Il cantiere normativo dell’intelligenza artificiale europea, ha fatto un passo avanti concreto. La Commissione europea ha pubblicato le bozze di linee guida per la classificazione dei sistemi di intelligenza artificiale ad alto rischio, aprendo contestualmente una consultazione pubblica destinata a chiudersi il 23 giugno 2026. Si tratta di un documento atteso da mesi, la cui assenza aveva già generato incertezza operativa tra le aziende chiamate ad adeguarsi a uno dei regolamenti tecnologici più ambiziosi mai prodotti dall’Unione europea.

Il riferimento normativo è l’EU AI Act, entrato in vigore il 1° agosto 2024 e strutturato attorno a un approccio basato sul rischio. Dentro questa architettura, i sistemi AI classificati come ad alto rischio sono soggetti a un insieme articolato di obblighi e requisiti, pensati per gestire i rischi per la salute, la sicurezza e i diritti fondamentali delle persone. Il problema era capire con precisione quali sistemi ricadessero effettivamente in questa categoria e in che modo i fornitori, i deployer e le autorità di vigilanza del mercato avrebbero dovuto orientarsi in assenza di indicazioni ufficiali dettagliate. Le bozze di linee guida rispondono proprio a questa esigenza, anche se il loro valore rimane, per ora, di tipo orientativo e non vincolante.

Il documento si articola in tre sezioni. La prima introduce i principi generali per determinare se un sistema AI debba essere considerato ad alto rischio e delinea le due categorie previste dall’articolo 6 dell’EU AI Act. La seconda entra nel dettaglio della classificazione, occupandosi dei sistemi AI che costituiscono componenti di sicurezza all’interno di prodotti soggetti alla normativa europea sulla sicurezza dei prodotti, oppure che sono essi stessi prodotti regolamentati. La terza sezione riguarda invece una serie di sistemi AI autonomi impiegati in aree considerate ad elevato rischio intrinseco: biometria, istruzione, occupazione, accesso a servizi essenziali, forze dell’ordine.

AI Act

Crediti: Shutterstock

Un elemento che vale la pena sottolineare è la metodologia seguita dalla Commissione nella redazione del documento. Le linee guida propongono esempi concreti, non esaustivi, di sistemi AI che potrebbero o meno rientrare nella classificazione ad alto rischio. Questo approccio per casi d’uso è utile per le imprese perché abbassa il livello di astrazione e permette una prima mappatura interna più agevole, ma non risolve definitivamente ogni ambiguità. La Commissione stessa chiarisce che l’inclusione di un caso d’uso nelle linee guida non equivale a una valutazione della sua liceità rispetto alla normativa applicabile in senso più ampio. In altri termini, il rispetto delle regole sull’AI ad alto rischio non esaurisce l’analisi di conformità, che può coinvolgere anche altre disposizioni di diritto europeo o nazionale.

Sullo sfondo di questo aggiornamento c’è un percorso fatto di ritardi che ha influenzato in modo significativo la preparazione delle aziende. La guidance sulla classificazione ad alto rischio sarebbe infatti dovuta arrivare entro il 2 febbraio 2026, in anticipo rispetto alle prime scadenze di conformità rilevanti per questa categoria di sistemi. Il mancato rispetto di questa tabella di marcia, combinato con i ritardi nella produzione di standard tecnici e altri strumenti di implementazione, ha alimentato un dibattito più ampio sulla reale operatività dell’EU AI Act nelle sue prime fasi di applicazione.

Queste preoccupazioni hanno contribuito alla revisione del calendario normativo avvenuta tramite il cosiddetto Digital Omnibus on AI, che ha spostato in avanti le scadenze chiave. Per i sistemi AI autonomi ad alto rischio, gli obblighi diventano applicabili a partire dal 2 dicembre 2027, mentre per i sistemi ad alto rischio integrati in prodotti fisici la data è stata fissata al 2 agosto 2028. Uno slittamento che offre respiro alle organizzazioni ancora impegnate a comprendere il perimetro delle loro responsabilità.

Resta un nodo strutturale che le imprese devono tenere presente. Le linee guida pubblicate a maggio sono ancora in forma di bozza, soggette a ulteriore consultazione prima dell’adozione definitiva da parte della Commissione. E anche nella loro versione finale, non avranno forza vincolante, visto che l’interpretazione autentica dell’EU AI Act spetta alla Corte di giustizia dell’Unione europea. Per chi opera in settori che toccano le aree sensibili coperte dall’Allegato III, come le risorse umane, i sistemi di scoring creditizio, i tool di accesso a servizi pubblici o le piattaforme educative, questo significa che il lavoro di legal assessment e di gap analysis non può essere rimandato in attesa di certezze assolute. Le bozze offrono già oggi un quadro sufficientemente definito per avviare una mappatura interna e valutare l’esposizione normativa.