Ad agosto 2026 entreranno in vigore le sanzioni per i sistemi di IA ad alto rischio. Le organizzazioni che sviluppano tali sistemi – i cosiddetti provider – dovranno garantire la conformità agli articoli 9-15 e 17 dell’AI Act per qualsiasi sistema che abbia impatto su individui nell’UE, anche se sviluppato e gestito fuori dall’Europa. Questi articoli delineano obblighi chiave, tra cui la valutazione e la mitigazione del rischio, la registrazione degli eventi, l’accuratezza, la robustezza, la cybersicurezza, la supervisione umana e le misure di trasparenza. Inoltre, richiedono l’istituzione di un sistema di governance attraverso un Quality Management System (QMS).
Indice degli argomenti
Problematiche del regolamento
Nonostante la precisione formale dei requisiti, il Regolamento non specifica come valutare e migliorare la robustezza o l’accuratezza di un sistema di IA. Questa lacuna genera incertezza, tanto che da un lato le aziende tecnologiche temono che l’AI Act si traduca in una barriera normativa, imponendo requisiti difficili da verificare. Dall’altro, organizzazioni per i diritti umani e accademici sottolineano che tale vaghezza potrebbe trasformarsi in una “scappatoia” normativa, con conformità ottenuta senza reale impegno e rischi persistenti per i diritti fondamentali.
Criticità eccessiva tecnicità e mancanza di praticità
Questa doppia criticità – eccessiva tecnicità in alcuni aspetti e mancanza di indicazioni pratiche in altri – rende il Regolamento un documento percepito al contempo come troppo tecnico e troppo generico. Ad esempio, obblighi su parametri complessi come la qualità dei dati o la robustezza di un sistema rischiano di rimanere inefficaci senza un’implementazione chiara, compromettendo l’obiettivo ultimo di garantire l’affidabilità di sistemi IA.
L‘AI Act nel contesto del New Legislative Framework
Un elemento spesso trascurato è che l’AI Act si inserisce nella cornice del New Legislative Framework (NLF) europeo, introdotto nel 2008. Questo quadro normativo è stato pensato per armonizzare le normative tecniche, semplificare il controllo di conformità dei prodotti all’interno del Mercato Unico Europeo e introdurre una politica completa sulla sorveglianza del mercato, spostando l’attenzione sull’applicazione delle normative durante l’intero ciclo di vita dei prodotti.
Il ruolo degli standard armonizzati
Al cuore del NLF vi è il ruolo strategico degli standard armonizzati, strumenti che trasformano i requisiti essenziali delle normative europee in specifiche tecniche dettagliate. Infatti, i produttori possono dimostrare la conformità dei loro prodotti attraverso l’adozione di standard armonizzati a livello europeo, e citati ufficialmente nell’Official Journal of European Union. Sebbene il loro utilizzo sia formalmente volontario, l’applicazione di tali standard conferisce una presunzione di conformità. In altre parole, le aziende possono ridurre significativamente il proprio carico burocratico e semplificare l’accesso al mercato rilasciando una “Dichiarazione di Conformità” agli standard armonizzati per i propri prodotti immessi sul mercato europeo.
L’AI Act, quindi, si colloca nel quadro normativo dell’NLF, che punta alla semplificazione, ma la sua efficacia dipenderà dalla capacità di tradurre requisiti generali in strumenti concreti, attraverso standard tecnici chiari. Il successo del Regolamento, così come la possibilità di evitare sia eccessivi oneri normativi che un’applicazione superficiale, risiederà nell’equilibrio tra indicazioni pratiche e rigore tecnico.
La scrittura degli standard europei, che hanno un ruolo essenziale nel garantire la presunzione di conformità, è spesso poco conosciuta. Non molti sanno che questo compito è affidato al Comitato Europeo di Normalizzazione (CEN) e al Comitato Europeo di Normalizzazione Elettrotecnica (CENELEC). Nel caso dell’IA è stato costituito il comitato tecnico congiunto JTC21 “AI” all’interno del quale avviene quel processo di consenso che porta alla definizione degli standard armonizzati richiamati espressamente dall’art. 40 dell’AI Act.
Sfide e critiche legate all’NLF
L’uso degli standard armonizzati per specificare i regolamenti nel contesto del New Legislative Framework (NLF) è un fenomeno relativamente nuovo. Per questo motivo, esiste ancora scarsa chiarezza sui processi di creazione di tali standard e sui principi alla base dell’NLF. Un esempio è rappresentato dal Medical Devices Regulation, il primo regolamento che ha seguito questo approccio e che ha aperto la strada per i successivi, come l’AI Act. L’idea chiave dell’NLF è quella di promuovere una collaborazione tra società civile, accademia e industria per definire i requisiti tecnici che implementano quelli “essenziali” dei regolamenti. Questa collaborazione coinvolge grandi aziende, PMI, ricercatori indipendenti, policy-maker e attivisti per i diritti umani.
Critiche e percezioni errate
Tuttavia, l’approccio perseguito dall’NLF non è privo di critiche: un recente report ha messo in luce diverse problematiche legate a questo modello, segnalando quelle che vengono definite sue “distorsioni”. Questo documento è stato citato anche recentemente, spesso rivelando una conoscenza limitata, persino in ambiti specializzati, del funzionamento dell’NLF, della filosofia che lo ispira e dei meccanismi alla base del CEN-CENELEC e della produzione di standard armonizzati. Ne emergono interpretazioni semplificate, che attribuiscono alle “big tech” un’influenza dominante sulla legislazione, percepita come frutto di decisioni prese in ambienti riservati e lontani dal dibattito pubblico.
Un esempio delle distorsioni
Un esempio di queste distorsioni è la presunta proibizione per i partecipanti di riportare i nomi e le opinioni degli altri esperti, che non ha riscontro in quanto, il codice di condotta specifica: “Revealing neither the identity nor the affiliation of other participants when using information received, but not included in official minutes without prior consent”. Questa regola, lungi dall’essere opaca, mira a garantire che non si riportino falsità a nome d’altri.
Il coinvolgimento di esperti indipendenti
Organizzazioni come UNINFO, responsabile per l’Italia della normazione dell’IT su delega dell’UNI, lavorano attivamente per assicurare la partecipazione di esperti indipendenti ai tavoli di lavoro. A dimostrazione dell’impegno basterebbe vedere in quante sedi, e quanto spesso, UNINFO spieghi il funzionamento del CEN-CENELEC JTC 21 (e non solo…) e attivamente cerchi di coinvolgere esperti. La scarsa partecipazione, quindi, non è da imputare a barriere strutturali, ma piuttosto alla poca familiarità con il funzionamento dell’NLF da parte di accademia, associazioni industriali, istituzione e via dicendo.
Partecipazione e controllo delle grandi aziende
Infine, per quanto riguarda eventuali ingerenze e controllo da parte delle big tech, un’analisi della composizione del management del CEN-CENELEC, dei project leader e dei Convenor rivela un’ampia rappresentanza di accademici, associazioni per diritti umani e PMI.
Necessità di maggiore consapevolezza e partecipazione
Per tutti questi motivi, ci sembra essenziale diffondere una maggiore conoscenza del funzionamento del New Legislative Framework, garantendo così una partecipazione più ampia di esperti indipendenti e dissipando i dubbi sulla validità di questo processo
Per quanto riguarda l’AI Act, il comitato CEN/CLC JTC21 “AI” sta lavorando contro il tempo per consegnare, entro agosto 2026, gli standard armonizzati in grado di garantire la presunzione di conformità.
Lavori in corso sugli standard armonizzati
La Commissione Europea ha richiesto che gli standard permettano la presunzione di conformità per gli articoli 9-15 e 17 del Regolamento AI, concentrandosi sugli aspetti tecnici dei sistemi ad alto rischio. Gli esperti europei si trovano quindi a discutere, non senza difficoltà, su come standardizzare temi complessi come accuratezza, robustezza, cybersicurezza, trasparenza, supervisione umana, gestione del rischio, sistemi di gestione della qualità, qualità dei dati, registrazione degli eventi e valutazione di conformità. Una sfida che si traduce in un’architettura di standard dettagliata ed ancora in via di sviluppo.
Sfide e carenze nella standardizzazione
Al momento, nessuno standard è stato pubblicato, ma diversi sono in fase avanzata di preparazione, e vedono l’Italia in un ruolo di primo piano. Tra questi, spiccano il lavoro sul “Risk Management”, l’“AI Trustworthiness Framework”, standard sulla cybersicurezza e sulla qualità dei dati, oltre ad uno dedicato alla gestione della qualità. Purtroppo, i lavori del CEN-CENELEC procedono a ritmo necessariamente rallentato, e le difficoltà non mancano.
Il primo e più evidente problema è la carenza di esperti. I gruppi di lavoro soffrono di una partecipazione insufficiente, sia in termini numerici sia di competenze specifiche. In secondo luogo, lo sviluppo di standard si basa su pratiche consolidate nel tempo, ma l’IA è una tecnologia troppo giovane ed in continua evoluzione. Prendendo spunto dal settore medico, ad esempio, lo standard sulla sterilizzazione raccoglie decenni di pratiche riconosciute. Nel caso dell’IA, al contrario, si tratta di costruire consenso su tecnologie in rapido mutamento, il che rende il processo più complesso ed incerto.
Complessità della standardizzazione nell’IA
In conclusione, è essenziale che il funzionamento del New Legislative Framework sia compreso nei suoi meccanismi fondamentali, non solo dagli esperti del settore, ma anche dalle istituzioni e dalla società civile. Il lavoro di standardizzazione richiede uno sforzo collettivo per colmare le lacune esistenti e garantire che l’AI Act venga implementato in modo efficace. Maggiore partecipazione e una maggiore consapevolezza potrebbero accelerare questo processo, contribuendo a valorizzare un approccio che, seppur poco spettacolare, ha un ruolo essenziale nel plasmare un futuro tecnologico trasparente, sicuro e inclusivo.
