Il 19 maggio 2026 la Commissione europea ha pubblicato la bozza delle linee guida sulla classificazione dei sistemi AI ad alto rischio ai sensi dell’articolo 6 dell’AI Act. Il documento era atteso entro il 2 febbraio 2026 e arriva con tre mesi di ritardo. Ma arriva in un momento cruciale: molte organizzazioni non hanno ancora una risposta certa su come classificare i propri sistemi.
Il nodo: quando un sistema nell’Allegato III non è ad alto rischio
L’art. 6 individua due categorie di sistemi ad alto rischio. La prima comprende i sistemi che costituiscono componenti di sicurezza di prodotti soggetti a legislazione UE elencata nell’Allegato I e che richiedono valutazione di conformità da parte di terzi. La seconda comprende i sistemi negli ambiti dell’Allegato III: infrastrutture critiche, istruzione, occupazione, servizi essenziali, forze dell’ordine, migrazione, giustizia.
Il nodo interpretativo è nel comma 3: un sistema che ricade nell’Allegato III non è automaticamente ad alto rischio se non pone un rischio significativo per la salute, la sicurezza o i diritti fondamentali, incluso il caso in cui non influenzi materialmente l’esito di un processo decisionale. Fino ad oggi, tracciare quel confine era rimasto a carico dei provider senza indicazioni operative.
Cosa chiariscono le linee guida
Le linee guida forniscono esempi pratici di sistemi che devono e non devono essere classificati come ad alto rischio per ciascuno degli ambiti dell’Allegato III. Non è una lista tassativa – gli esempi potranno essere aggiornati – ma è il primo riferimento operativo che traduce le categorie astratte del Regolamento in casi concreti.
Vengono precisati anche i quattro criteri che escludono l’alto rischio: il sistema svolge un compito procedurale strettamente delimitato; migliora il risultato di un’attività umana precedente senza sostituirla; rileva pattern decisionali senza influenzare in modo significativo la valutazione umana; svolge un compito preparatorio per una valutazione condotta da una persona. In questi casi la classificazione come alto rischio può essere esclusa.
Il documento è articolato in tre sezioni scaricabili separatamente: principi generali, sistemi dell’Allegato I e sistemi dell’Allegato III. Chi opera in un settore specifico può consultare solo la sezione pertinente.
Tre azioni immediate
- Leggere la sezione dell’Allegato III relativa al proprio settore e verificare se i sistemi in uso rientrano negli esempi ad alto rischio o in quelli esclusi. Non è una verifica solo tecnica: richiede il coinvolgimento del team legale e del DPO.
- Documentare la valutazione. L’art. 6(4) impone ai provider che ritengono il proprio sistema non ad alto rischio di documentare questa valutazione prima di immettere il sistema sul mercato. La documentazione deve essere disponibile su richiesta delle autorità di vigilanza.
- Monitorare la versione definitiva. Le linee guida sono in bozza: chi ha già avviato la classificazione dovrà verificare che le conclusioni reggano anche alla luce del testo finale.
Le linee guida non risolvono tutte le ambiguità, ma riducono significativamente l’area grigia in cui molte organizzazioni operavano.
