L’intesa raggiunta nelle scorse ore a Bruxelles sullAI Act rappresenta uno snodo importante per il mercato europeo dell’intelligenza artificiale, soprattutto per le aziende che stanno cercando di integrare tecnologie generative e sistemi decisionali avanzati senza esporsi a un quadro regolatorio ancora incerto. L’intento delle istituzioni europee resta sempre quello di presidiare i rischi dell’AI, ma con una scansione temporale più realistica e con correttivi pensati per evitare che il costo della compliance soffochi la capacità competitiva dell’industria continentale.

Al centro dell’accordo tra Consiglio e Parlamento EU c’è il capitolo più delicato riguardante i sistemi di intelligenza artificiale classificati come ad alto rischio. La Commissione aveva già suggerito di allungare la finestra di applicazione delle regole, riconoscendo implicitamente che non avrebbe senso pretendere piena conformità su larga scala se standard tecnici, strumenti di valutazione e linee guida operative non sono ancora pronti. I co-legislatori hanno recepito questa impostazione e hanno fissato due nuove date che ridisegnano la roadmap regolatoria: il 2 dicembre 2027 per i sistemi high-risk standalone e il 2 agosto 2028 per quelli incorporati nei prodotti.

Per le imprese europee, e in particolare per vendor software, system integrator, produttori industriali e operatori di filiera, si tratta di un alleggerimento concreto. Il rinvio rappresenta infatti una presa d’atto delle complessità industriali e organizzative legate all’adozione dell’AI conforme per design. Adeguare un sistema ad alto rischio significa intervenire su documentazione, audit trail, governance dei dati, gestione del rischio, trasparenza, supervisione umana e procedure di monitoraggio post-market. In un ecosistema frammentato come quello europeo, senza una base tecnica armonizzata, il rischio era quello di moltiplicare costi ricorrenti, interpretazioni divergenti e ritardi negli investimenti.

Accanto al rinvio delle scadenze, l’accordo introduce una serie di aggiustamenti che meritano attenzione perché incidono direttamente sul lavoro di compliance. Uno dei passaggi più rilevanti è il ripristino dell’obbligo di registrazione nel database europeo dei sistemi ad alto rischio, anche nei casi in cui il fornitore ritenga che il proprio sistema possa beneficiare di un’esenzione dalla classificazione. È un elemento che sul piano operativo aumenta la tracciabilità, mentre sul piano regolatorio limita il rischio di autoqualificazioni troppo elastiche da parte dei provider.

Un altro punto sensibile riguarda il trattamento delle categorie particolari di dati personali per individuare e correggere bias algoritmici. L’accordo torna allo standard di “stretta necessità”, restringendo quindi il perimetro di utilizzo di dati sensibili in questo ambito. Per chi sviluppa o implementa modelli in contesti regolati, dal recruiting alla valutazione del credito fino alla sanità digitale, questa formulazione impone una disciplina più rigorosa e alza l’asticella della giustificazione documentale. In sostanza, l’Europa conferma che la mitigazione dei bias resta un obiettivo legittimo, ma non può trasformarsi in una corsia larga per il trattamento di dati altamente delicati.

Gigabit Infrastructure Act

Crediti: Shutterstock

Sul piano politico e reputazionale pesa poi l’introduzione di un nuovo divieto esplicito, secondo il quale l’AI non potrà essere impiegata per generare contenuti sessuali o intimi non consensuali, né materiale riconducibile all’abuso sessuale sui minori.

Interessante anche la revisione dei tempi su altri strumenti chiave dell’ecosistema regolatorio. I sandbox nazionali vengono posticipati al 2 agosto 2027, dettaglio che potrebbe rallentare in parte la sperimentazione assistita in alcuni Stati membri, mentre si accorciano da sei a tre mesi i tempi concessi ai provider per implementare soluzioni di trasparenza sui contenuti generati artificialmente, con nuova scadenza al 2 dicembre 2026. Per le imprese che operano su media sintetici, automazione documentale, assistenti conversazionali e contenuti generativi, questo passaggio anticipa la necessità di etichettatura e disclosure più rapide.

Uno dei capitoli più tecnici, ma probabilmente più importanti per il manifatturiero europeo, riguarda il rapporto tra AI Act e legislazione settoriale. Il compromesso trovato prova a disinnescare le sovrapposizioni normative nei comparti in cui esistono già regole specifiche, come dispositivi medici, giocattoli, ascensori, macchinari e imbarcazioni.

L’idea è quella di attivare, tramite atti di esecuzione, un meccanismo che limiti l’applicazione dell’AI Act nei casi in cui il diritto settoriale contenga già requisiti AI-specific comparabili. Per il machinery, in particolare, si è arrivati a una soluzione ancora più netta, con l’esclusione dell’applicabilità diretta dell’AI Act e l’attribuzione alla Commissione del potere di intervenire con atti delegati nel quadro del regolamento macchine. Per le aziende industriali è un segnale rilevante, in quanto l’Europa sembra voler evitare doppioni regolatori che avrebbero complicato certificazioni, immissione sul mercato e responsabilità lungo la supply chain.

Resta poi il tema della governance. L’accordo chiarisce meglio i poteri dell’AI Office nella supervisione dei sistemi basati su modelli di AI general purpose quando modello e sistema finale sono sviluppati dallo stesso fornitore, pur lasciando alcune competenze alle autorità nazionali in ambiti sensibili come law enforcement, gestione delle frontiere, giustizia e finanza. È un passaggio che punta a ridurre la frammentazione, uno dei problemi più temuti dal mercato B2B europeo, dove l’incertezza nasce anche dalla possibilità che le regole vengano applicate in modo disomogeneo tra Paesi, settori e autorità competenti.

(Immagine in apertura: Shutterstock)