Log in
Sign up
Colorado AI Act compliance, a Rocky Mountain peak in sumi-e ink

Sections

Colorado AI Act (SB 26-189): cosa richiede la conformità ADMT nel 2027

In sintesi

  • Nel 2026 il Colorado ha riscritto la propria legge sull’IA: il SB 26-189 abroga e riémana il testo originario del 2024 (SB 24-205) ed entra in vigore il 1° gennaio 2027.
  • La legge ora disciplina le tecnologie decisionali automatizzate (ADMT) impiegate in decisioni rilevanti, non più i sistemi di IA ad alto rischio.
  • I deployer assumono quattro obblighi operativi: informativa preventiva, spiegazione entro 30 giorni in caso di esito sfavorevole, accesso e rettifica dei dati e riesame umano.
  • La revisione ha eliminato gli obblighi originari di valutazione d’impatto, di programma di gestione del rischio e di dovere di diligenza contro la discriminazione algoritmica.
  • Quegli obblighi soppressi continuano a valere per molte organizzazioni attraverso altre normative, perciò un programma di governance dell’IA funzionante resta la base razionale prima del 2027.
Conformità al Colorado AI Act, una vetta delle Montagne Rocciose a inchiostro sumi-e

Cos’è oggi il Colorado AI Act: dal SB 24-205 al SB 26-189

Quando, nel maggio 2024, il governatore Jared Polis ha promulgato il SB 24-205, il Colorado è diventato il primo Stato americano a dotarsi di una legge ampia e trasversale sull’intelligenza artificiale. Quel testo originario imponeva obblighi gravosi agli sviluppatori e ai deployer di sistemi di IA ad alto rischio, tra cui un dovere di ragionevole diligenza per proteggere i consumatori dalla discriminazione algoritmica.

La legge non è mai entrata in applicazione in quella forma. La data di efficacia è stata rinviata due volte e, all’inizio del 2026, un tribunale ne ha sospeso temporaneamente l’attuazione a seguito di un ricorso di xAI sostenuto dal Dipartimento di Giustizia statunitense. Un gruppo di lavoro composto da legislatori, dall’ufficio del governatore e dalla procura generale ha negoziato un testo sostitutivo, pubblicando una proposta nel marzo 2026.

Il risultato si chiama SB 26-189, intitolato Automated Decision-Making Technology. Anziché modificare la legge esistente, la abroga e la riémana. Secondo il fascicolo legislativo della Colorado General Assembly, il testo è stato presentato il 1° maggio 2026, approvato dal Senato il 7 maggio e dalla Camera il 9 maggio, quindi promulgato il 14 maggio 2026. Le disposizioni generali hanno effetto dal 1° gennaio 2027.

La lezione pratica è netta: gran parte delle analisi pubblicate sulla prima legge descrive obblighi che non esistono più. Ogni organizzazione che costruisce un programma di governance dell’IA attorno al Colorado deve partire dal testo riémanato, non dalla versione del 2024.

Dall’alto rischio alla tecnologia decisionale automatizzata

Il cambiamento centrale riguarda l’impianto concettuale. La legge originaria disciplinava i sistemi di IA ad alto rischio. Il testo riémanato disciplina le tecnologie decisionali automatizzate coperte, che lo studio Crowell and Moring descrive come qualsiasi sistema che ricorre al calcolo o all’apprendimento automatico per trattare dati personali e influenzare in modo sostanziale una decisione rilevante.

Questa definizione è più ampia di quanto sembri. Abbandona il precedente requisito secondo cui il sistema doveva dedurre output a partire da input; di conseguenza, persino un semplice strumento basato su regole, che verifica se una risposta rientra in un intervallo accettabile, può ricadere nell’ambito quando incide su una decisione coperta.

Una decisione rilevante è una decisione che produce un effetto giuridico significativo, o analogamente importante, sull’accesso di un consumatore a istruzione, lavoro, alloggio, servizi finanziari o creditizi, assicurazione, assistenza sanitaria o servizi pubblici essenziali, oppure sul loro costo o sulle loro condizioni. Questi ambiti sono stati ripresi dalla legge originaria.

Il testo riémanato elenca anche ciò che resta fuori dall’ambito. Le funzioni ordinarie come la pianificazione, lo smistamento dell’assistenza clienti, la pubblicità, le raccomandazioni di prodotto, la ricerca e la moderazione dei contenuti sono escluse, così come firewall, filtri antispam, correttori ortografici, hosting web, calcolatrici, database, fogli di calcolo e strumenti che si limitano a riassumere o presentare informazioni per una revisione umana. Mappare i propri sistemi rispetto a questi confini è il primo passo verso un inventario dei sistemi di IA attendibile.

Chi è interessato: sviluppatori, deployer e presunzioni di conformità settoriali

La legge mantiene la struttura a due ruoli adottata dalla maggior parte dei regimi recenti. Lo sviluppatore crea o modifica in modo sostanziale una ADMT coperta. Il deployer la utilizza in Colorado per influenzare decisioni rilevanti riguardanti i residenti. Una stessa impresa può rivestire entrambi i ruoli, per esempio quando crea un modello di selezione interno e lo gestisce in proprio.

Il testo riémanato ha modificato il regime delle esenzioni. La versione del 2024 prevedeva ampie esclusioni condizionate per i soggetti già regolati a livello federale. Come osserva l’analisi del Consumer Finance Monitor, la riscrittura restringe queste esenzioni generali, ampliando così l’ambito, e le sostituisce con percorsi mirati di presunzione di conformità.

Tali percorsi riconoscono i controlli che alcuni settori regolati già applicano. Gli assicuratori che rispettano le regole del Colorado sulla discriminazione algoritmica sono considerati conformi, salvo che per le proprie decisioni in materia di lavoro. Le entità sanitarie soggette a HIPAA sono in larga parte fuori ambito, eccetto le decisioni rilevanti sul lavoro e quelle sull’assistenza finanziaria. I dispositivi medici e i prodotti farmaceutici regolati dalla FDA sono esclusi. I concedenti di credito che già inviano avvisi di azione sfavorevole ai sensi di ECOA e FCRA possono avvalersi di tali procedure per soddisfare l’obbligo informativo, e gli istituti conformi a FERPA sono considerati conformi per l’informativa e il riesame umano quando dispongono già di processi di rettifica e revisione. Stabilire quale percorso si applichi a ciascun sistema rientra nella documentazione della vostra governance dell’IA.

Cosa devono fare i deployer: i quattro obblighi operativi

I deployer assumono gli obblighi che i consumatori noteranno di più. Il Colorado AI Act riémanato ne stabilisce quattro, descritti in termini operativi da Norton Rose Fulbright.

Un’informativa chiara e visibile

Prima che una ADMT coperta venga impiegata per influenzare una decisione rilevante, il deployer deve informare il consumatore in modo chiaro e visibile che la tecnologia è in uso. Si tratta di un obbligo di trasparenza preventivo, non di una spiegazione successiva.

La spiegazione entro 30 giorni in caso di esito sfavorevole

Quando una decisione coperta produce un esito sfavorevole, il deployer ha 30 giorni per fornire una spiegazione in linguaggio chiaro. Essa deve illustrare la decisione, descrivere il ruolo svolto dalla ADMT e indicare alla persona come esercitare i propri diritti. Questo obbligo è il cuore operativo della legge, perché costringe i deployer a sapere quali sistemi hanno determinato quali decisioni.

Accesso e rettifica dei dati personali

Gli interessati possono chiedere di consultare i dati personali utilizzati in una decisione e di rettificare quelli inesatti, nei limiti della ragionevolezza commerciale. Il deployer deve quindi essere in grado di risalire ai dati all’origine di un determinato output.

Riesame umano e riconsiderazione

Dopo una decisione sfavorevole, una persona può chiedere un riesame umano effettivo e una riconsiderazione, anche qui nei limiti della ragionevolezza. Sono due diritti distinti: il deployer deve poter riesaminare un caso e modificarne davvero l’esito. Integrare questi canali di richiesta nei processi è molto più semplice quando una piattaforma di governance dell’IA tiene già traccia di ogni sistema e delle sue decisioni.

Cosa devono fare gli sviluppatori: gli obblighi documentali

Gli sviluppatori sostengono un carico più leggero ma preciso, incentrato sulla documentazione. A partire dal 1° gennaio 2027, lo sviluppatore deve fornire ai deployer la documentazione tecnica necessaria a un uso responsabile della ADMT coperta. Tale corredo comprende gli usi previsti, le categorie di dati personali impiegate nell’addestramento, i limiti e i rischi noti, nonché istruzioni che consentano un uso appropriato e una supervisione umana.

Lo sviluppatore deve inoltre informare i deployer di ogni aggiornamento o modifica sostanziale, poiché un cambiamento del modello può alterarne i rischi e l’uso corretto. Il testo riémanato mantiene la conservazione dei registri per tre anni: gli sviluppatori dovrebbero quindi preservare la documentazione e lo storico delle modifiche che provano che cosa abbia fatto un sistema, e quando.

Per uno sviluppatore, la via più lineare consiste nel trattare la documentazione come un elemento del prodotto e non come un adempimento tardivo. Schede di modello, sintesi dei dati e istruzioni d’uso che vivono accanto al sistema rendono ordinario il passaggio ai deployer e mantengono i registri della vostra governance dell’IA pronti per un audit.

Cosa ha eliminato il Colorado AI Act, e perché conta ancora

Le modifiche più incisive sono soppressioni. Il Colorado AI Act riémanato ha rimosso tre obblighi che definivano la legge del 2024: il programma obbligatorio di gestione del rischio, la valutazione d’impatto e il dovere di ragionevole diligenza contro la discriminazione algoritmica. Ha inoltre eliminato la revisione annuale e la sintesi pubblica. Crowell and Moring descrive il dovere di diligenza come la principale fonte di esposizione al rischio nel regime precedente.

Sarebbe un errore leggere queste soppressioni come un permesso a smettere di governare l’IA. Quei doveri hanno lasciato il diritto del Colorado, non l’intero quadro di conformità. Il regolamento europeo sull’IA continua a imporre ai deployer di sistemi ad alto rischio una valutazione d’impatto sui diritti fondamentali ai sensi del suo articolo 27, i cui elementi sono illustrati nella guida FRIA di ECNL e dell’Istituto danese per i diritti umani. Il quadro di gestione del rischio dell’IA del NIST continua a definire la gestione del rischio come la base di un’IA affidabile. Altri Stati americani disciplinano gli stessi sistemi, e le leggi federali antidiscriminazione e di tutela dei consumatori si applicano ancora alle decisioni automatizzate.

La risposta razionale consiste nel mantenere i controlli che il Colorado ha eliminato, perché restano il modo più economico per soddisfare contemporaneamente tutti gli altri regimi e per farsi trovare pronti alle regole della procura generale attese nel 2027. Una valutazione d’impatto, i test sui bias e un programma di rischio documentato non sono più prescrizioni del Colorado, ma restano il modo per dimostrare che una ADMT coperta è equa, accurata e difendibile.

Come prepararsi prima del 1° gennaio 2027: un piano operativo

La finestra di conformità è breve e i nuovi processi rivolti al consumatore richiedono mesi di costruzione. I passi seguenti trasformano la legge in un piano d’azione.

  1. Costruite un inventario delle ADMT. Censite ogni sistema che ricorre al calcolo o all’apprendimento automatico per trattare dati personali e incidere su una decisione coperta. Un inventario dei sistemi di IA attendibile è la base di ogni altro passo.
  2. Classificate ciascun sistema. Stabilite se si tratta di ADMT coperta, se per esso siete sviluppatore o deployer e se si applica un percorso settoriale di presunzione di conformità.
  3. Predisponete il flusso informativo. Aggiungete un’informativa chiara e visibile ovunque una ADMT coperta tocchi una decisione rilevante.
  4. Costruite il processo di spiegazione a 30 giorni. Create un modello e nominate un responsabile, così che le spiegazioni partano in tempo e descrivano fedelmente il ruolo della ADMT.
  5. Collegate i canali di rettifica e riesame umano. Offrite ai consumatori una via per consultare e correggere i dati e per chiedere un riesame umano effettivo, e date ai vostri team il potere di cambiare un esito.
  6. Mantenete una base di governance volontaria. Conservate valutazioni d’impatto, test sui bias e un programma di rischio anche se il Colorado non li impone più.
  7. Raccogliete la documentazione degli sviluppatori. Se utilizzate sistemi di terzi, esigete la documentazione tecnica ora richiesta agli sviluppatori.
  8. Assegnate responsabili. Nominate una persona per ciascun obbligo, affinché la conformità non si areni alla pubblicazione delle regole.

Un’unica piattaforma di governance dell’IA, che riunisca inventario, valutazioni e registrazioni delle decisioni, trasforma questo elenco da corsa contro il tempo in un processo ripetibile.

Il Colorado nel panorama normativo statunitense ed europeo

Il Colorado AI Act non è più isolato. Il Texas ha approvato il Responsible Artificial Intelligence Governance Act, lo Utah il proprio Artificial Intelligence Policy Act e la California regole sulle decisioni automatizzate tramite la sua autorità per la privacy. Il regolamento europeo sull’IA resta il regime più completo, con livelli di rischio, valutazioni di conformità e valutazioni d’impatto per i sistemi ad alto rischio.

Dopo la riscrittura, il Colorado si colloca all’estremità più leggera di questo spettro. È ormai soprattutto una legge di trasparenza e contestabilità per il consumatore, non un regime completo di governance del rischio. Per gli operatori multi-statali e internazionali, il Colorado costituisce dunque un pavimento, non un soffitto. Un programma progettato sullo standard europeo, più severo, copre di norma il Colorado con un certo margine: per questo allineare la conformità al regime applicabile più esigente è spesso la scelta efficiente. Le nostre altre analisi sulla governance dell’IA seguono l’evoluzione di questi regimi.

Domande frequenti

Quando entra in vigore il Colorado AI Act? Il Colorado AI Act riémanato, il SB 26-189, entra in vigore il 1° gennaio 2027. La procura generale deve completare la propria attività regolamentare obbligatoria entro la stessa data, perciò i requisiti dettagliati di informativa e di diritti dei consumatori saranno definiti poco prima della scadenza di conformità.

Quali sono le sanzioni previste dal Colorado AI Act? La procura generale del Colorado applica la legge in via esclusiva e tratta le violazioni come pratiche commerciali ingannevoli ai sensi del Colorado Consumer Protection Act. Il testo non fissa sanzioni pecuniarie distinte e i dettagli sono attesi nelle regole dell’autorità. Per molte violazioni vale un termine di sessanta giorni per la regolarizzazione, ma non per quelle consapevoli o ripetute, e tale diritto di rimedio si estingue il 1° gennaio 2030.

Esiste un’azione giudiziaria privata? No. Il testo riémanato precisa espressamente che non crea un’azione privata: solo la procura generale può avviare procedimenti. I privati possono comunque agire sulla base di altre leggi, per esempio le norme antidiscriminazione esistenti.

Come incide il Colorado AI Act sulle decisioni di lavoro? Il lavoro è un ambito coperto: usare una ADMT per influenzare assunzioni, promozioni o licenziamenti attiva gli obblighi del deployer, ossia informativa preventiva, spiegazione entro 30 giorni, rettifica dei dati e riesame umano. Gli assicuratori e le entità soggette a HIPAA perdono le proprie presunzioni di conformità proprio per le loro decisioni rilevanti in materia di lavoro.

In che cosa il SB 26-189 differisce dalla legge originaria? Il SB 24-205 originario disciplinava i sistemi di IA ad alto rischio e imponeva un programma di gestione del rischio, valutazioni d’impatto e un dovere di ragionevole diligenza contro la discriminazione algoritmica. Il SB 26-189 ricentra la legge sulla tecnologia decisionale automatizzata ed elimina questi tre obblighi, sostituendoli con quattro doveri rivolti al consumatore: informativa, spiegazione, rettifica e riesame umano.

Quali imprese sono esentate? Non esiste un’esenzione generale per le piccole imprese. La legge prevede percorsi settoriali di presunzione di conformità per assicuratori, entità sanitarie soggette a HIPAA, prodotti regolati dalla FDA, concedenti di credito ai sensi di ECOA e FCRA e istituti conformi a FERPA, in genere per le attività che tali regimi federali già disciplinano. Le loro decisioni in materia di lavoro restano di norma nell’ambito.

Conclusione

Il Colorado AI Act del 2026 è una legge più leggera di quella approvata dal Colorado nel 2024, ma più leggera non significa assente. Il SB 26-189 esige ancora che le organizzazioni sappiano quali sistemi prendono decisioni rilevanti, avvisino le persone quando una ADMT è in uso, spieghino gli esiti sfavorevoli e offrano un vero secondo esame umano. Gli obblighi eliminati dal Colorado non sono spariti dal resto del mondo regolatorio: chi nel 2027 sarà sereno sarà chi non avrà mai smesso di governare la propria IA. Cominciate da un inventario delle vostre decisioni automatizzate, poi costruite il programma di governance una sola volta e collegatelo a ogni regime applicabile. Scoprite come una piattaforma di governance dell’IA possa sostenere questo lavoro.

Marco Conti

Colorado AI Act (SB 26-189): cosa richiede la conformità ADMT nel 2027

Il Colorado AI Act è stato riscritto dal SB 26-189, in vigore dal 1° gennaio 2027. Cosa richiede la norma ADMT a sviluppatori e deployer.

Framework di gestione del rischio NIST: dai sistemi all’IA

Il framework di gestione del rischio del NIST spiegato: i sette passaggi dell'RMF, le norme SP 800-37 e 800-53 e come l'AI RMF lo estende all'intelligenza artificiale.

Intelligenza artificiale etica: un modello operativo verificabile

L'intelligenza artificiale etica funziona solo come modello operativo verificabile: ogni principio diventa un obbligo, un responsabile, una prova.

Che cos’è un frontier model? Definizione, rischi e regole

Un frontier model è la classe di IA più avanzata. Come si distingue dai foundation model e dagli LLM, e come il regolamento sull'IA ne governa il rischio.

Valutazione d’impatto sulla privacy: PIA, DPIA, VIDF

Valutazione d'impatto sulla privacy: cos'è un PIA, differenze con la DPIA (art. 35 GDPR) e quando il regolamento IA impone una valutazione dei diritti fondamentali.

Framework di gestione del rischio NIST: guida per l’IA

Il framework di gestione del rischio del NIST (SP 800-37), i suoi sette passaggi e il legame con il NIST AI RMF e il regolamento europeo sull'IA.