La Commissione apre la consultazione sull'Articolo 6 fino al 23 giugno. Il decreto attuativo italiano resta fissato al 10 ottobre. I tre mesi e mezzo definiscono la postura compliance del mid-market regolato per il 2027.
Il 19 maggio 2026 la Commissione europea ha pubblicato la bozza delle Draft Commission guidelines on the classification of high-risk AI systems ai sensi dell'Articolo 6 del Regolamento UE 2024/1689 (AI Act). Il documento si articola in tre parti: principi generali, percorso Annex I (sistemi che sono componenti di sicurezza di prodotti già regolati) e percorso Annex III (sistemi classificati come ad alto rischio in base al caso d'uso). La consultazione mirata resta aperta fino al 23 giugno 2026, ore 22 CET. Il testo finale, una volta adottato, resta interpretazione: solo la Corte di Giustizia UE potrà fornire la lettura autoritativa.
In parallelo, lo stesso 19 maggio la Commissione ha aperto la consultazione targeted sulle linee guida Art. 50 (obblighi di trasparenza), aperta fino al 3 giugno. Il pacchetto guida arriva due settimane dopo l'accordo politico del 7 maggio fra Consiglio e Parlamento sul cosiddetto AI Act Omnibus, che ha allungato i termini di compliance per i sistemi high-risk e introdotto regole nuove sui contenuti intimi AI-generati.
Sul fronte italiano, il quadro è già in cammino. La Legge 132/2025 — il primo testo organico italiano sull'intelligenza artificiale — fissa l'adozione dei decreti attuativi entro il 10 ottobre 2026, finestra che include training dei sistemi AI, rimedio civile e specifiche operative per i settori critici. Il combinato disposto pone le imprese italiane regolate dentro una finestra temporale stretta: la chiusura della consultazione UE arriva tre mesi e mezzo prima della scadenza italiana, e l'output di Bruxelles condizionerà in modo materiale il drafting finale dei decreti italiani.
La bozza fissa due chiavi di lettura nuove rispetto al testo base del Regolamento. La prima è il concetto di "compito ben definito" (well-defined task), che agisce da filtro all'ingresso nel perimetro high-risk: un sistema che svolge solo un compito strumentale e tecnico (un OCR, un filtro testuale, una mera ottimizzazione di parametro) può uscire dalla classificazione anche quando opera in un settore Annex III. La seconda chiave è l'elenco indicativo dei casi d'uso esenti elencati dall'Art. 6(3), che amplia rispetto a quanto le imprese si aspettavano lo spazio degli usi fuori dal perimetro high-risk.
L'effetto pratico per le imprese italiane di finance, sanità, energia, trasporti e PA è duplice. Da un lato, una frazione dei pilot AI oggi sospesi in attesa di classificazione potrà uscire dal perimetro high-risk con argomentazione tecnica documentata, riducendo l'esposizione a conformity assessment e segnalazioni post-market. Dall'altro lato, le organizzazioni che assumevano l'esenzione (per esempio assistenti interni HR o motori di scoring usati come decision-support) dovranno rivisitare la classificazione alla luce dei criteri di "preparatory task" e "human in the loop" che la bozza definisce in dettaglio.
Per il CIO di una banca, di una utility o di un'azienda sanitaria italiana il punto operativo è uno: la classificazione dei propri sistemi AI andrà rifatta a partire dalla bozza, e la documentazione di supporto andrà mantenuta in evoluzione fino alla pubblicazione del testo finale.
La finestra dei centodieci giorni che separa il 23 giugno (chiusura consultazione UE) dal 10 ottobre (scadenza decreto italiano) mette sul tavolo tre questioni operative.
1. Posizione del legislatore italiano sul concetto di "compito ben definito". Il decreto attuativo italiano potrà adottare un'interpretazione più restrittiva o più estensiva rispetto al testo della Commissione. La storia recente del recepimento italiano di direttive digitali (GDPR, NIS2) suggerisce una tendenza al gold-plating su alcuni profili, in particolare la documentazione di accountability e la tracciabilità delle decisioni automatizzate. Le imprese che fanno lobbying attivo nel processo del decreto possono incidere sul livello di severità della trasposizione.
2. Allineamento con la postura della Banca d'Italia, IVASS, CONSOB e Garante Privacy. Le autorità di vigilanza settoriali italiane stanno già pubblicando aspettative supervisory che anticipano il quadro. La sovrapposizione con il decreto organico apre il rischio di stratificazione di obblighi (un livello UE, uno italiano organico, uno settoriale supervisory). Per il CIO di banca, capire la triangolazione fra le tre fonti diventa lavoro a tempo pieno per la funzione compliance.
3. Tempi di approntamento tecnico. I sistemi high-risk richiedono risk management documentato, qualità dei dati certificata, log automatici delle decisioni, sorveglianza umana progettata in modo dimostrabile. L'investimento per portare un sistema legacy dentro questo perimetro va misurato in trimestri, ben oltre la cadenza settimanale tipica del delivery agile. Per le imprese che oggi hanno pilot in produzione, l'orizzonte di hardening fino a ottobre è praticabile solo se il lavoro parte adesso.
Lo shift analitico interessante è che le linee guida riconoscono per la prima volta in modo esplicito il valore del "performance metric firmato a monte" come elemento di mitigazione del rischio. Il testo cita il caso di un sistema che, pur appartenendo a un settore Annex III, dimostra di operare entro vincoli quantitativi documentati e auditabili da un fornitore tecnico responsabile.
Per il mercato italiano questo apre uno spazio interessante: l'approccio della AI Methodology, che mette i KPI firmabili al centro del kickoff progettuale, trova ora un riferimento normativo esplicito a sostegno. Il dato firmato a monte diventa parte del fascicolo di compliance, e abbassa l'onere documentale ex post.
In parallelo, l'approccio sealed open-weight con residenza dati europea — che AI Privacy First mette al centro per gli ambienti regolati — si allinea in modo diretto al requisito di "tracciabilità delle decisioni automatizzate" che il decreto italiano dovrà declinare. Il pattern open-weight ospitato in ambiente sovrano genera audit trail completi e replicabili, e riduce la dipendenza da fornitori cloud extra-UE soggetti a meccanismi giurisdizionali asimmetrici.
Cinque azioni vendor-independent che il CIO di un'impresa italiana regolata può intraprendere nelle prossime quattro settimane, prima della chiusura della consultazione UE:
Tre output osservabili nei prossimi novanta giorni definiranno la postura del mercato italiano per il 2027. Il primo è il testo finale delle linee guida Commissione, atteso a luglio dopo l'integrazione del feedback di consultazione. Il secondo è il drafting del decreto attuativo italiano da parte del Ministero competente (impreviste convocazioni di audizioni nel mese di luglio sono il segnale che il timing ottobre regge). Il terzo è la pubblicazione delle supervisory expectation aggiornate da parte di Banca d'Italia, IVASS, CONSOB, che tipicamente anticipano il quadro normativo organico di sei-otto settimane.
La domanda aperta sul tavolo italiano resta una: l'allineamento sostanziale fra il framework UE e il decreto attuativo italiano sarà sufficiente a evitare l'effetto stratificazione che già si vede sui dossier GDPR e NIS2, o le imprese si troveranno con due cornici parallele da gestire trimestre per trimestre? La risposta arriverà a settembre, quando i drafts circoleranno in audizione.
Autore
Pablo Liuzzi
Founder, Synthos Logic