La Commissione Europea ha mancato la scadenza del 2 febbraio 2026 per pubblicare le linee guida sull’articolo 6 dell’AI Act, quello che definisce quali sistemi di intelligenza artificiale rientrano nella categoria ad alto rischio. Per le aziende che usano o sviluppano AI, questo significa navigare a vista su obblighi che scattano tra pochi mesi senza sapere con certezza se il proprio sistema è soggetto alla normativa più stringente.
L’articolo 6 è il cuore operativo dell’AI Act: stabilisce i criteri per classificare un sistema come ad alto rischio in base al settore di applicazione e al tipo di decisione che supporta. Un sistema ad alto rischio deve rispettare requisiti pesanti: valutazione di conformità, documentazione tecnica dettagliata, marcatura CE, registrazione in un database europeo, monitoraggio continuo post-deployment. Per una PMI, questo può significare investimenti da 50.000 euro in su solo per la compliance iniziale.
Il problema è che senza linee guida ufficiali, molte aziende non sanno se il loro sistema rientra o no nella categoria. Pensate a un’azienda manifatturiera che usa AI per il controllo qualità in linea di produzione: senza sapere se il sistema è considerato ad alto rischio, non può decidere se investire decine di migliaia di euro in compliance o aspettare. Un software HR che filtra CV potrebbe essere ad alto rischio se prende decisioni autonome, ma non se si limita a suggerimenti che un umano valida. La linea è sottile e le conseguenze economiche sono rilevanti.
Gli standard tecnici CEN-CENELEC, che dovrebbero fornire le specifiche operative per la conformità, non saranno pronti prima di fine 2026. Questi standard sono volontari ma de facto necessari: senza seguirli, dimostrare la conformità diventa molto più costoso e incerto. L’industria sta chiedendo un rinvio formale delle scadenze, sostenendo che i tempi sono insufficienti per implementare misure di compliance senza sapere esattamente cosa implementare.
Il pacchetto Digital Omnibus, attualmente in discussione, potrebbe ritardare l’enforcement per i sistemi ad alto rischio di 16 mesi. Ma si tratta di una proposta, non di una certezza. Nel frattempo, per i sistemi AI ad alto rischio nel settore finanziario la scadenza del 2 agosto 2026 resta ferma. Banche, assicurazioni, società fintech che usano AI per valutazione del credito, scoring, gestione del rischio devono essere conformi tra cinque mesi e mezzo, integrando l’AI Act con DORA e PSD2.
Per le aziende italiane, il rischio concreto è trovarsi a metà 2026 con sistemi in produzione che potrebbero essere classificati ad alto rischio a posteriori, dovendo interrompere il servizio o affrontare sanzioni fino al 6% del fatturato globale annuo. Le sanzioni per non conformità sui sistemi ad alto rischio sono le seconde più alte previste dall’AI Act, dopo quelle per pratiche vietate.
Perché conta. Fate una lista di tutti i sistemi AI che usate in azienda, anche quelli forniti da terzi come SaaS. Per ciascuno, documentate: quale decisione supporta, se la decisione è automatica o richiede validazione umana, quale settore tocca (HR, credito, sanità, sicurezza, giustizia). Chiedete ai vostri fornitori software una dichiarazione scritta su come intendono gestire la compliance AI Act e chi si assume la responsabilità legale. Se usate AI in ambito finanziario, contattate entro marzo un consulente legale specializzato in digital regulation per un assessment preliminare: avete cinque mesi per la conformità e gli studi si stanno già saturando di richieste. Non aspettate le linee guida definitive per muovervi: la documentazione tecnica richiesta dall’AI Act richiede settimane anche per sistemi semplici, e farla bene ora vi mette al riparo da modifiche future.
Fonte: IAPP