L’Unione Europea ha finalmente raggiunto un accordo politico sulle modifiche all’AI Act, ponendo fine a settimane di incertezza attorno a una delle riforme più controverse del corpus normativo digitale europeo. Dopo negoziati protrattisi fino a notte fonda, il Parlamento europeo e il Consiglio hanno concordato un pacchetto di compromesso che ridisegna in modo sostanziale le modalità applicative di alcune parti del regolamento, in particolare per i sistemi di IA industriale e per i prodotti già disciplinati da normative settoriali specifiche.
L’accordo rappresenta il primo riconoscimento politico esplicito del fatto che l’AI Act originario aveva creato seri problemi di attuazione per le imprese operanti in settori regolamentati quali la manifattura, la meccanica, l’automotive, i dispositivi medici e i prodotti connessi. E arriva a pochi mesi dalla scadenza originaria del 2 agosto 2026 per gli obblighi relativi ai sistemi di IA ad alto rischio.
Le modifiche all’AI Act nascono da un problema centrale
La questione di fondo dei negoziati non era se l’Europa dovesse regolamentare l’IA, bensì se l’AI Act, nella sua formulazione originaria, fosse diventato inapplicabile per le imprese già soggette a un’ampia regolamentazione settoriale. Il problema era emerso con particolare evidenza per i sistemi di IA integrati in prodotti già disciplinati dai quadri europei di sicurezza dei prodotti.
I produttori rischiavano di dover rispettare simultaneamente: l’AI Act, il Regolamento Macchine, la normativa sui dispositivi medici, i quadri di sicurezza per il settore automotive, gli obblighi in materia di cybersicurezza e i requisiti generali di conformità dei prodotti. Per molte imprese, il risultato non era la certezza giuridica, ma una sovrapposizione di obblighi di conformità potenzialmente duplicativi. Ed è stato esattamente su questo punto che i negoziati sono diventati politicamente esplosivi.
Il settore macchinari è il grande vincitore dell’accordo
L’aspetto più rilevante del compromesso riguarda il settore dei macchinari. In base all’accordo sull’AI Act, i prodotti classificati come macchinari eviteranno in larga misura la sovrapposizione diretta con il regolamento, laddove obblighi equivalenti siano già previsti dal Regolamento Macchine. Invece di imporre framework di conformità paralleli, i requisiti di salute e sicurezza legati all’IA per i macchinari saranno ora trattati principalmente attraverso la legislazione settoriale di prodotto. Si tratta di un cambiamento significativo nella strategia regolatoria.
La Commissione europea manterrà comunque il potere di adottare atti delegati che introducano requisiti specifici di salute e sicurezza in materia di IA ove necessario, ma il compromesso riflette chiaramente la pressione esercitata dagli operatori industriali — in particolare dalla Germania — per evitare scenari di duplicazione regolatoria. Il cancelliere Friedrich Merz aveva apertamente criticato quello che definiva un quadro normativo eccessivamente restrittivo per l’IA industriale, sostenendo che la competitività europea sarebbe stata messa a rischio gravando i settori industriali con obblighi di conformità sovrapposti. In pratica, l’accordo segnala che l’Europa sta cominciando ad accettare ciò che le imprese denunciavano da mesi: la regolamentazione dell’IA non può operare in isolamento rispetto alla normativa di prodotto esistente.
Scadenze differenziate confermano il cambio di rotta
Un altro elemento chiave dell’accordo è il rinvio di alcuni obblighi previsti dall’AI Act. Il compromesso introduce tempistiche differenziate in funzione della tipologia di sistema di IA coinvolto. Nel nuovo quadro normativo: i sistemi di IA ad alto rischio in materia di biometria, istruzione, occupazione, applicazione della legge, gestione delle frontiere e infrastrutture critiche si applicheranno dal 2 dicembre 2027; i sistemi di IA integrati in prodotti saranno invece soggetti agli obblighi a partire dal 2 agosto 2028.
Questa distinzione è di grande rilievo pratico: riconosce di fatto che i sistemi di IA integrati nei prodotti presentano una complessità operativa significativamente superiore rispetto alle applicazioni di IA autonome. Molte imprese faticavano ancora a comprendere come le valutazioni di conformità all’AI Act si sarebbero intersecate con i processi di certificazione di prodotto già esistenti.
L’accordo va oltre l’IA industriale
Sebbene il dibattito si sia concentrato principalmente sui settori industriali, il compromesso introduce anche altre modifiche di rilievo. Una delle riforme politicamente più visibili è il divieto esplicito delle cosiddette applicazioni “nudifier” e dei sistemi di IA in grado di generare materiale pedopornografico o contenuti deepfake sessualmente espliciti che coinvolgano persone identificabili. Il divieto si applicherà dal 2 dicembre 2026.
L’accordo riduce inoltre i tempi di attuazione per gli obblighi di trasparenza relativi ai contenuti generati dall’IA: i fornitori avranno ora tre mesi — invece di sei — per implementare le soluzioni di trasparenza una volta applicabili i relativi obblighi. Il compromesso ripristina altresì l’obbligo di registrare i sistemi di IA ad alto rischio nella banca dati dell’UE, dopo che discussioni precedenti avevano messo in dubbio la sopravvivenza di tale requisito.
Il nodo dei dati personali
Un aspetto dell’accordo che merita particolare attenzione da parte dei professionisti della privacy riguarda la nuova formulazione relativa all’utilizzo dei dati personali per il rilevamento e la correzione dei bias. Il compromesso consente espressamente alle organizzazioni di trattare dati personali ove strettamente necessario per identificare e mitigare i bias nei sistemi di IA, purché siano adottate adeguate misure di salvaguardia.
Questa modifica potrebbe rivelarsi uno degli elementi operativamente più rilevanti della riforma. Molte imprese si erano trovate di fronte a una tensione fondamentale: come verificare correttamente i sistemi di IA alla ricerca di esiti discriminatori senza trattare dati personali sensibili o rappresentativi? L’accordo sembra concepito per creare maggiore certezza giuridica su questo punto, ma solleva inevitabili interrogativi circa l’interazione con i principi del GDPR, in particolare la limitazione delle finalità e la minimizzazione dei dati.
Cosa succede adesso
L’accordo è ancora provvisorio e necessita dell’approvazione formale di Parlamento europeo e Consiglio prima dell’adozione definitiva e della pubblicazione nella Gazzetta ufficiale dell’Unione europea. Le istituzioni puntano a concludere il processo entro il 2 agosto 2026, per evitare l’incertezza giuridica legata all’entrata in applicazione originaria delle disposizioni ad alto rischio. Ma politicamente la direzione è ormai chiara.
L’Unione europea non sta abbandonando l’AI Act. Lo sta però già ricalibrandolo prima che gli obblighi più onerosi siano entrati in vigore. E questo da solo dice molto su quanto la regolamentazione dell’IA diventi difficile nel momento in cui passa dall’ambizione politica alla realtà operativa.
Cosa devono fare le imprese adesso
L’errore più grave che le imprese possano commettere in questa fase è interpretare le modifiche all’AI Act come un motivo per sospendere i progetti di conformità. È vero il contrario: l’accordo conferma che il quadro normativo sta diventando più complesso, non meno. Le imprese devono ora verificare se i propri sistemi di IA ricadano direttamente nell’AI Act, nella legislazione settoriale, o in una combinazione di entrambi.
Per molte organizzazioni — in particolare nel settore manifatturiero, automotive, medtech, prodotti connessi e tecnologia industriale — questo esercizio non può più essere gestito dai soli uffici legali in isolamento. Le imprese dovrebbero ora: mappare i sistemi di IA integrati in prodotti e servizi; verificare se la legislazione settoriale possa sostituire parzialmente gli obblighi dell’AI Act; rivedere i processi di valutazione della conformità; rivalutare l’allocazione contrattuale delle responsabilità lungo la catena di fornitura; valutare gli obblighi di trasparenza per i contenuti generati dall’IA; allineare la governance dell’IA con GDPR, cybersicurezza, sicurezza dei prodotti, NIS2 e DORA ove applicabili.
Un punto critico riguarda infine la governance: l’accordo dimostra che l’AI Act continuerà a evolversi attraverso atti delegati, atti di esecuzione e orientamenti regolatori. La conformità non può quindi essere affrontata come un adempimento una tantum da completare entro una scadenza. Le imprese che gestiranno con maggiore efficacia la transizione all’AI Act non saranno necessariamente quelle in attesa di una certezza giuridica completa, ma quelle che stanno già costruendo framework di governance dell’IA capaci di evolversi insieme alla normativa.
About the Author: Giulio Coraggio
