Linee guida AI Act alto rischio: la bozza della Commissione UE del 19 maggio 2026 e cosa cambia per le PMI

DiTeam AI Policy Italia
linee guida AI Act alto rischio: schema di classificazione con i percorsi Allegato I, Allegato III e deroga art. 6

📋 Fonte ufficiale: Questo articolo si basa sul comunicato stampa della Commissione europea del 19 maggio 2026 e sulla pagina ufficiale AI Act della Commissione (digital-strategy.ec.europa.eu). La bozza delle linee guida è aperta a consultazione fino al 23 giugno 2026 sulla piattaforma AI Act Single Information Platform.

Linee guida AI Act alto rischio: la bozza della Commissione UE del 19 maggio 2026 e cosa cambia per le PMI

Le linee guida AI Act alto rischio sono finalmente arrivate. Il 19 maggio 2026, con tre mesi di ritardo rispetto alla scadenza originaria di febbraio 2026, la Commissione europea ha pubblicato la bozza delle linee guida che chiarisce quando un sistema di intelligenza artificiale deve essere classificato come “ad alto rischio” ai sensi dell’art. 6 del Regolamento UE 2024/1689 (AI Act). Per le PMI italiane che usano software con funzioni AI – dai gestionali HR ai sistemi di scoring del credito, dai tool di selezione del personale alle piattaforme per l’accesso a servizi essenziali – questo documento è il riferimento operativo più importante pubblicato dalla Commissione dall’entrata in vigore dell’AI Act. La consultazione pubblica è aperta fino al 23 giugno 2026.

Linee guida AI Act alto rischio: cosa sono e perché arrivano ora

L’AI Act divide i sistemi di intelligenza artificiale in categorie in base al livello di rischio: pratiche vietate, alto rischio, rischio limitato e rischio minimo. La categoria dell’alto rischio è quella che determina gli obblighi più pesanti: gestione documentata del rischio, requisiti di qualità dei dati, documentazione tecnica, registrazione delle attività, supervisione umana obbligatoria, monitoraggio post-commercializzazione.

L’art. 6 dell’AI Act stabilisce due percorsi verso la classificazione “ad alto rischio”. Il primo riguarda i sistemi che costituiscono componenti di sicurezza di prodotti soggetti a specifica legislazione UE (Allegato I). Il secondo, quello più rilevante per la maggior parte delle PMI, riguarda i sistemi che operano negli otto ambiti elencati nell’Allegato III del Regolamento – a meno che non si dimostri che il sistema non presenta un rischio significativo.

Le linee guida servono proprio a questo: fornire criteri operativi per applicare questa deroga (art. 6, par. 3 AI Act) e chiarire in quali casi un sistema che opera in uno degli ambiti dell’Allegato III può essere considerato non ad alto rischio. Era un documento atteso da mesi, perché senza di esso molte aziende non potevano sapere con certezza se i propri strumenti AI fossero o meno soggetti agli obblighi più gravosi.

Gli otto ambiti dell’Allegato III: dove scatta l’alto rischio

L’Allegato III dell’AI Act elenca otto categorie di ambiti in cui i sistemi AI sono presunti ad alto rischio (salvo deroga). Per una PMI italiana, i più rilevanti sono:

  1. Biometria – Sistemi di identificazione biometrica remota, sistemi di categorizzazione basati su caratteristiche biometriche, sistemi di riconoscimento delle emozioni
  2. Infrastrutture critiche – Componenti di sicurezza nella gestione di reti idriche, energetiche, di trasporto e di infrastrutture digitali
  3. Istruzione e formazione professionale – Sistemi che determinano l’accesso a percorsi educativi, valutano studenti, monitorano comportamenti in contesti formativi
  4. Occupazione e gestione dei lavoratori – Sistemi usati per il reclutamento e la selezione del personale, per prendere decisioni sulle condizioni di lavoro, per valutare le prestazioni, per gestire cessazioni del rapporto di lavoro
  5. Accesso a servizi essenziali pubblici e privati – Sistemi usati per valutare l’ammissibilità di persone fisiche a prestazioni sociali, per lo scoring del credito, per la valutazione del rischio assicurativo su persone fisiche, per il triage in emergenza
  6. Forze dell’ordine – Sistemi usati dalle autorità di polizia per valutare il rischio di reati, analizzare prove digitali, profilare individui
  7. Migrazione, asilo e controllo delle frontiere – Sistemi per valutare il rischio migratorio, per esaminare domande di asilo o visto, per il controllo alle frontiere
  8. Amministrazione della giustizia e processi democratici – Sistemi usati per assistere autorità giudiziarie nell’applicazione del diritto, nell’interpretazione di fatti e leggi

Per la maggior parte delle PMI italiane, i punti 4 (occupazione) e 5 (servizi essenziali) sono quelli con l’impatto pratico più diretto.

Cosa cambia con la bozza di linee guida: la deroga dell’art. 6 par. 3

Il punto più importante della bozza riguarda l’applicazione della deroga prevista dall’art. 6, par. 3 dell’AI Act: un sistema che opera in uno degli ambiti dell’Allegato III può essere classificato come non ad alto rischio se il fornitore dimostra che non presenta un rischio significativo di danno per la salute, la sicurezza o i diritti fondamentali delle persone fisiche.

Le linee guida forniscono criteri operativi per applicare questa deroga. I fattori rilevanti includono: se il sistema è destinato a prendere decisioni che incidono direttamente su persone fisiche identificabili, se è usato in un contesto in cui le decisioni producono effetti giuridici o equivalenti, se esistono meccanismi di supervisione umana effettiva in grado di rilevare e correggere gli output del sistema prima che producano effetti.

Un elemento importante chiarito dalla bozza è la distinzione tra sistemi che supportano una decisione umana e sistemi che sostituiscono quella decisione. Un tool HR che produce una classifica di candidati su cui poi un responsabile delle risorse umane decide autonomamente è in una posizione diversa rispetto a un sistema che filtra automaticamente i CV senza intervento umano significativo. Questa distinzione, tuttavia, richiede una valutazione caso per caso che la bozza guida ma non automatizza.

Tre scenari pratici per PMI italiane

Scenario 1 – Il software HR con screening automatico dei CV

Un’azienda manifatturiera usa un software HR che analizza automaticamente i CV ricevuti tramite il sito aziendale, assegna un punteggio di pertinenza a ciascun candidato e produce una short list dei profili più adatti al ruolo. Il responsabile HR riceve la short list e decide chi convocare per il colloquio.

Classificazione probabile: il sistema opera nell’ambito “occupazione e gestione dei lavoratori” dell’Allegato III e produce output che influenzano direttamente l’accesso a opportunità di lavoro di persone fisiche identificabili. Senza misure di supervisione umana effettiva sull’intero processo – non solo sulla short list finale – è probabile che rientri nell’alto rischio. La bozza di linee guida chiarisce che la supervisione umana deve essere “significativa”, non formale.

Cosa fare: verificare con il fornitore del software se il sistema è già stato valutato rispetto all’art. 6 AI Act e se dispone di documentazione tecnica. Consultare la nostra guida sull’AI agentica e l’alto rischio per approfondire il tema della supervisione umana.

Scenario 2 – Il tool di scoring del credito per una finanziaria

Una società di credito al consumo usa un sistema AI che analizza i dati del richiedente (reddito, storico dei pagamenti, dati comportamentali) e produce un punteggio di affidabilità creditizia che determina automaticamente l’approvazione o il rifiuto della richiesta di finanziamento.

Classificazione probabile: il sistema opera nell’ambito “accesso a servizi essenziali” dell’Allegato III (scoring del credito su persone fisiche) e produce decisioni che hanno effetti giuridici o equivalenti diretti sull’interessato. Questo è uno degli esempi più chiari di alto rischio secondo l’AI Act, già prima della bozza di linee guida. La deroga dell’art. 6 par. 3 è difficilmente applicabile quando il sistema determina automaticamente l’esito della richiesta.

Cosa fare: avviare subito la valutazione di conformità, predisporre la documentazione tecnica e il registro delle attività. Le scadenze per gli obblighi di alto rischio sono il 2 dicembre 2027 (sistemi autonomi) e il 2 agosto 2028 (sistemi integrati in prodotti), ma la preparazione richiede mesi. Per approfondire gli obblighi, consulta la nostra guida alla DPIA per strumenti AI.

Scenario 3 – Il CRM con AI per la segmentazione dei clienti

Un’agenzia di marketing usa un CRM con funzioni AI che analizza il comportamento degli utenti sul sito, li segmenta in cluster e suggerisce quali offerte inviare a ciascun gruppo. Le decisioni finali sulle campagne sono sempre prese dal team marketing.

Classificazione probabile: il sistema non opera in nessuno degli otto ambiti dell’Allegato III. La segmentazione per fini di marketing non è inclusa tra le categorie di alto rischio. Il sistema rientra probabilmente nel rischio limitato o minimo, con obblighi molto più leggeri. Restano applicabili gli obblighi di trasparenza dell’art. 50 AI Act (se il sistema interagisce direttamente con persone fisiche) e gli obblighi GDPR sul trattamento dei dati comportamentali.

Cosa fare: verificare se il sistema interagisce direttamente con utenti finali (obbligo trasparenza art. 50 AI Act dal 2 agosto 2026) e aggiornare la mappatura degli strumenti AI. Per un inventario completo, consulta la nostra guida alla mappatura degli strumenti AI in azienda.

Le scadenze dopo il Digital Omnibus: cosa è cambiato

L’accordo provvisorio sul Digital Omnibus AI Act del 7 maggio 2026 ha modificato le scadenze per l’applicazione degli obblighi di alto rischio. Le nuove date sono:

  • 2 dicembre 2027 – Obblighi per i sistemi AI ad alto rischio “autonomi” elencati nell’Allegato III (tra cui sistemi HR, scoring del credito, biometria)
  • 2 agosto 2028 – Obblighi per i sistemi AI ad alto rischio integrati in prodotti soggetti a normative settoriali (Allegato I)
  • 2 agosto 2026 – Obblighi di trasparenza dell’art. 50 AI Act: questa scadenza NON è stata rinviata e si applica a tutti i sistemi AI, non solo a quelli ad alto rischio

Il rinvio vale tempo, non deregolazione. Gli obblighi restano invariati nella sostanza – cambiano solo le scadenze per la loro applicazione pratica. Per tutti i dettagli sulle nuove date, consulta il nostro articolo sul rinvio AI Act e le scadenze 2027-2028.

Come partecipare alla consultazione pubblica

La Commissione europea ha aperto una consultazione pubblica sulla bozza delle linee guida. La scadenza è il 23 giugno 2026 alle 22:00 CET. Possono partecipare sviluppatori, aziende, enti pubblici, ricercatori e cittadini.

Le osservazioni devono essere inviate tramite il questionario online ufficiale disponibile sulla piattaforma AI Act Single Information Platform della Commissione europea. Solo le risposte inviate attraverso quel canale saranno considerate nel report finale che la Commissione pubblicherà prima di adottare la versione definitiva delle linee guida.

Per le PMI che usano o sviluppano sistemi AI in uno degli otto ambiti dell’Allegato III, partecipare alla consultazione è un’opportunità concreta per contribuire a definire i criteri operativi che determineranno i propri obblighi normativi.

Checklist operativa: cosa fare adesso

  1. Verifica se i tuoi strumenti AI operano in uno degli otto ambiti dell’Allegato III – Concentrati su HR, scoring, accesso a servizi, biometria. Se hai dubbi, consulta la nostra guida sulla definizione di sistema AI
  2. Analizza se la funzione specifica produce output che influenzano direttamente persone fisiche – Non guardare il software nel suo complesso, ma la singola funzione AI
  3. Verifica se esiste supervisione umana effettiva sull’output del sistema prima che produca effetti su persone reali – non solo formale
  4. Chiedi al fornitore del software se il sistema è già stato valutato rispetto all’art. 6 AI Act e se dispone di documentazione tecnica. Le clausole da richiedere sono nella nostra guida ai contratti con fornitori AI
  5. Aggiorna la mappatura degli strumenti AI con una colonna “classificazione AI Act” per ogni sistema. Per il metodo, consulta la nostra guida alla mappatura
  6. Non trascurare la scadenza del 2 agosto 2026 per gli obblighi di trasparenza dell’art. 50 AI Act – questa data non è stata rinviata e si applica anche ai sistemi a rischio limitato che interagiscono con persone fisiche

Domande frequenti

Le linee guida del 19 maggio 2026 sono già vincolanti?

No. Si tratta di una bozza aperta a consultazione pubblica fino al 23 giugno 2026. La versione definitiva sarà adottata formalmente dalla Commissione in una fase successiva, presumibilmente tra fine 2026 e inizio 2027. Nel frattempo, il testo dell’AI Act (Regolamento UE 2024/1689) è già in vigore con le sue scadenze.

Se il mio sistema AI è nell’Allegato III, devo già fare qualcosa?

Non immediatamente per gli obblighi più pesanti. L’accordo Digital Omnibus del 7 maggio 2026 ha spostato le scadenze al 2 dicembre 2027 (Allegato III) e al 2 agosto 2028 (Allegato I). Tuttavia, gli obblighi di trasparenza dell’art. 50 AI Act restano in vigore dal 2 agosto 2026 e si applicano a tutti i sistemi AI, non solo a quelli ad alto rischio.

Come faccio a sapere se il mio software rientra nell’Allegato III?

L’Allegato III elenca otto ambiti specifici: biometria, infrastrutture critiche, istruzione e formazione professionale, occupazione e gestione dei lavoratori, accesso a servizi essenziali (inclusi prestiti e assicurazioni), forze dell’ordine, gestione della migrazione e dell’asilo, amministrazione della giustizia. Se il tuo software opera in uno di questi ambiti e soddisfa i criteri dell’art. 6, è probabile che sia ad alto rischio. La bozza di linee guida fornisce criteri operativi per applicare la deroga dell’art. 6, par. 3.

Posso partecipare alla consultazione pubblica sulle linee guida?

Sì. La consultazione è aperta fino al 23 giugno 2026 sulla piattaforma AI Act Single Information Platform della Commissione europea. Solo le risposte inviate tramite il questionario online ufficiale saranno considerate nel report finale.

Il mio CRM con funzioni di scoring o il mio software HR rientrano nell’alto rischio?

Dipende dalla funzione specifica. Un software HR che usa AI per selezionare candidati o valutare le prestazioni rientra nell’Allegato III ed è probabilmente ad alto rischio. Un CRM che usa AI per segmentare clienti a fini di marketing normalmente non rientra negli ambiti dell’Allegato III. La valutazione va fatta caso per caso sulla funzione specifica, non sul software nel suo complesso.

Approfondisci

Il tuo software è un sistema AI?
Il test ufficiale con i 7 criteri della Commissione UE e checklist interattiva

Rinvio AI Act 2027-2028
Le nuove scadenze del Digital Omnibus e cosa cambia per le PMI italiane

Obblighi trasparenza AI Act
Cosa fare entro il 2 agosto 2026: chatbot, contenuti generati, watermarking

Fonti e riferimenti ufficiali

  • Commissione europea – Comunicato stampa sulla consultazione per la classificazione dei sistemi AI ad alto rischio, 19 maggio 2026: digital-strategy.ec.europa.eu
  • Commissione europea – Bozza linee guida classificazione sistemi AI ad alto rischio (art. 6 AI Act), 19 maggio 2026 – disponibile sulla piattaforma AI Act Single Information Platform
  • Regolamento (UE) 2024/1689 (AI Act) – Artt. 6, 9, 10, 13, 14, 15 e Allegati I e III: eur-lex.europa.eu
  • Accordo provvisorio Digital Omnibus AI Act, PE-Consiglio UE, 7 maggio 2026 – nuove scadenze per l’alto rischio

Questo articolo non costituisce consulenza legale.

Articoli simili