Nel 2026 entrano in gioco gli obblighi più incisivi dell’AI Act: dopo l’avvio delle regole per i modelli GPAI nell’estate 2025, da agosto 2026 scattano gli adempimenti per i sistemi ad alto rischio (risk management, dati, documentazione tecnica, sorveglianza post-mercato). Le aziende stanno formalizzando il ruolo dell’AI Compliance & Model Risk Lead, ponte tra prodotto, data, legale e sicurezza, con responsabilità su evidence pack, audit e gestione incidenti.
- Cosa cambia davvero nel 2026: high-risk, gPAI e scadenze
- Evidence pack “AI-ready”: dati, modelli e documentazione tecnica
- Post-market & incident: monitoraggio, segnalazioni e correzioni
Cosa cambia davvero nel 2026: high-risk, GPAI e scadenze
Il quadro è a fasi: dal 2 agosto 2025 si applicano gli obblighi per i provider di modelli GPAI (trasparenza, sicurezza, copyright – supportati da Code of Practice e template per il riepilogo dei dati di training). Da agosto 2026 scatta il blocco principale per i sistemi ad alto rischio: registri, gestione del rischio, dati e log, conformità ex ante e sorveglianza post-mercato. L’UE ha chiarito i passaggi con timeline e strumenti operativi pubblicati tra luglio e settembre 2025.
Nota per i deployer: per molte applicazioni ad alto rischio è richiesta una valutazione d’impatto sui diritti fondamentali (FRIA) prima dell’uso; la scadenza operativa è fissata al 2 agosto 2026.
Evidence pack “AI-ready”: dati, modelli e documentazione tecnica
L’AI Compliance & Model Risk Lead costruisce e mantiene un pacchetto probatorio unico, allineato agli articoli su documentazione e gestione del rischio:
- Dataset governance: tracciabilità del lineage (fonti, licenze, filtri), qualità e rappresentatività con metriche e controlli su drift/bias; per i GPAI il provider deve pubblicare un “sommario” dei contenuti di training secondo il template della Commissione (utile anche per chi fine-tuna);
- Documentazione tecnica: descrizione del sistema, scopi, limiti, versioning dei modelli, benchmark, controlli di robustezza e cybersicurezza; piani di data & model retention e registri di eventi a prova di ispezione;
- Ruoli e re-qualification: attenzione al perimetro, alcuni atti (modifica sostanziale, ri-immissione, integrazione profonda) riqualificano distributori/deployer come provider, con obblighi e responsabilità aggiuntive.
Esempio operativo: una banca che usa un modello di credit scoring (alto rischio) centralizza in un repository: datasheet dei dataset, model card, report di fairness/robustezza, log di decisione e di override umano, oltre al piano di sorveglianza e alle procedure di decommissioning.
Post-market & incident: monitoraggio, segnalazioni e correzioni
Dal 2026 i provider di high-risk devono attivare un sistema di sorveglianza post-mercato: raccolta e analisi continua delle performance in campo, canali per feedback/ricorsi utente, aggiornamenti e correttive gestite con controllo di versione.
Se avviene un “serious incident”, scatta la segnalazione all’autorità di vigilanza del Paese interessato entro 15 giorni dalla conoscenza del nesso (con tempi più brevi per casi gravi), secondo la bozza di guida e template pubblicati dalla Commissione a fine 2025. Prevedi un runbook con owner, criteri di gravità, report iniziale (anche incompleto) e follow-up correttivo.
Esempio pratico: un ospedale privato segnala al fornitore un aumento di falsi negativi in triage radiologico: il provider apre un ticket PSM, valuta l’impatto, emette mitigazioni (threshold temporaneo + revisione umana obbligatoria), e valuta se ricorrono i presupposti per serious incident reporting entro le finestre previste.
Il 2026 è l’anno in cui l’AI passa da “best practice” a compliance verificabile: GPAI con trasparenza e template pubblici già dal 2025, high-risk con dossier e sorveglianza dal 2026, incident reporting con finestre definite. Chi struttura ora ruoli, dati e processi arriverà al 2027 con meno attriti e più fiducia.
