Nel Regno Unito la generative AI sta entrando nel lavoro ordinario delle autorità di vigilanza digitale. Il Digital Regulation Cooperation Forum ha pubblicato i risultati di una ricognizione sull’uso di questi strumenti da parte di quattro regolatori: Competition and Markets Authority, Financial Conduct Authority, Information Commissioner’s Office e Ofcom.
Il dato chiave è il passaggio dai progetti pilota a un impiego più regolare in attività di analisi regolatoria, supervisione ed enforcement. Nel corso dell’ultimo anno il lavoro congiunto si è concentrato su governance, progettazione dei prompt, individuazione dei danni ai consumatori e test degli strumenti prima di un’adozione più ampia. Ne emerge un uso pragmatico dei modelli linguistici e dei sistemi collegati, con un’attenzione particolare alla costruzione di strumenti interni e non solo all’acquisto di prodotti già pronti.
Secondo i risultati pubblicati, ciascuna autorità membro ha testato, sviluppato o distribuito strumenti di AI generativa. Al personale è stato anche dato accesso a software di produttività basati su AI, in un percorso più ampio per aumentare familiarità operativa e definire regole d’uso. Il programma è stato sostenuto da sei sessioni di approfondimento tra regolatori, dedicate a rischi come allucinazioni e bias, miglioramento degli output, pratiche di design online dannose e affidabilità dei sistemi per compiti regolatori specifici.
La conclusione centrale riguarda la governance. In un contesto in cui un errore può incidere su decisioni di enforcement o sulla protezione dei consumatori, gli strumenti di AI richiedono supervisione proporzionata, responsabilità chiare e revisione umana. La Financial Conduct Authority viene indicata come esempio di approccio strutturato, con policy interne su gestione dei dati, frontier AI e privacy, affiancate da formazione del personale sui sistemi di gestione del rischio.
Alcuni degli esempi più concreti riguardano il monitoraggio di siti e app alla ricerca di pratiche di design dannose. Tra queste rientrano drip pricing, indicazioni fuorvianti sulla scarsità, prezzi di riferimento e pratiche cosiddette sludge, che rendono più difficile per i consumatori cancellare abbonamenti o orientarsi tra termini e condizioni. La CMA ha sviluppato un sistema di agentic AI capace di sperimentare e registrare su larga scala il percorso del consumatore, navigando servizi online in modo simile a come gli utenti incontrano prezzi, messaggi e scelte di design.
Questo approccio ha già alimentato attività di enforcement: l’autorità ha aperto indagini su otto imprese e inviato lettere di consulenza ad altre 100 aziende. Anche la FCA ha testato l’uso di grandi modelli linguistici per gli sludge audit, con l’obiettivo di ridurre il lavoro manuale necessario a ricreare i percorsi dei clienti sui siti web. Il pilota ha mostrato che i modelli possono svolgere una parte ampia dell’audit, ma con limiti espliciti: servono prompt più accurati, le pagine non vengono sempre interpretate correttamente e la revisione umana resta necessaria.
Nel perimetro della sicurezza online, Ofcom utilizza audit comportamentali per verificare se i servizi rispettano gli obblighi previsti dall’Online Safety Act. Le verifiche coprono processi di registrazione, funzioni che influenzano il tempo trascorso su una piattaforma, strumenti legati al sentiment negativo e meccanismi di segnalazione. In parallelo, Information Commissioner’s Office e CMA hanno lavorato insieme sul design dannoso nei mercati digitali, mentre l’ICO ha monitorato su larga scala la conformità nell’uso dei cookie non essenziali.
Un altro filone riguarda la valutazione della qualità dei sistemi prima della distribuzione. Diversi regolatori hanno creato framework interni minimi che definiscono il compito da supportare, fissano barriere operative e misurano accuratezza, utilità e modalità di errore evidenti. Gli output vengono confrontati con risposte di riferimento usando domande di test, documenti sorgente e criteri predefiniti come accuratezza fattuale, sostanza e stile delle citazioni. Anche la retrieval-augmented generation, basata su documenti interni approvati, viene usata per ancorare le risposte a materiale verificato, pur senza eliminare del tutto il rischio di allucinazioni.
Il quadro complessivo è quello di autorità che usano l’AI per ridurre tempi e costi delle indagini senza rimuovere il giudizio umano dal processo. Nella protezione dei consumatori e nella sicurezza online, la tecnologia viene posizionata come strumento per monitorare grandi numeri di servizi e individuare pattern difficili da cogliere manualmente. La cooperazione tra regolatori ha accelerato l’adozione, ridotto duplicazioni e favorito approcci più coerenti tra i quattro organismi.