La Commissione europea ha aperto il 19 maggio 2026 una consultazione mirata sulle nuove linee guida che devono chiarire uno dei punti più delicati dell’AI Act: quando un sistema di intelligenza artificiale debba essere classificato come “ad alto rischio”. La consultazione resterà aperta fino al 23 giugno 2026. Nello stesso giorno Bruxelles ha pubblicato la bozza degli orientamenti, articolata in tre documenti:
- principi generali,
- casi relativi ai prodotti regolati dell’allegato I
- casi d’uso dell’allegato III.
L’obiettivo dichiarato è aiutare fornitori, utilizzatori e autorità di vigilanza ad applicare in modo uniforme l’articolo 6 del regolamento europeo sull’AI.
Il punto conta più del dibattito tecnico. Nell’architettura dell’AI Act, la categoria “high-risk” è quella che determina gli obblighi più pesanti: gestione del rischio, qualità dei dati, documentazione tecnica, registrazione, supervisione umana, monitoraggio post-commercializzazione. Una definizione incerta rischiava di lasciare imprese e pubbliche amministrazioni in una zona grigia proprio mentre il regolamento si avvicina alla fase operativa.
Per questo la Commissione insiste sul fatto che le linee guida servono a ridurre l’incertezza e a rendere più prevedibile l’enforcement, pur ricordando che non sono vincolanti e che l’interpretazione definitiva spetta alla Corte di giustizia dell’Ue.
Indice degli argomenti:
Due porte d’ingresso nell’alto rischio
La bozza conferma che un sistema di AI entra nell’alto rischio attraverso due canali. Il primo è quello dell’articolo 6, paragrafo 1: riguarda i sistemi che sono essi stessi prodotti regolati, oppure componenti di sicurezza di prodotti coperti dalla normativa armonizzata europea, quando questi prodotti richiedono una valutazione di conformità di terza parte.
Il secondo è quello dell’articolo 6, paragrafo 2: riguarda sistemi “stand alone” destinati a usi specifici elencati nell’allegato III, in settori dove un errore può incidere su salute, sicurezza o diritti fondamentali.
Il primo canale interessa soprattutto industria, manifattura, macchine, dispositivi medici, automotive, aviazione, giocattoli e altri prodotti soggetti a regole europee di sicurezza. La bozza chiarisce che non ogni software di AI integrato in un prodotto regolato diventa automaticamente “high-risk”.
La soglia scatta solo se il sistema svolge una funzione di sicurezza oppure se il suo guasto o malfunzionamento può mettere in pericolo persone o beni.
Per questo la Commissione porta esempi molto concreti: un sistema che arresta un robot industriale quando rileva la presenza umana può essere ad alto rischio; un algoritmo che consiglia musica in un giocattolo connesso, no.
C’è un passaggio rilevante anche per l’elettronica di consumo. Le linee guida spiegano che molti elettrodomestici intelligenti, compresi termostati, frigoriferi, televisori o purificatori d’aria, resteranno fuori dalla categoria alta se il loro uso riguarda comfort, efficienza o comodità e un malfunzionamento non crea un rischio per la sicurezza. È una precisazione che restringe il perimetro rispetto alle letture più estensive diffuse negli ultimi mesi tra consulenti e imprese.
Il cuore politico della bozza è l’allegato III
Il secondo canale, quello dell’allegato III, è il più sensibile sul piano economico e politico. Qui rientrano otto aree:
- biometria,
- infrastrutture critiche,
- istruzione e formazione,
- occupazione,
- accesso a servizi pubblici e privati essenziali,
- forze dell’ordine,
- migrazione e asilo,
- giustizia e processi democratici.
La bozza ribadisce che la lista dei casi d’uso è tassativa e che non ogni sistema impiegato in questi ambiti è automaticamente ad alto rischio. Però l’effetto pratico resta ampio, perché molte applicazioni oggi già sul mercato toccano almeno uno di questi ambiti.
Tra i casi più rilevanti per il mercato ci sono la selezione del personale, l’analisi e il filtraggio dei curricula, il targeting degli annunci di lavoro, la valutazione della solvibilità delle persone fisiche, il pricing nel ramo vita e salute, l’assegnazione di benefici pubblici, la gestione delle chiamate d’emergenza, la valutazione in ambito educativo e diversi usi della biometria.
In altre parole, banca, assicurazione, hr tech, edtech, govtech e sicurezza sono i comparti che più probabilmente dovranno rivedere prodotti, contratti e materiali commerciali.
La nozione decisiva è “finalità prevista”
Il criterio che attraversa tutta la bozza è la “intended purpose”, la finalità prevista dal fornitore. La Commissione scrive che conta ciò che il produttore dichiara nei manuali, nella documentazione tecnica, nei materiali promozionali e nelle policy d’uso. Se un sistema viene presentato come utilizzabile in una pluralità di contesti e non esclude in modo coerente gli impieghi ad alto rischio, quella presentazione può bastare a far ricadere il prodotto nell’alto rischio.
È un punto con implicazioni commerciali dirette: non conta solo ciò che il modello fa, ma anche come viene venduto.
Per i fornitori di modelli general purpose o di software modulari non basta inserire una clausola nei termini di servizio per dire che gli usi ad alto rischio sono vietati, se poi il marketing, gli esempi di implementazione o il posizionamento commerciale suggeriscono esattamente quegli impieghi.
Bruxelles prova così a chiudere una falla emersa da subito nel dibattito sull’AI Act: la possibilità di scaricare la responsabilità sui clienti finali lasciando però aperto, di fatto, l’uso in ambiti sensibili.
Il “filtro” che alleggerisce, ma non cancella, gli obblighi
Una delle novità più importanti della bozza riguarda il cosiddetto filtro dell’articolo 6, paragrafo 3. La Commissione chiarisce quando un sistema che rientrerebbe nell’allegato III può essere escluso dalla classificazione high-risk: se svolge un compito procedurale ristretto, se migliora il risultato di un’attività umana già conclusa, se individua scostamenti rispetto a schemi decisionali precedenti senza sostituire il giudizio umano, oppure se svolge un compito preparatorio che non influenza materialmente la decisione finale.
Per le imprese questo è il capitolo più utile e, insieme, il più insidioso. Utile perché offre margini per tenere fuori dal perimetro alcuni software di supporto, ad esempio sistemi che ordinano documenti, rilevano duplicati o richiamano norme e precedenti senza valutare il caso concreto. Insidioso perché Bruxelles chiede un’autovalutazione formale del fornitore, la documentazione delle ragioni dell’esenzione e la registrazione nel database Ue.
Inoltre il filtro non si applica se il sistema effettua profilazione di persone fisiche. In caso di uso improprio, le autorità di sorveglianza possono riclassificare il prodotto e imporre misure correttive o sanzioni.
Dal punto di vista economico, il filtro diventa quindi uno strumento di compliance, non una scorciatoia. Le aziende dovranno dimostrare che il software non orienta in modo sostanziale la decisione su assunzioni, credito, prestazioni sociali o altri diritti. Questo spingerà molti fornitori a ridisegnare interfacce e workflow per limitare il peso dell’output algoritmico sul decisore umano. È un costo iniziale, ma anche un vantaggio competitivo per chi riuscirà a portare sul mercato strumenti chiaramente collocati fuori dall’alto rischio. (Fonte: European Commission)
Biometria, il capitolo più delicato
La parte più estesa e politicamente sensibile delle linee guida riguarda la biometria. La Commissione conferma come ad alto rischio i sistemi di identificazione biometrica remota, quelli di categorizzazione biometrica secondo attributi sensibili e quelli di riconoscimento delle emozioni, nei casi consentiti dalla legge. Il testo distingue in modo dettagliato fra identificazione remota, verifica dell’identità e semplice rilevazione di presenza umana. Non ogni uso di immagini o impronte è ad alto rischio, ma quando il sistema identifica una persona senza il suo coinvolgimento attivo e confronta dati biometrici con un database di riferimento, la classificazione scatta.
La bozza entra persino nei casi di polizia e chiarisce quando una ricerca biometrica postuma richiede autorizzazione giudiziaria o amministrativa vincolante. Per la ricerca mirata di un sospetto in un’indagine, la richiesta deve essere fatta ex ante o al più tardi entro 48 ore dall’avvio dell’uso del sistema. Sono esclusi alcuni casi di identificazione iniziale, ma il testo vieta in ogni caso usi indiscriminati o non mirati che portino a sorveglianza generalizzata. È un passaggio destinato a pesare nei rapporti fra industria della sicurezza, governi e garanti privacy.
Per il mercato europeo della biometria il messaggio è doppio. Da un lato Bruxelles non vieta in blocco queste tecnologie; dall’altro restringe il margine di ambiguità commerciale. Un sistema per il controllo accessi con partecipazione attiva dell’utente può restare fuori dall’identificazione remota. Un sistema che scandaglia video, internet o archivi per identificare persone senza coinvolgimento attivo entra invece nel perimetro più severo. La differenza, per fornitori e clienti, vale contratti pubblici, costi di certificazione e rischio reputazionale.
Occupazione, credito e welfare: qui si gioca l’impatto economico
Se la biometria è il capitolo più sensibile sul piano dei diritti, il blocco che riguarda lavoro, credito e servizi essenziali è quello con l’impatto economico più immediato. Nelle bozze la Commissione conferma che i sistemi usati per reclutare, selezionare, classificare candidature o indirizzare annunci di lavoro verso determinati gruppi rientrano fra i casi tipici di alto rischio quando incidono sulla sostanza del processo di assunzione. Lo stesso vale per la valutazione della solvibilità delle persone fisiche e per i sistemi che determinano accesso a benefici o servizi pubblici essenziali.
Per banche, assicurazioni, datori di lavoro e piattaforme software il tema non è solo giuridico. È anche industriale. La classificazione high-risk obbliga a investire in governance, auditing, documentazione e monitoraggio continuo. In un mercato europeo che sta cercando di tenere insieme tutela dei diritti e politica industriale, questo significa costi aggiuntivi nel breve periodo ma anche un probabile consolidamento dell’offerta: i player più piccoli o meno strutturati rischiano di uscire da segmenti regolati, mentre gruppi con capacità legale e tecnica maggiore possono assorbire meglio la compliance.
Bruxelles prova a bilanciare rigore e competitività
Il calendario politico spiega perché queste linee guida arrivano ora. L’AI Act è entrato in vigore il 1° agosto 2024. La Commissione ha poi creato l’AI Office nel maggio 2024 e ha attivato l’AI Act Service Desk e la Single Information Platform nell’ottobre 2025 per accompagnare l’attuazione.
Intanto l’esecutivo Ue ha messo al centro della sua agenda anche la competitività industriale, con l’AI Continent action plan e con la rete di 19 AI factories in 16 Stati membri, che secondo Bruxelles dovrebbero essere in gran parte operative entro la fine del 2026.
Nello stesso quadro si inserisce il cosiddetto AI Omnibus. La Commissione, nel pacchetto di semplificazione digitale presentato nel novembre 2025, ha sostenuto che le regole sui sistemi ad alto rischio dovrebbero applicarsi solo quando strumenti di supporto e standard armonizzati saranno pronti.
Il 7 maggio 2026 Consiglio e Parlamento hanno raggiunto un accordo provvisorio per spostare le date: 2 dicembre 2027 per i sistemi high-risk “stand alone” e 2 agosto 2028 per quelli incorporati in prodotti. È il segnale più chiaro del tentativo europeo di rallentare l’entrata in vigore pratica senza rinunciare all’impianto regolatorio.
Per le imprese questa proroga vale tempo, non deregolazione. Il messaggio di Bruxelles è che la compliance non viene cancellata, ma resa più graduale e più leggibile. Le linee guida sulla classificazione servono proprio a questo: dire prima, in modo più dettagliato, chi finirà davvero sotto il regime rafforzato. In termini economici, l’Ue sta cercando di trasformare una norma criticata per la sua complessità in una cornice più prevedibile, così da non frenare investimenti, procurement e sviluppo prodotto nei settori che usano AI sensibile.
Il mercato ora guarda alla consultazione
La consultazione aperta il 19 maggio 2026 non è un adempimento secondario. La Commissione chiede osservazioni sulla chiarezza del testo e sull’utilità degli esempi. Questo lascia spazio a banche, gruppi industriali, software house, ospedali, assicurazioni, sindacati, autorità nazionali e associazioni civiche per cercare di restringere o chiarire singoli casi.
Il terreno più conteso sarà probabilmente quello delle applicazioni “di frontiera”: software che assistono un decisore ma non decidono formalmente, sistemi general purpose adattati a funzioni hr o creditizie, strumenti biometrici per sicurezza privata e sistemi che aggregano più moduli separati.
Il nodo finale resta politico. L’Europa continua a difendere l’idea che la fiducia regolatoria possa essere un vantaggio competitivo. Ma il successo di questa strategia dipenderà da un equilibrio difficile: tenere alta la soglia di protezione nei casi che toccano lavoro, credito, salute, sorveglianza e democrazia, senza spingere imprese e investimenti fuori dal mercato europeo.
Le bozze diffuse il 19 maggio non chiudono il cantiere dell’AI Act. Però segnano un passaggio concreto: per la prima volta Bruxelles prova a tradurre l’etichetta “alto rischio” in una mappa operativa, settore per settore, caso per caso. Ed è su quella mappa che si misurerà una parte decisiva della politica industriale digitale europea.
Keyword
Titolo SEO (60 caratteri)
Meta description (130 caratteri)
