Torna al blog
AI Act2 luglio 2026 5 min di lettura

Il trentuno luglio

AP
Angelo Pallanca
Digital Transformation & AI Governance

Il 31 luglio 2026, un'azienda europea che fa girare un sistema AI classificato ad alto rischio secondo l'Annex III dell'EU AI Act avrà davanti un giorno. Non un mese, non una settimana. Un giorno. È lo stato del calendario mentre scrivo, e se al Consiglio non cambia niente nelle prossime quattro settimane, sarà ancora lo stato del calendario la mattina del 1 agosto.

Cosa crede l'industria, cosa dice la legge

Chiedi oggi a un CIO o a un general counsel se la deadline del 2 agosto è reale, e metà risponderà di no. Ti porterà come argomento il Digital Omnibus, un accordo provvisorio raggiunto in Consiglio il 7 maggio che propone di rinviare gli obblighi Annex III al 2 dicembre 2027. Sedici mesi di pista in più. Abbastanza per respirare.

C'è un solo problema. Il Digital Omnibus non è legge. È un accordo politico fra Stati membri che non ha ancora completato la procedura legislativa ordinaria. Il trilogo non è chiuso. L'adozione formale non è avvenuta. E il calendario dello stesso Consiglio, mentre scrivo, non prevede l'adozione prima dell'autunno.

Quindi la situazione pratica al 2 luglio è questa. Il 2 agosto resta la data operativa. Il rinvio proposto al dicembre 2027 è reale come segnale, non è reale come obbligazione. È un orizzonte, non un pavimento.


La scommessa asimmetrica

Ho visto abbastanza cicli regolatori per riconoscere lo schema. Quando un rinvio è proposto ma non adottato, quasi tutte le aziende scelgono una fra due scommesse.

La prima scommessa è pianificare comunque per il 2 agosto. È quello che vogliono compliance e risk. È costoso a breve e noioso nel medio, perché se il rinvio passa, hai speso mesi su una deadline che si è spostata. Ma vince in entrambi gli scenari. Se il 2 agosto tiene, sei pronto. Se il rinvio passa, hai usato la pista per essere più che pronto.

La seconda scommessa è pianificare per dicembre 2027. È quello che vuole il CFO. Risparmi soldi ora. Perdi in uno solo scenario. Se il 2 agosto tiene, hai trentuno giorni per chiudere gap che la maggior parte delle aziende ha impiegato diciotto mesi a identificare, e stai guardando in faccia sanzioni fino a trentacinque milioni di euro o al sette per cento del fatturato globale, il maggiore fra i due.

Non è una moneta equa. Un esito ti costa tempo e denaro. L'altro ti costa il business.

Se il rinvio non arriva, hai trenta giorni. Se il rinvio arriva, ti sei preparato. Ogni giorno che non ti prepari, stai puntando sul secondo esito.


Cosa possono davvero fare i trentuno giorni

In quattro settimane, nessuna enterprise europea che parte da zero costruisce un programma di compliance AI Act completo. È vero. Ma ci sono tre cose realistiche in quel tempo, e che riducono l'esposizione, qualunque cosa decida il Consiglio.

La prima è l'inventario. La maggior parte del rischio-sanzione non sta nei sistemi che sai di avere, sta in quelli che sono scivolati silenziosamente in produzione negli ultimi tre anni, dentro tool HR, modelli di scoring credito, controllo accessi, quality inspection industriale. Se non fai altro, in trentuno giorni puoi produrre un inventario onesto di ogni sistema AI che stai gestendo o deploiando, incrociato contro l'Annex III.

La seconda è la classificazione. Per ogni sistema in inventario, classificalo secondo le quattro categorie AI Act, proibito, alto, limitato, minimo. La classificazione non è compliance, ma è il documento che il regolatore chiede il primo giorno di un'inchiesta. Non averlo è quello che trasforma un audit di routine in un caso.

La terza è la posture di disclosure. Il 2 agosto, se qualcuno dei tuoi sistemi ad alto rischio interagisce con utenti, l'Atto richiede trasparenza sull'uso dell'AI. Che tu abbia o meno il dossier di conformità completo, avere pronta una dichiarazione di disclosure è il trenta per cento della riduzione del rischio pratico, con meno del cinque per cento dello sforzo.

Perché conta per il tuo business

Gli ultimi due mesi prima di una deadline regolatoria sono, nella mia esperienza con GDPR, MiFID e Basel III, i mesi in cui la maggior parte del valore viene distrutta dal pensiero desiderativo. I clienti che ho visto attraversare bene queste transizioni hanno fatto ogni volta la stessa cosa. Si sono preparati per l'esito difficile ed erano contenti quando è arrivato quello facile.

Se il Consiglio adotterà formalmente il rinvio in ottobre, sarai pronto con sedici mesi di anticipo e avrai un vantaggio competitivo in ogni discussione di procurement con un cliente che non lo è. Se il rinvio non passerà, non sarai tu il CEO con il CFO al telefono con l'avvocato esterno alle undici della sera del 1 agosto.

Trentuno giorni. Pianifica per il calendario che vedi, non per quello che qualcuno ti ha detto potrebbe arrivare.

— Pan

Ti interessa approfondire?

Richiedi una proposta