Il Consiglio dell’UE ha ora approvato la propria posizione sul pacchetto Digital Omnibus che introduce modifiche all’AI Act, e il messaggio è piuttosto chiaro: ancora prima che l’AI Act diventi pienamente applicabile, è già oggetto di revisione.
Questo non è insolito nel diritto dell’UE, ma la tempistica è significativa.
L’AI Act è stato concepito come un quadro normativo “a prova di futuro”. Tuttavia, le ultime bozze del Consiglio mostrano che le sfide pratiche di implementazione stanno già spingendo il legislatore a ricalibrare elementi chiave.
In altre parole, non si tratta solo di un esercizio di semplificazione, ma di una correzione precoce della traiettoria regolatoria.
Un segnale chiaro: nuove pratiche di IA potrebbero diventare vietate
Uno degli elementi più rilevanti nelle bozze approvate dal Consiglio è l’introduzione di un divieto specifico per i sistemi di IA utilizzati per generare contenuti intimi non consensuali e materiale di abuso sessuale su minori.
Dal punto di vista giuridico, si tratta di qualcosa di più di una semplice chiarificazione.
Dimostra che la categoria delle IA a “rischio inaccettabile” è in evoluzione e potrebbe continuare ad ampliarsi con l’emergere di nuovi casi d’uso.
Per le aziende che lavorano con l’IA generativa, questo solleva una questione pratica: la conformità non può basarsi solo sulla classificazione attuale, ma deve anticipare come le categorie di rischio potrebbero cambiare nel tempo.
Più tempo per adeguarsi… ma non meno pressione
Il Consiglio propone anche di posticipare l’applicazione delle norme per i sistemi di IA ad alto rischio:
- 2 dicembre 2027 per i sistemi autonomi;
- 2 agosto 2028 per i sistemi integrati nei prodotti.
A prima vista, potrebbe sembrare una buona notizia per le imprese.
Ma in realtà si tratta più di una ridefinizione dei tempi che di un alleggerimento degli obblighi.
La sostanza delle norme non cambia. Cambia piuttosto l’aspettativa che le aziende utilizzino questo tempo aggiuntivo per costruire solide strutture di governance.
Chi interpreta il rinvio come un motivo per rimandare rischia di trovarsi impreparato quando inizieranno i controlli.
La trasparenza torna al centro
Un altro elemento importante della bozza del Consiglio è il ripristino dell’obbligo di registrare i sistemi di IA nel database UE per i sistemi ad alto rischio, anche quando i fornitori ritengono che i loro sistemi non lo siano.
Si tratta di un cambiamento significativo.
Significa infatti che le decisioni di classificazione non saranno più esclusivamente interne. Potranno diventare visibili, contestabili e soggette a scrutinio.
In pratica, questo potrebbe:
- spingere le aziende verso valutazioni del rischio più prudenti;
- richiedere una documentazione interna più solida;
- esporre i casi borderline ai regolatori prima del previsto.
Dati sensibili: ritorna un approccio più restrittivo
Le bozze del Consiglio reintroducono anche il criterio della “stretta necessità” per il trattamento delle categorie particolari di dati personali nei sistemi di IA.
Questo è particolarmente rilevante per settori come sanità, risorse umane e biometria.
L’implicazione è chiara: l’uso di dati sensibili nei sistemi di IA richiederà giustificazioni molto più solide e meno margine per interpretazioni flessibili.
Rafforza inoltre un aspetto che molte aziende ancora sottovalutano: la conformità all’IA e quella al GDPR non sono esercizi separati.
Cosa significa davvero (oltre i titoli)
Se si guarda al quadro generale, la posizione del Consiglio evidenzia una tendenza più ampia.
Sì, le tempistiche vengono estese.
Ma allo stesso tempo:
- l’elenco delle pratiche vietate si amplia;
- gli obblighi di trasparenza aumentano;
- i vincoli sulla protezione dei dati si rafforzano.
Il messaggio reale, quindi, non è un “allentamento”, ma un irrigidimento controllato con tempi più realistici.
Il rischio che vedo nella pratica
In molte organizzazioni, l’IA è già in fase di implementazione in diverse funzioni aziendali, spesso più rapidamente di quanto le strutture di governance riescano a tenere il passo.
È qui che si concentra il vero rischio.
Se le questioni legali e di compliance vengono individuate solo dopo che i sistemi di IA sono già integrati nelle operazioni:
- correggerle diventa operativamente complesso;
- i costi aumentano in modo significativo;
- il rischio reputazionale può crescere rapidamente.
A mio avviso, la bozza del Consiglio riconosce implicitamente questa dinamica.
Non è solo una bozza, è una direzione
Sarebbe facile considerare le bozze Digital Omnibus approvate dal Consiglio come un semplice passaggio nel processo legislativo.
Sarebbe un errore.
Rappresentano un’indicazione precoce di come l’AI Act evolverà nella pratica:
- più adattivo;
- più trasparente;
- più esigente in termini di governance.
Per le imprese, la domanda chiave non è più se le regole cambieranno, ma se le loro strutture interne sono abbastanza flessibili da adattarsi quando lo faranno.
Autore: Giulio Coraggio
About the Author: Giulio Coraggio
