Il 1° giugno 2026 ha segnato una svolta concreta nell’attuazione dell’AI Act europeo: la Commissione Europea ha formalmente nominato il Scientific Panel e l’Advisory Forum, i due organi che daranno corpo operativo all’enforcement del regolamento. Chi scrive ha avuto il privilegio e l’onore di essere invitato a partecipare ai lavori dell’Advisory Forum — un’esperienza che permette di osservare da vicino la complessità e l’ambizione del progetto regolatorio europeo.

L’AI Office: il centro di gravità dell’enforcement

L’AI Office della Commissione Europea è il punto di riferimento centrale per l’attuazione dell’AI Act. Coordina l’applicazione del regolamento a livello europeo, guida l’engagement internazionale dell’UE sull’intelligenza artificiale e si avvale di due organi consultivi distinti ma complementari.

Vale la pena sottolineare un aggiornamento normativo significativo: il 19 novembre 2025 la Commissione ha proposto il cosiddetto “AI Omnibus” (parte del Digital Simplification Package), con emendamenti mirati all’AI Act per renderlo più chiaro e favorevole all’innovazione. L’accordo provvisorio tra Parlamento Europeo e Consiglio è stato raggiunto il 7 maggio 2026, con adozione formale attesa entro agosto 2026.

Lo Scientific Panel: 60 esperti per valutare i modelli AI

Lo Scientific Panel è stato istituito ai sensi dell’articolo 68 dell’AI Act. Riunisce 60 esperti indipendenti di livello mondiale con competenze su AI di frontiera, ingegneria, auditing tecnico, impatto industriale e sociale.

I compiti principali del Panel includono:

  • Allertare l’AI Office sui rischi sistemici dei modelli AI
  • Consigliare sulla classificazione dei modelli GPAI (General Purpose AI)
  • Sviluppare metodologie di valutazione del rischio
  • Supportare le attività di sorveglianza del mercato transfrontaliere

In pratica, lo Scientific Panel trasforma l’enforcement dell’AI Act da testo normativo a scrutinio tecnico concreto. Le aziende che sviluppano o distribuiscono modelli AI di uso generale — come GPT, Claude, Gemini o Mistral — si trovano ora di fronte a un organo altamente qualificato e multidisciplinare che può classificare i loro modelli come modelli a rischio sistemico.

L’Advisory Forum: voce dell’industria, accademia e società civile

L’Advisory Forum è l’organo consultivo generale della Commissione Europea e dell’AI Board. A differenza del Scientific Panel — focalizzato sui modelli GPAI — l’Advisory Forum copre un raggio tematico più ampio: standardizzazione, sfide di implementazione, impatto sulle PMI, prospettive di accademia e società civile.

La composizione è volutamente plurale: include rappresentanti dell’industria (con attenzione specifica a PMI e startup), del mondo accademico, della società civile. Tra i membri permanenti figurano ENISA, l’Agenzia dell’UE per i Diritti Fondamentali (FRA) e gli organismi di standardizzazione europei (CEN, CENELEC, ETSI). I criteri di selezione hanno tenuto conto dell’equilibrio di genere e della diversità geografica.

Avere la possibilità di contribuire ai lavori dell’Advisory Forum significa portare una prospettiva italiana ed europea in un dibattito che definirà le regole del gioco per l’AI in Europa nei prossimi anni.

Le scadenze aggiornate: un mosaico, non un monolite

Il quadro normativo dell’AI Act non è un blocco unico che si sposta in avanti: ogni categoria di obblighi ha il proprio calendario. Ecco le date chiave aggiornate con l’accordo del 7 maggio 2026:

Già in vigore:

  • Febbraio 2025 — Divieti per i sistemi AI a rischio inaccettabile (social scoring, manipolazione subliminale, riconoscimento biometrico in tempo reale in spazi pubblici)
  • Agosto 2025 — Obblighi per i modelli AI di uso generale (GPAI): documentazione tecnica, trasparenza sui dati di training, valutazione del rischio sistemico

Prossime scadenze:

  • 2 agosto 2026 — Applicazione completa degli obblighi di trasparenza (art. 50): disclosure per output AI generati, watermarking machine-readable per contenuti audio, video, immagini e testi sintetici
  • 2 dicembre 2026 — Obbligo di watermarking per contenuti generati da AI (data aggiornata con l’accordo provvisorio PE-Consiglio del 7 maggio 2026)
  • 2 agosto 2027 — Termine ultimo per la conformità dei sistemi AI ad alto rischio integrati in prodotti regolamentati (dispositivi medici, veicoli, infrastrutture critiche)
  • 2 dicembre 2027 — Applicazione degli obblighi per i sistemi AI ad alto rischio (Allegato III): sistemi usati in ambito sanitario, scolastico, lavorativo, giudiziario e nelle infrastrutture critiche
  • 2 agosto 2028 — Termine ultimo per i sistemi AI già integrati come componenti di sicurezza in prodotti regolati da normative europee preesistenti (macchinari, ascensori, dispositivi medici)

Impatto concreto sulle PMI italiane

Le PMI italiane che usano strumenti AI — e sono la grande maggioranza, spesso senza rendersene conto — si trovano in una posizione particolare. Il quadro normativo prevede trattamenti di favore per le piccole e medie imprese: sanzioni calcolate sull’importo più basso tra le soglie assolute e percentuali del fatturato. Ma l’obbligo di conformità rimane.

Il primo passo obbligatorio per qualsiasi PMI è una mappatura dei sistemi AI in uso. Le esperienze sul campo mostrano che aziende convinte di usare “un paio di tool” ne contano spesso una decina o più, tra Microsoft 365 Copilot, ChatGPT, strumenti verticali e shadow AI.

Cosa fare concretamente entro agosto 2026:

  • Inventario completo dei sistemi AI in uso (espliciti e shadow)
  • Classificazione per livello di rischio secondo l’AI Act
  • Verifica delle pratiche di trasparenza verso gli utenti finali
  • Registro dei modelli GPAI utilizzati (provider, versione, data di adozione)
  • Formazione del personale sull’uso corretto e consapevole degli strumenti AI

Un aspetto spesso sottovalutato: le PMI che integrano API di modelli GPAI di terze parti (OpenAI, Anthropic, Google, Mistral) diventano downstream provider e devono conoscere le caratteristiche del modello upstream per documentare la propria compliance. Non basta usare uno strumento certificato: bisogna saper dimostrare perché è idoneo all’uso specifico che se ne fa.

Il quadro italiano: ACN come autorità di riferimento

In Italia l’autorità di vigilanza generale per l’AI Act è l’ACN (Agenzia per la Cybersicurezza Nazionale), affiancata da AgID per la governance e la promozione, dal Garante Privacy per l’interfaccia con il GDPR e da autorità settoriali come Banca d’Italia, IVASS e AGCOM. In caso di controllo, una PMI potrebbe trovarsi di fronte a più di un’autorità contemporaneamente.

Vale la pena ricordare che la Legge 132/2025 ha già recepito nell’ordinamento italiano alcune disposizioni dell’AI Act, introducendo tra l’altro il reato di deepfake (art. 613-quater c.p.) e rafforzando il nesso con il Modello 231.

Conclusione

L’AI Act non è più un documento programmatico: è un sistema regolatorio operativo, con organi nominati, scadenze definite e sanzioni reali. La nomina del Scientific Panel e dell’Advisory Forum il 1° giugno 2026 rimuove l’ultimo alibi strutturale per chi trattava l’enforcement come qualcosa di astratto e lontano.

Per le PMI italiane il messaggio è chiaro: il tempo per prepararsi c’è ancora, ma va usato adesso — non dopo agosto 2026.

Per approfondimenti o consulenza sulla conformità all’AI Act, scrivici a info@aicybergen.com

Riferimenti ufficiali