con le autorità aiuta a semplificare processi di conformità complessi, evitando costose riprogettazioni e garantendo l’allineamento agli standard in evoluzione dell’UE.
      • Per gli investitori, un prodotto innovativo che ha completato con successo una Sandbox – come documentato nell’exit report – segnala una forte compliance posture, minori rischi di conformità e una maggiore probabilità di successo a lungo termine.

Allo stesso tempo, le autorità beneficiano possono acquisire preziose informazioni sul funzionamento di nuove applicazioni tecnologiche, prima che vengano ampiamente distribuite sul mercato. Ciò consente alle autorità di anticipare meglio i rischi, perfezionare le pratiche di supervisione e garantire che il quadro normativo rimanga adattivo e reattivo agli sviluppi tecnologici, piuttosto che limitarsi a reagire dopo che le tecnologie sono già messe in uso[5].

Tuttavia, partecipare e completare con successo una Sandbox non è sempre un compito facile. Nella maggior parte dei casi, è essenziale un supporto consulenziale per sfruttare appieno i benefici della Sandbox.

Possibili sfide per le imprese

Le imprese potrebbero non essere sempre in grado di identificare la Sandbox più adatta a cui partecipare, specialmente quando più normative si applicano al proprio prodotto o servizio. Inoltre, a seconda della dimensione dell’organizzazione e degli obiettivi di mercato, Sandbox locali possono essere preferibili rispetto a quelli nazionali, e viceversa.

In aggiunta, il numero di candidature ammesse nelle Sandbox è limitato, quindi la proposta di partecipazione deve essere attentamente redatta e presentata all’autorità competente.

Pertanto, massimizzare le opportunità offerte da una Sandbox regolatorio richiede una pianificazione accurata e un’allocazione strategica delle risorse. Le aziende devono presentare un piano Sandbox ben strutturato e mantenere un coordinamento costante con le autorità durante tutto il processo, il che può risultare complesso.

Di conseguenza, per sfruttare appieno il potenziale dei Sandbox ed evitare possibili difficoltà, le imprese traggono grande beneficio da un supporto specializzato e consulenziale, garantendo il rispetto delle aspettative, la semplificazione del processo e il massimo utilizzo dei vantaggi strategici offerti dalle Sandbox.

Conclusione

Le Regulatory Sandboxes previste dall’AI Act e dal Cyber Resilience Act rappresentano un’opportunità strategica per sviluppare prodotti e servizi innovativi in un ambiente controllato.

Per le aziende, offrono un supporto normativo strutturato, consentendo ai partecipanti di testare, convalidare e perfezionare le proprie tecnologie di IA interfacciandosi sin dall’inizio con i requisiti legali. La partecipazione può accelerare l’ingresso nel mercato, ridurre l’incertezza normativa e rafforzare la fiducia nei confronti di autorità e clienti. Tuttavia, il successo richiede una preparazione attenta: le aziende devono definire chiaramente gli obiettivi di test, selezionare la Sandbox più appropriata e interagire in modo proattivo con le autorità.

Per le autorità, offrono preziose informazioni sul funzionamento di tecnologie emergenti, promuovendo una governance basata su evidenze concrete.

[1] Commissione Europea, “Better regulation toolbox”, 2023, p. 599 ss., disponibile presso: https://commission.europa.eu/law/law-making-process/better-regulation/better-regulation-guidelines-and-toolbox_en.

[2] In Italia, la regione Toscana è stata la prima ad approvare fornmalmente una sandbox locale per AI e cybersecurity, all’art. 25 della Legge Regionale 9 Dicembre 2024, n. 57, sulla innovazione digitale nel territorio regionale e tutela dei diritti di cittadinanza digitale, disponibile presso: https://raccoltanormativa.consiglio.regione.toscana.it/articolo?urndoc=urn:nir:regione.toscana:legge:2024-12-09;57&dl_t=text/xml&dl_a=y&dl_id=&pr=idx,0;artic,0;articparziale,1&anc=art25

[3] Davide Baldini e Kate Francis, “AI Regulatory Sandboxes between the AI Act and the GDPR: the role of Data Protection as a Corporate Social Responsibility”, ITASEC 2024: The Italian Conference on CyberSecurity, disponibile presso: https://ceur-ws.org/Vol-3731/paper07.pdf.

[4] Il Cybersecurity National Lab ha di recente pubblicato un libro bianco sulle Sandboxes, che analizza le sfide legali e operative, fornendo raccomandazioni per le autorità di controllo: Bagni F. e Seferi F. (a cura di) (2025), Regulatory sandboxes for AI and Cybersecurity. Questions and answers for stakeholders. CINI’s Cybersecurity National Lab. ISBN: 9788894137378. Disponibile al seguente link: https://cybersecnatlab.it/white-paper-on-regulatory-sandboxes/.

[5] Enza Cirone “Gli spazi di sperimentazione normativa nell’Unione europea: regolamentare l’innovazione tra principi e prassi applicative”, in Rivista Italiana di Informatica e Diritto, 2025, vol. 7(1), disponibile presso https://doi.org/10.32091/RIID0211.