L’emanazione dell’AI Act (Regolamento UE 2024/1689) rappresenta il primo tentativo organico, a livello globale, di disciplinare l’intelligenza artificiale attraverso un sistema normativo unitario fondato sul cosiddetto “risk-based approach”, classificando i sistemi di intelligenza artificiale in base al grado di pericolosità che essi possono determinare per le persone, per la società e per le libertà individuali.
Sebbene il regolamento sia stato formalmente adottato nel 2024 ed entrato in vigore il 1º agosto dello stesso anno, la sua applicazione avviene in modo progressivo e graduale, secondo una scansione temporale differenziata che distribuisce nel tempo obblighi, divieti e requisiti di conformità. L’AI Act, pertanto, non è ancora pienamente operativo nella sua interezza, poiché molte delle disposizioni centrali entreranno in applicazione nei prossimi anni.
Vengono quindi individuate tassativamente e vietate le pratiche che comportano un rischio inaccettabile (unacceptable risk) per l’utente, perché considerate potenzialmente lesive della dignità umana e dei diritti fondamentali, come il social scoring effettuato dalle autorità pubbliche o i sistemi di categorizzazione biometrica fondati su convinzioni politiche, religiose o orientamenti personali. In questi casi il legislatore europeo non ha previsto semplici limiti o controlli, ma un vero e proprio divieto assoluto di utilizzo. Tale impostazione si coordina inevitabilmente con la Convenzione quadro del Consiglio d’Europa sull’intelligenza artificiale, i diritti umani, la democrazia e lo Stato di diritto, recentemente approvata con decisione 2026/1080/UE e pubblicata nella Gazzetta ufficiale dell’Unione europea, serie L. 2026/1081, del 13 maggio 2026.
Diversa è invece la disciplina prevista per i sistemi ad alto rischio (high risk), ossia quelle tecnologie che, pur potendo essere legittimamente impiegate, incidono su settori particolarmente delicati della vita delle persone. Rientrano in questa categoria, ad esempio, i sistemi utilizzati nei processi di selezione del personale, nella valutazione del merito creditizio, nella gestione delle infrastrutture critiche, nell’ambito sanitario o nei servizi pubblici essenziali. Per tali applicazioni l’AI Act impone obblighi rigorosi: valutazioni preventive di impatto, trasparenza, qualità dei dati utilizzati, supervisione umana e tracciabilità delle decisioni algoritmiche.
Accanto a queste categorie vi sono poi i sistemi a rischio limitato (limited risk), per i quali il regolamento richiede soprattutto obblighi informativi e di trasparenza. È il caso, ad esempio, dei chatbot o di alcuni sistemi di intelligenza artificiale generativa, rispetto ai quali l’utente deve essere consapevole di interagire con una macchina o di trovarsi di fronte a contenuti creati artificialmente.
Infine, il rischio minimo (minimal risk) comprende applicazioni ormai diffuse nella vita quotidiana, come i filtri antispam o alcuni videogiochi basati su IA, per i quali il legislatore europeo non ha ritenuto necessario introdurre obblighi specifici.
A partire dal 2 febbraio 2025 sono divenute operative le disposizioni relative alle definizioni, all’alfabetizzazione digitale in materia di IA e ai divieti concernenti i sistemi a rischio inaccettabile, mentre dal 2 agosto 2025 trovano applicazione gli obblighi relativi ai modelli di IA per finalità generali.
In questo scenario si inserisce il recente accordo provvisorio raggiunto il 7 maggio 2026 tra Parlamento europeo e Consiglio sul cosiddetto Digital Omnibus, il pacchetto normativo elaborato dalla Commissione europea con l’obiettivo di semplificare e coordinare alcune delle principali discipline digitali europee, compreso l’AI Act. L’intervento si è reso necessario soprattutto a causa delle difficoltà operative evidenziate da imprese, pubbliche amministrazioni e autorità nazionali rispetto all’imminente applicazione di gran parte degli obblighi previsti dal regolamento europeo sull’intelligenza artificiale.
La modifica più significativa riguarda proprio le scadenze relative ai sistemi ad alto rischio. Il termine inizialmente fissato al 2 agosto 2026 è stato rinviato al 2 dicembre 2027 per i sistemi stand-alone, ossia quelli utilizzati autonomamente in ambiti come il credito, il lavoro, le assicurazioni o le infrastrutture critiche. Così come l’obbligo di watermarking per i contenuti generati da AI come audio, immagini, video e testi sintetici è stato fissato al 2 dicembre 2026. Per i sistemi disciplinati anche da normative europee settoriali, come dispositivi medici o macchinari intelligenti, l’applicazione slitta invece al 2 agosto 2028.
Il Digital Omnibus, tuttavia, non introduce soltanto proroghe temporali. L’accordo prevede anche meccanismi di coordinamento tra l’AI Act e le normative settoriali europee, nel tentativo di evitare sovrapposizioni regolatorie e alleggerire gli oneri amministrativi per gli operatori economici.
Rimane però aperto il timore che il progressivo processo di semplificazione possa tradursi, nel lungo periodo, in un indebolimento delle garanzie poste a tutela dei diritti fondamentali. È proprio su questo equilibrio tra innovazione tecnologica, esigenze del mercato e protezione della persona che si giocherà l’effettiva efficacia del modello europeo di regolazione dell’intelligenza artificiale.
