Synthos Logic/News & Insights/Policy & compliance/AI ad alto rischio: le linee guida UE sulla classificazione arrivano prima dell'obbligo del 2027
REF · NEWS-REGO
◉ 2026
Policy & compliance ◉ Approfondimento

AI ad alto rischio: le linee guida UE sulla classificazione arrivano prima dell'obbligo del 2027

La Commissione europea manda in consultazione le linee guida che chiariscono quando un sistema di AI ricade nell'alto rischio dell'Annex III. Per le imprese italiane regolate è la mappa operativa attesa da tempo.

La bozza che chiarisce il confine dell'alto rischio

Il 19 maggio 2026 la Commissione europea ha pubblicato la bozza di linee guida sulla classificazione dei sistemi di intelligenza artificiale ad alto rischio previsti dall'AI Act, aprendo una consultazione pubblica. La scadenza per i contributi, inizialmente fissata al 23 giugno, è stata estesa al 23 luglio 2026; il testo definitivo è atteso entro la fine dell'anno, in tempo utile prima che gli obblighi entrino in vigore.

Le linee guida lavorano soprattutto sull'Annex III, la via di classificazione che elenca i casi d'uso ad alto rischio in otto settori sensibili: biometria, infrastrutture critiche, istruzione e formazione professionale, lavoro e gestione dei lavoratori, accesso a servizi essenziali pubblici e privati (incluso il credit scoring), contrasto e attività di polizia, migrazione e controllo delle frontiere, amministrazione della giustizia e processi democratici. La bozza spiega con esempi quando un sistema rientra in queste categorie e quando se ne resta fuori, riducendo l'area grigia che molte imprese segnalavano.

Un edificio istituzionale europeo dalla facciata in vetro e acciaio al crepuscolo, immagine della governance e della vigilanza che accompagnano le nuove regole sull'AI ad alto rischio
Un edificio istituzionale europeo dalla facciata in vetro e acciaio al crepuscolo, immagine della governance e della vigilanza che accompagnano le nuove regole sull'AI ad alto rischio

Gli obblighi che scattano con l'alto rischio

Per i fornitori e i deployer di un sistema classificato ad alto rischio, l'AI Act richiede un pacchetto preciso: un sistema di gestione del rischio continuo lungo tutto il ciclo di vita, procedure di valutazione della conformità, requisiti di data governance sulla qualità dei dati, obblighi di trasparenza e documentazione tecnica. Per i fornitori stabiliti fuori dall'Unione scatta anche la nomina di un rappresentante autorizzato all'interno dell'UE.

Sul calendario, l'aggiornamento normativo di giugno ha ridisegnato le decorrenze: gli obblighi per i sistemi autonomi dell'Annex III si applicano dal 2 dicembre 2027, mentre quelli per i sistemi ad alto rischio incorporati in prodotti già regolati dall'Annex I seguono dal 2 agosto 2028. Il tempo aggiuntivo resta una finestra di lavoro, utile per allineare processi e documentazione prima della verifica.

Cosa cambia per le imprese italiane

La mappa dell'Annex III tocca da vicino il tessuto produttivo italiano. Una banca che usa modelli per il credit scoring, un'azienda che adotta strumenti AI nella selezione e gestione del personale, una scuola o un fornitore EdTech che porta l'AI in aula, un erogatore di servizi essenziali: tutti si ritrovano dentro il perimetro ad alto rischio, con obblighi da preparare per tempo.

Sul fronte della governance nazionale, l'Italia ha già scelto chi vigila. I decreti attuativi della legge 132/2025 affidano ad AgID il ruolo di autorità di notifica e ad ACN quello di autorità di vigilanza del mercato e punto di contatto unico con l'Unione. Per il comparto finanziario restano centrali Banca d'Italia, Consob e Ivass; il Garante per la protezione dei dati personali presidia le applicazioni ad alto rischio in ambito giustizia e sicurezza. È un assetto a più autorità che chiede alle imprese una mappatura chiara di quale interlocutore risponde per quale sistema.

La direzione di fondo premia chi tratta la conformità come parte del progetto e la governance del rischio sullo stesso piano dell'architettura tecnologica — l'impostazione che ispira la AI Methodology adottata dagli hub europei di trasformazione AI più maturi.

Cosa fare adesso

Tre mosse restano valide a prescindere dal fornitore tecnologico scelto. Primo: mappare i propri sistemi di AI contro l'elenco dell'Annex III, distinguendo quelli autonomi da quelli incorporati in prodotti regolati. Secondo: avviare fin da subito il sistema di gestione del rischio, la data governance e la documentazione tecnica, così che la valutazione di conformità trovi i materiali pronti. Terzo: presidiare la consultazione aperta fino al 23 luglio, perché imprese e associazioni di categoria hanno una finestra concreta per incidere sul testo definitivo.

La domanda che resta aperta riguarda l'equilibrio fra chiarezza e flessibilità: le linee guida finali sapranno dare certezza alla classificazione mantenendo il margine per i casi che la tecnologia produrrà nei prossimi diciotto mesi? La risposta arriverà con il testo definitivo, atteso prima che l'orologio dell'alto rischio inizi a correre.

Autore

Pablo Liuzzi

Founder, Synthos Logic

Fonti

AI ActAlto rischioAnnex IIICompliance
↑ Torna al feed