C'è tempo fino al 23 giugno 2026 per dire la propria sulle nuove linee guida della Commissione europea sui sistemi di IA ad alto rischio. La bozza, pubblicata il 19 maggio, è il tassello che mancava per applicare la parte più pesante dell'AI Act, quella che dal 2 agosto farà scattare obblighi e responsabilità per chi sviluppa o usa l'intelligenza artificiale in settori sensibili. Tradotto: tra poche settimane queste regole, oggi ancora discutibili, diventeranno il metro con cui aziende e pubbliche amministrazioni dovranno capire se un loro sistema è «ad alto rischio».
Cosa dicono le bozze di linee guida sulla classificazione
Conviene ricordare la struttura del regolamento, in vigore in forma scaglionata dal 2024. L'AI Act non vieta quasi nulla: classifica. Il cuore del regolamento europeo è la divisione dei sistemi per livello di rischio, e la categoria più delicata è quella «ad alto rischio» (Allegato III): IA usata per selezione del personale, accesso al credito, istruzione, servizi essenziali, gestione di infrastrutture critiche, giustizia, attività di polizia. Chi rientra in queste fasce deve rispettare obblighi stringenti: gestione del rischio, qualità dei dati, documentazione tecnica, sorveglianza umana, robustezza e cybersicurezza. Il problema, finora, era capire quando un sistema rientra davvero in quelle caselle. Le linee guida servono esattamente a questo: offrire criteri pratici per la classificazione, con esempi, così da ridurre l'incertezza che da mesi paralizza molti progetti.
I modelli generalisti finiscono sotto la lente
La parte più interessante riguarda i modelli generalisti (i «GPAI», come GPT, Claude, Gemini o i modelli aperti). La Commissione chiarisce un punto che fa discutere: chi fornisce un sistema di IA generalista deve descrivere tutti gli usi previsti, e se i materiali di marketing lo presentano come adatto a moltissimi contesti senza escludere chiaramente gli impieghi ad alto rischio, allora la «finalità prevista» del sistema si considera comprensiva anche di quegli usi, quando sono tecnicamente possibili e ragionevolmente prevedibili. In altre parole: non basta scrivere nelle condizioni d'uso «vietato per impieghi ad alto rischio» per chiamarsi fuori, se poi il prodotto viene promosso proprio come strumento buono per tutto. È un colpo all'abitudine di scaricare ogni responsabilità sull'utente finale tramite il contratto.
Il legame con la scadenza del 2 agosto
Le linee guida non arrivano nel vuoto. Dal 2 agosto 2026 diventano pienamente applicabili gli obblighi per i sistemi ad alto rischio e per i modelli generalisti con rischio sistemico, con sanzioni che possono arrivare fino al 7% del fatturato mondiale annuo nei casi più gravi. A questo si aggiunge il codice di condotta sull'etichettatura dei contenuti generati dall'IA, pubblicato dalla Commissione il 10 giugno, e il lavoro dell'AI Office sui requisiti di indipendenza dei valutatori esterni dei modelli più rischiosi. Il quadro, insomma, si sta chiudendo proprio in queste settimane.
Esempi concreti: quando un sistema è ad alto rischio
Per capire la portata delle regole conviene scendere ai casi pratici. Rientra tipicamente nell'alto rischio il software che filtra i curriculum in una selezione del personale, perché può discriminare i candidati; il sistema che valuta l'affidabilità creditizia di chi chiede un prestito; gli strumenti usati nelle scuole per valutare gli studenti o assegnarli a percorsi; le IA impiegate per gestire infrastrutture critiche come reti elettriche o idriche; quelle usate dalle forze dell'ordine o nei procedimenti giudiziari. In tutti questi casi un errore del modello non è un fastidio: incide su diritti, lavoro, libertà. Per questo l'AI Act impone documentazione, tracciabilità, dati di qualità e soprattutto una sorveglianza umana effettiva, non di facciata.
Il rovescio della medaglia è che molte aziende usano questi sistemi senza rendersene conto, magari integrando un servizio di terze parti. Le nuove linee guida servono anche a questo: aiutare a capire se ciò che si sta usando ricade nella categoria più regolata, prima che lo faccia notare un'autorità di vigilanza.
Come partecipare alla consultazione e cosa cambia per le aziende italiane
Le bozze sono aperte ai commenti di imprese, esperti e cittadini fino al 23 giugno attraverso i canali della Commissione europea. È un'occasione concreta per chi sviluppa o adotta IA: i contributi influenzano la versione definitiva, che diventerà il riferimento operativo. Per le aziende e le PA italiane il consiglio è pratico: fare subito un inventario dei sistemi di IA in uso o in sviluppo, verificare quali rischiano di ricadere nell'Allegato III alla luce dei nuovi criteri, e prepararsi alla documentazione richiesta. Il combinato dell'AI Act europeo e della legge italiana 132/2025 — che assegna i compiti di vigilanza ad AgID, all'Agenzia per la Cybersicurezza Nazionale e, per giustizia e sicurezza, al Garante privacy — rende l'attesa rischiosa. Chi arriva al 2 agosto senza aver classificato i propri sistemi parte in ritardo. Le analisi degli studi legali specializzati, come Bird & Bird, aiutano a tradurre il linguaggio normativo in passi concreti.
