ISMS Copilot
Compliance Strategy

Il ritardo sulle applicazioni ad alto rischio dell'AI Act non è una tregua

L'UE ha posticipato le scadenze per i sistemi ad alto rischio all'ottobre 2027 e agosto 2028. Il motivo di questa decisione dovrebbe cambiare il modo in cui lo interpretate: è un avvertimento sulla vostra portata operativa, non una proroga per la vostra roadmap.

di ISMS Copilot··7 min read
Il ritardo sulle applicazioni ad alto rischio dell'AI Act non è una tregua

Il 7 maggio 2026, il Parlamento europeo e il Consiglio hanno raggiunto un accordo politico sul Digital Omnibus sull'IA, il pacchetto che modifica l'AI Act (Regolamento (UE) 2024/1689). La notizia principale è un ritardo. Le norme per i sistemi ad alto rischio in settori come la biometria, le infrastrutture critiche, l'occupazione e la migrazione si applicheranno ora dal 2 dicembre 2027, mentre le regole per l'IA integrata in prodotti regolamentati come ascensori o giocattoli dal 2 agosto 2028 (Commissione europea, "UE agrees to simplify AI rules", 2026-05-07). La maggior parte del regolamento avrebbe dovuto applicarsi già dal 2 agosto 2026, con i sistemi ad alto rischio integrati in prodotti regolamentati su un calendario posticipato al 2 agosto 2027 (Commissione europea, pagina del quadro normativo dell'AI Act). Quindi, il calendario per i sistemi ad alto rischio autonomi è stato posticipato di circa sedici mesi, mentre quello per i prodotti integrati ha guadagnato ulteriori dodici mesi.

L'accordo non è ancora legge. È stato raggiunto tra i colegislatori, ma non è stato ancora formalmente adottato o pubblicato nella Gazzetta Ufficiale. La direzione è sufficientemente chiara da poter pianificare, ed è proprio qui che le squadre stanno per commettere un errore.

L'errore è interpretare sedici mesi come una tregua. Non lo è. Un ritardo comunica tre cose, e solo una di queste è: "avete più tempo". Le altre due riguardano cosa è cambiato insieme alla scadenza e perché la scadenza è stata spostata. Leggete prima queste due, e l'immagine si capovolge.

Leggete cosa è effettivamente cambiato, non solo la data

Il calendario per i sistemi ad alto rischio è stato posticipato. Le parti dell'AI Act che già si applicano non sono cambiate.

Le pratiche vietate di cui all'Articolo 5 si applicano dal 2 febbraio 2025, insieme agli obblighi di alfabetizzazione sull'IA. Le regole di governance e gli obblighi per i modelli di IA a uso generale si applicano dal 2 agosto 2025 (Commissione europea, pagina del quadro normativo dell'AI Act). Nessuna di queste date di applicazione è stata modificata dal Digital Omnibus. Se la vostra organizzazione sviluppa modelli di IA a uso generale o utilizza qualcosa che sfiora una pratica vietata, i vostri obblighi sono già in vigore da quasi un anno. L'accordo del 7 maggio aggiungerebbe un nuovo divieto piuttosto che rimuoverne altri: il bando dei sistemi di IA utilizzati per generare immagini intime non consensuali, le cosiddette app di nudificazione (Commissione europea, 2026-05-07). La direzione di marcia sulle regole immediatamente applicabili è additiva, non sottrattiva.

Quindi, il ritardo è limitato. Si applica a un solo livello del regime: la classificazione dei sistemi ad alto rischio e i relativi obblighi di conformità, lasciando esattamente invariati i divieti e gli obblighi relativi ai modelli di IA a uso generale. Una squadra che sente "l'AI Act è stato ritardato" e sospende l'intero programma di governance dell'IA ha frainteso un cambiamento mirato del calendario come una amnistia generale. Questo è il primo tranello.

Leggete perché è stato spostato, perché il motivo è un avvertimento

La scadenza non è stata posticipata perché gli obblighi si sono rivelati semplici. È stata spostata per sequenziare l'applicazione in modo che gli standard tecnici e gli strumenti di supporto per i sistemi ad alto rischio siano pronti prima che le regole entrino in vigore, cosa che, secondo il calendario originale, non sarebbe avvenuta (Commissione europea, 2026-05-07). Gli standard armonizzati a cui i fornitori di sistemi ad alto rischio dovrebbero conformarsi sono ancora in fase di completamento.

Pensate a cosa significa questo per la definizione della portata operativa. Non vi viene consegnato un regolamento completo con tempo extra per applicarlo. Vi viene dato tempo extra proprio perché il regolamento non è ancora completo. Ora, il lavoro di classificazione dei vostri sistemi, mappatura degli obblighi e costruzione delle pratiche di gestione del rischio e governance dei dati deve avvenire contro un bersaglio mobile. Questo è più difficile, non più facile, rispetto alla conformità a uno standard consolidato. Le squadre che tratteranno il 2 dicembre 2027 come "da rivedere l'anno prossimo" si troveranno, alla fine del 2027, con lo stesso problema di portata non definita di oggi, con meno tempo a disposizione e uno standard che ha smesso di muoversi solo da poco.

La lettura onesta del ritardo è l'opposto del conforto. Il regolatore vi sta dicendo che il dettaglio operativo è ancora in fase di scrittura, e il motivo per cui vi ha dato più tempo è anche il motivo per cui dovreste iniziare ora le parti durature del lavoro, indipendenti dallo standard finale: un inventario di dove l'IA si trova nei vostri prodotti e processi, una classificazione difendibile di ogni utilizzo secondo le categorie dell'Allegato III, e le pratiche di gestione del rischio e governance dei dati che qualsiasi versione dello standard finale richiederà. Nessuna di queste attività dipende dall'ultima clausola che viene finalizzata.

Non confondete questo ritardo con l'altro Digital Omnibus

Esiste un secondo pacchetto in fase di discussione a Bruxelles con un nome simile, e confonderli è un tranello a sé stante. Il Digital Omnibus più ampio propone di semplificare il GDPR e le norme digitali correlate, e una delle modifiche proposte restringerebbe la definizione di dato personale, riducendo ciò che la legge copre.

Quel pacchetto non è stato ancora approvato. È una proposta contestata, e le autorità che applicano il GDPR stanno opponendosi con forza. Nel Parere Congiunto 2/2026 (adottato il 10 febbraio 2026), il Gruppo di lavoro per la protezione dei dati dell'UE (EDPB) e il Garante europeo per la protezione dei dati (EDPS) hanno esortato i colegislatori a non adottare la modifica proposta alla definizione di dato personale, avvertendo che ciò avrebbe portato a un restringimento significativo del concetto di dato personale (EDPB e EDPS, Parere Congiunto 2/2026, adottato il 2026-02-10). Il loro messaggio è che la semplificazione non deve ridurre la protezione che il GDPR esiste per garantire.

La lezione per i professionisti è mantenere separati i due percorsi nella pianificazione. Il ritardo sull'AI Act ad alto rischio è vicino a diventare legge e potete fare affidamento sulle nuove date. Il "semplificazione" del GDPR è una bozza contestata dalle vostre stesse autorità di vigilanza, e pregiudicare i vostri registri delle attività di trattamento o le vostre pratiche di DPIA basandosi su di essa sarebbe pianificare intorno a una clausola che potrebbe non sopravvivere. Non de-compliatevi contro una proposta. Aspettate il testo definitivo.

La regola da tenere a mente

Quando un regolatore ritarda una norma, la data è l'elemento meno informativo dell'annuncio. Prima di toccare la vostra roadmap, leggete le altre due informazioni: cosa non è cambiato insieme alla scadenza e perché la scadenza è stata spostata. In questo caso, i divieti e gli obblighi relativi ai modelli di IA a uso generale non sono cambiati, e il calendario per i sistemi ad alto rischio è stato spostato perché lo standard non era pronto. Mettendo insieme questi due fatti, un ritardo di sedici mesi si trasforma da motivo per rallentare a motivo per iniziare ora le parti del lavoro che non sono mai dipese dalla scadenza.

Se il vostro compito immediato è il lavoro poco appariscente di mappare dove l'IA si trova nel vostro ecosistema e classificare ogni utilizzo secondo le categorie dell'Allegato III e gli obblighi che ne derivano, questa è esattamente la base di lavoro indipendente dallo standard che vale la pena iniziare ora. E il tipo di lavoro di cross-referenziazione per cui ISMS Copilot è stato progettato per velocizzare. La scadenza è stata spostata. Il lavoro no.

Articoli correlati