Le regulatory sandbox testano tecnologie innovative come FinTech, intelligenza artificiale e blockchain, in deroga alle norme. Sono ambienti protetti e di prova per testare progetti senza impatti sull’ambiente reale.

Ma come applicarle in modo corretto per una sperimentazione efficace e quali sono i costi associati alla implementazione di un simile ambiente di test?

Ne abbiamo parlato con Andrea Simoncini, professore di Diritto Costituzionale presso Università degli Studi di Firenze, e con Fabio Seferi, PhD CySec IMT Lucca, che, insieme, hanno collaborato alla realizzazione del white paper dedicato alla regulatory sandbox per l’AI e la Cyber security.

Cosa sono le regulatory sandbox come spazi di sperimentazione

Il prof. Simoncini fornisce una definizione introduttiva: “Il termine ‘sandbox’ in inglese indica la ‘scatola della sabbia’, quella in cui, nei giardini o nei parchi, giocano i bambini. Traslato nel mondo del diritto della tecnologia, l’espressione ‘regulatory sandbox’ sta a significare la costruzione di uno spazio ‘protetto’ in cui chi produce tecnologia può sperimentare nuovi prodotti o soluzioni innovative. Nella sandbox, infatti, la sperimentazione avviene in accordo con i regolatori che debbono far rispettare le normative”.

Nel white paper questo aspetto è sottolineato con particolare enfasi “le regulatory sandbox si sono affermate come un mezzo efficace per supportare lo sviluppo di normative in settori chiave, fornendo un ambiente controllato per testare tecnologie all’avanguardia sotto la supervisione delle autorità di regolamentazione”.

Uno degli editor del white paper, Fabio Saferi, chiarisce in aggiunta, che “una impresa che voglia innovare, può trovare nella sandbox un ambiente favorevole in cui testare i propri progetti produttivi, aiutata dalla presenza di attori come le università e le stesse autorità incaricate del controllo, con le quali può dialogare e confrontarsi”.

“Così si ottengono due risultati importantissimi allo stesso tempo: il primo, lato imprese, poiché si rende più facile produrre innovazione e si semplificano gli adempimenti, potendosi muovere in un regime regolatorio più flessibile, ottenendo anche specifiche deroghe normative per la durata della sperimentazione; il secondo, lato delle autorità pubbliche incaricate di far rispettare le regole, poiché si ha percezione molto più chiara e concreta di cosa voglia dire far rispettare le regole e così acquisire informazioni importantissime sull’impatto effettivo delle leggi (il cosiddetto regulatory learning, o apprendimento normativo)”.

L’esigenza di una regolamentazione appropriata alle tecnologie

Nel white paper è ricordato come “le regulatory sandbox possano contribuire a trovare un equilibrio tra la promozione dell’innovazione e la tutela degli interessi sociali, come la privacy, la sicurezza e la sicurezza informatica e possono anche svolgere un ruolo chiave nel rafforzare la fiducia nella tecnologia, anticipando possibili debolezze nelle normative e ostacoli nella loro applicazione”.

Su questo tema la stessa Presidente della Commissione europea, Ursula von der Leyen, ha sottolineato l’esigenza di regole chiare per potersi fidare della tecnologia ma anche per regolamentare chi voglia operare in Europa.

In particolare, ha spiegato come “il rischio di un’eccessiva e non coordinata o poco chiara regolamentazione possa diventare un onere indebito e, in ultima analisi, uno svantaggio competitivo per i cittadini e soprattutto per le aziende europee o straniere che desiderano operare in Europa” concludendo che “si deve essere molto chiari su questo punto, il problema non è la regolamentazione: la questione non è se regolamentare, ma come”.

Ecco, quindi, che le regulatory sandoboxes rispondono a questa esigenza. Il Consiglio europeo le analizzò scrivendo una pubblicazione specifica, già dal 2020 come mezzo normativo favorevole all’innovazione, a prova di futuro e resiliente e in grado di gestire le sfide dirompenti dell’era digitale.

Esempi di regulatory sandbox e del processo di sperimentazione

Per capire con esattezza in cosa consista uno spazio di sperimentazione normativa il prof. Simoncini porta un esempio già esistente in Italia: “E’ quello dei servizi finanziari in cui è stata attivata una regulatory sandbox con il DM Economia e Finanze n. 100 del 2021. Nella sandbox gli operatori FinTech hanno potuto testare, per un periodo di tempo limitato, prodotti e servizi tecnologicamente innovativi nei settori bancario, finanziario e assicurativo. La sperimentazione in casi come questo avviene in costante dialogo con le autorità di vigilanza, rispettivamente, con Banca d’Italia, CONSOB e IVASS, e può prevedere l’applicazione di un regime semplificato”.

“In tale contesto, le autorità di vigilanza hanno la possibilità di osservare direttamente l’evoluzione tecnologica e, così, individuare, sulla base dell’esperienza concreta, eventuali interventi normativi adeguati a sostenerne lo sviluppo, evitando, prima che vengano messi sul mercato, nuovi rischi per il consumatore. A loro volta gli operatori possono sperimentare in un ambiente più flessibile, soprattutto potendo valutare la fattibilità operativa di un determinato prodotto o servizio, in ottica di business learning oltre che di regulatory learning”.

In termini di processo, ovvero della sequenza di passi per realizzarle in pratica, è Fabio Seferi a chiarire che “il processo di sperimentazione ‘tipo’ prevede alcune fasi principali, che sono condivise da buona parte delle sandbox esistenti: (a) una prima fase di bando e selezione, nella quale per gli innovatori è possibile fare domanda di partecipazione e per le autorità che effettuano la valutazione delle candidature, la scelta sulla base di criteri definiti (tali criteri possono includere il livello di innovazione del progetto, l’ interesse pubblico, o la maturità del prodotto); (b) una fase di vera e propria partecipazione alla sandbox, successiva all’ammissione formale (in tale fase vengono fatti i test e la sperimentazione); (c) una fase di valutazione finale ed uscita dalla sandbox (tale fase include anche la formalizzazione delle lezioni apprese durante la sperimentazione, elementi utili per il successivo adeguamento delle norme vigenti laddove ritenuto necessario)”.

Non devono essere dimenticate alcune specificità avverte il prof. Simoncini “questa procedura, con poche varianti, si applica più o meno a tutti i settori tecnologici. Tuttavia, è necessario utilizzare approcci, strumenti e salvaguardie diverse a seconda delle specificità: ad esempio, la sperimentazione di shuttle automatizzati per il trasporto passeggeri in un determinato percorso avrà bisogno di test diversi dalla valutazione di un nuovo strumento di machine learning per la prevenzione delle frodi in ambito bancario (sebbene entrambi possano avere alla base l’utilizzo dell’intelligenza artificiale per il proprio funzionamento)”.

Come costituire una regulatory sandbox

Per fornire concretezza al processo di costituzione di uno spazio di sperimentazione normativa è bene tenere presente che “benché le sandbox siano strumenti flessibili e spesso varino da paese a paese, tendono ad avere alcune caratteristiche comuni”, avvisa il PhD Seferi chiarendo anche che “le sandbox hanno bisogno di un base legale, ossia di un atto normativo (che può assumere forme diverse, dal regolamento europeo, alla legge nazionale o regionale, fino al decreto amministrativo delle autorità competenti) che le istituisca formalmente e ne preveda anche le responsabilità di governance e vigilanza in capo ad una determinata autorità competente o più di una”.

Non da meno è la considerazione anche del settore tecnologico coinvolto perché, precisa il ricercatore “sulla base di queste specificità variano le autorità da coinvolgere e le risorse di conoscenza e specializzazione da attivare”. In ultimo ma non meno importante “la sperimentazione e il testing, nello specifico, dipendono molto dal progetto ammesso al sandbox e da quelle che sono le attività concordate in quello che viene generalmente chiamato ‘piano di testing della sandbox’: un documento che contiene gli obiettivi, indicatori, metodologie, salvaguardie ecc. della sperimentazione”.

Infine, il tema delle potenziali deroghe potrebbe rendersi necessario come chiarisce il prof. Simoncini “un’ulteriore variabile è se la sandbox consente o meno per le organizzazioni ammesse di poter richiedere deroghe a specifiche norme, di poter operare, quindi per la durata della sperimentazione, in un regime semplificato. Questo può rendersi necessario in tutte quelle situazioni dove l’attuale quadro normativo non prevede, oppure vieta, l’utilizzo di una determinata tecnologia per, ad esempio, erogare un servizio”.

Un apparente paradosso sulle regulatory sandbox

Se le regole ancora non fossero finalizzate, ci si potrebbe domandare a che tipo di regole devono sottostare prodotti o servizi che si sperimentano nella regulatory sandboxes ovvero, è lecito il dubbio se nasca prima un’idea di regola su cui fare la sperimentazione o data la sperimentazione si considerano regole ad hoc.

Il prof. Simoncini fa notare come “in Europa la grande novità su questo tema è che oggi, finalmente, le regole ci sono! Certo, non sono ancora del tutto operative perché ancora sono in fase di attuazione e completamento, ma oggi esiste il ‘triangolo europeo sandbox’ composto da Interoperable Europe Act, l’AI Act e il Cyber Resilience Act. Tre regolamenti già entrati in vigore, anche se alcune delle loro previsioni prevedono ancora una applicazione graduale e progressiva nei prossimi anni”. 

Insomma, le sandbox sono previste nelle norme europee. Ma per citare un esempio specifico “in materia di intelligenza artificiale, l’AI Act prevede che le sandbox nazionali dovranno essere istituite entro il 2 agosto 2026 e il focus iniziale sarà proprio il consenso a testare in un contesto controllato l’applicazione dei requisiti della norma, in particolare per quanto riguarda i cosiddetti sistemi ad alto rischio”. 

Un esempio specifico può ulteriormente chiarire i dubbi: “Pensiamo ad un settore non ancora regolato ma ad altissima innovazione: le tecnologie quantum. In questo caso, la sperimentazione può essere determinante per le autorità competenti nazionali ed europee, per comprendere meglio il funzionamento prima della formulazione delle politiche pubbliche o della regolazione e così evitare di porre barriere od ostacoli all’innovazione”.  Un ulteriore possibile esempio è l’utilizzo di regulatory sandbox nel contesto Energy.

In generale, conclude Seferi, “gli stati membri debbono rapidamente rendersi conto della importanza decisiva di dotarsi delle regole e delle istituzioni necessarie ad attuale queste nuove norme europee. Questo non vuol dire, però, che occorre sempre aspettare un regolamento europeo per istituire una sandbox”.

Valutazioni di carattere economico della sperimentazione

A questo punto l’ultimo tassello per valutare la partecipazione ad una sperimentazione di legal sandbox è il tema dei costi, per una corretta quantificazione e per capire chi se ne debba fare carico fra i diversi stakeholder. Il docente conferma che la fase “di sperimentazione comporta dei costi” e ne enumera tipi e modalità di ripartizione fra gli interessati: “primo costo tra tutti, quello delle risorse umane impegnate nelle sandbox. Ciò, sia sul versante delle autorità pubbliche coinvolte, sia per le organizzazioni – pubbliche o private – che partecipano al sandbox”; una seconda voce riguarda la componente tecnologica “nei casi più complessi, che possono comportare anche valutazioni tecniche, c’è inevitabilmente un costo legato all’infrastruttura, agli strumenti e alle competenze necessarie per effettuare i test”.

Ma è in base allo schema di sandbox che si ripartiscono i costi. “Schemi diversi di sandbox possono richiedere equilibri diversi nella ripartizione dei costi. Il quadro dell’AI Act, ad esempio, prevede una serie di facilitazioni per le piccole e medie imprese (PMI) e le start-up. In particolare, per quelle che con sede legale o una filiale nell’Unione europea (UE), le quali possono godere di un accesso prioritario alle sandbox. In aggiunta, a PMI e start-up deve essere garantito altresì l’accesso gratuito alle sandbox, fatti salvi costi straordinari, il che vuole dire che ci deve essere un sostegno pubblico per questo tipo di sandbox”.