«Il Digital Omnibus è ancora in discussione, mentre l’AI Act ha già avviato il proprio percorso di entrata in vigore progressiva. Questa situazione può generare una certa incertezza nelle imprese: attendere le semplificazioni future oppure iniziare comunque a prepararsi agli obblighi dell’AI Act?».
Giuseppe Vaciago, partner di 42 Law Firm, non ha dubbi: «conviene iniziare comunque a lavorare sulla compliance». Il problema è che la sovrapposizione di disposizioni regolatorie sta creando incertezza fra le imprese.
Le prossime scadenze dell’AI Act
L’AI Act è un Regolamento già in vigore, con una roadmap precisa a cui le imprese sono chiamate ad adeguarsi. Entro il 2 agosto 2026 diventano applicative alcune delle norme chiave di questa legge, legate ai sistemi di intelligenza artificiale ad alto rischio.
Questa scadenza viene messa in discussione dal Digital Omnibus, che prevede un possibile slittamento al 2 dicembre 2027 oppure al 2 agosto 2028, a seconda delle specificità di questi sistemi di IA.
Stiamo parlando di software che, se applicati a determinati ambiti, sono considerati ad alto rischio dall’AI Act e comportano conseguenti obblighi per le imprese che li sviluppano o che li utilizzano: programmi per la selezione del personale, tool per valutare il merito di credito, controlli biometrici per ragioni di sicurezza. Sono relativamente diffusi anche fra le PMI, e comportano adempimenti in termini di valutazione dei rischi, controlli, privacy.
Le modifiche del Digital Omnibus
Vaciago riassume le principali novità che il Digital Omnibus mira a introdurre, oltre allo slittamento delle scadenze: prima di tutto «una maggiore armonizzazione tra i diversi regolamenti digitali, per evitare duplicazioni negli obblighi documentali e nelle procedure di compliance. Ma anche regimi semplificati per le PMI, soprattutto per quanto riguarda attività di reporting, valutazioni di rischio e obblighi informativi. E poi linee guida più chiare e strumenti standardizzati per consentire alle imprese di dimostrare la propria conformità senza dover sostenere costi eccessivi di consulenza o compliance».
Il legislatore comunitario si è mosso in recepimento di una serie di critiche sul rischio di eccessiva regolamentazione delle nuove tecnologie, spesso rivolto a Bruxelles. Molti si chiedono se il Digital Omnibus non sia una sorta di primo passo verso una deregolamentazione destinata a diventare più sostenuta.
Vaciago ritiene che non ci sia una volontà di deregolamentare il digitale ma uno sforzo per «rendere il quadro normativo più leggibile, coordinato e sostenibile per le imprese». Bruxelles vuole «da un lato, mantenere gli obiettivi di tutela e responsabilità che caratterizzano il modello europeo di regolazione del digitale. Dall’altro, garantire che questi obiettivi possano essere perseguiti senza creare un sistema eccessivamente complesso o oneroso per il tessuto imprenditoriale».
Imprese davanti all’incertezza normativa
L’approvazione del Regolamento è prevista per il mese di giugno, tempistica che consentirebbe di modificare l’AI Act prima della scadenza di agosto. Condizionale d’obbligo, perché fino all’approvazione definitiva non ci possono essere certezze né sulla scadenza né sulla reale portata delle modifiche.
Le imprese si trovano in una sorta di limbo, per cui sono chiamate a una serie di adempimenti che potrebbero poi decadere oppure slittare all’ultimo momento.
Come approcciare questa fase? Vaciago consiglia un approccio graduale alla compliance. «Anche se il Digital Omnibus dovesse introdurre alcune semplificazioni – argomenta -, è improbabile che vengano meno i principi fondamentali dell’AI Act, come la classificazione dei sistemi di AI in base al rischio, gli obblighi di governance e documentazione, le misure di trasparenza nei confronti degli utenti».
Nella pratica, le PMI dovrebbero iniziare con attività di base: «comprendere dove e come vengono utilizzati sistemi di AI all’interno dell’azienda. Valutare se possano rientrare nelle categorie di rischio previste dall’AI Act. Definire alcune prime regole interne sull’utilizzo degli strumenti di AI».
Sono attività che presentano un duplice vantaggio. Oltre a «ridurre il rischio di non conformità futura, consentono alle imprese di acquisire maggiore consapevolezza sull’uso dell’intelligenza artificiale nei propri processi».
