Andrea Margiovanni .it

Diciassette mesi non sono una proroga

Il Digital Omnibus ha spostato al 2027 gli obblighi dell'AI Act sull'alto rischio, e nel software sanitario è partito il sospiro di sollievo. Ma la pressione non veniva da quella scadenza: viene da tre orologi, l'enforcement, l'ingegneria e il mercato, e nessuno dei tre è stato toccato.

C’è un sospiro di sollievo che gira in questi giorni tra chi costruisce software per la sanità. Il Digital Omnibus è stato adottato in via definitiva a fine giugno e gli obblighi dell’AI Act sui sistemi ad alto rischio slittano al 2 dicembre 2027, con una coda ulteriore ad agosto 2028 per l’intelligenza artificiale integrata in prodotti già regolamentati come i dispositivi medici. Il sollievo, va detto, ha argomenti seri dalla sua parte. La stessa Commissione ha ammesso implicitamente che il calendario originale non era sostenibile: le norme armonizzate non esistono ancora, le linee guida sulla classificazione sono arrivate in bozza a ridosso della scadenza, gli organismi notificati sono pochi e la capacità di certificazione del continente non avrebbe retto l’urto. Rinviare era la cosa razionale da fare, e chi oggi ricalibra i budget di conseguenza non sta facendo nulla di irresponsabile. Sta leggendo un segnale che il legislatore stesso ha mandato.

Il problema è che quel segnale dice una cosa diversa da quella che il mercato ci sta leggendo dentro. Il rinvio riguarda una scadenza. Il sollievo riguarda la pressione. E la premessa nascosta del sollievo, quella che nessuno esplicita perché data per ovvia, è che la pressione venisse dalla scadenza. Nel software sanitario questa premessa è falsa, e vale la pena smontarla con calma, perché su di essa si stanno prendendo in queste settimane decisioni di budget, di roadmap e di organico che qualcuno rimpiangerà.

La pressione, in questo settore, arriva da tre orologi diversi. Nessuno dei tre è stato toccato dal Digital Omnibus.

Il primo orologio: chi controlla già oggi

Il primo orologio è quello dell’enforcement, e segna il tempo presente. Chi si occupa di compliance lo sa già, ma vale la pena dirlo a beneficio di chi guarda i regolamenti dalla plancia di comando: l’autorità che controlla un sistema di intelligenza artificiale che tratta dati clinici non è l’autorità dell’AI Act, che entrerà a regime tra un anno e mezzo. È il Garante, che applica il GDPR da otto anni con strumenti collaudati, giurisprudenza consolidata e un potere sanzionatorio che ha appena dimostrato di saper usare anche contro soggetti di primissimo piano. E il Garante ha passato gli ultimi mesi a dire con notevole chiarezza dove sta guardando: ha richiamato pubblicamente il settore sanitario a un uso responsabile dei dati e dell’intelligenza artificiale, e ha avvertito formalmente una startup per un sistema che pretendeva di rilevare emozioni e livello di stress dei dipendenti. Quel secondo provvedimento merita un momento di attenzione, perché il riconoscimento delle emozioni in ambito lavorativo è una delle pratiche che l’AI Act vieta. L’autorità non ha aspettato che il divieto diventasse azionabile con gli strumenti del nuovo regolamento: ha usato quelli che aveva già. È un’anteprima di come funzionerà tutto il resto. Le due normative non sono in sequenza, con la seconda che dà il cambio alla prima; sono sovrapposte, e la più vecchia copre già oggi gran parte del terreno che la nuova formalizzerà domani. Un modello che tratta dati sanitari senza base giuridica solida, senza minimizzazione dimostrabile, senza trasparenza verso gli interessati non è un problema del 2027. È un problema di questo trimestre, con sanzioni di questo trimestre.

C’è un principio del GDPR che rende questa sovrapposizione particolarmente insidiosa per chi si è rilassato, ed è l’accountability. Non basta essere conformi: bisogna poter dimostrare di esserlo, in ogni momento, su richiesta. Chiunque abbia gestito un’istruttoria sa che la differenza tra un procedimento che si chiude in un mese e uno che degenera sta quasi interamente nella qualità delle evidenze che si riescono a produrre nelle prime settimane. E le evidenze ci portano al secondo orologio.

Il secondo orologio: quello che non si riavvolge

Il secondo orologio è quello dell’ingegneria, e ha una proprietà che i calendari normativi non hanno: non si può riavvolgere. Gli obblighi che slittano al 2027 sembrano adempimenti documentali, il genere di cosa che un’organizzazione volenterosa sbriga in un trimestre di rincorsa con un paio di consulenti bravi. Guardati da vicino, sono un’altra cosa. Sono log immutabili che devono esistere dal primo giorno di esercizio del sistema, perché un log ricostruito non è un log, è una testimonianza. Sono il lineage dei dataset di addestramento: quali dati, da quale fonte, con quale base giuridica, in quale versione, trasformati da quale pipeline. È la documentazione delle decisioni di progetto prese quando venivano prese, non ricordate a distanza di anni da persone che nel frattempo hanno cambiato azienda. È il disegno della sorveglianza umana, che o è nell’architettura del sistema o non è da nessuna parte, perché aggiungere un punto di controllo umano a un flusso decisionale già in produzione significa riprogettare il flusso, non appendere un modulo.

Questa roba non si recupera. La documentazione prodotta dopo i fatti non è documentazione, è archeologia: si scava, si trova qualche reperto, si inventa il resto con la migliore buona fede possibile. Chi ha provato a ricostruire la provenienza dei dati di un modello addestrato due anni prima conosce la sensazione precisa: le persone che sapevano se ne sono andate, gli script che generavano i dataset sono stati riscritti, i bucket intermedi sono stati puliti per risparmiare storage, e quello che resta è una catena di deduzioni plausibili che nessuno firmerebbe davanti a un ispettore. Il debito di conformità si comporta come il debito tecnico, con un’aggravante che lo rende più pericoloso: il codice si può rifattorizzare, il passato no. Un CTO può sempre decidere di riscrivere un componente mal fatto. Non può decidere di aver loggato quello che non ha loggato.

La data fissa non è un regalo

C’è anche un dettaglio, nella storia di questo rinvio, che il sospiro di sollievo si è perso e che chi pianifica roadmap dovrebbe appuntarsi. Nella proposta originaria della Commissione le nuove scadenze erano condizionate: gli obblighi sarebbero scattati sei mesi dopo la conferma della disponibilità delle norme armonizzate, con il 2027 come semplice termine ultimo. Il negoziato ha tolto la condizione, e le date ora sono fisse. Sembra un regalo a chi rimanda, ed è il contrario. Per due anni la giustificazione ufficiale dell’attesa è stata che non ci si può adeguare a standard che non esistono; con le date sganciate dagli standard, quella giustificazione è morta. E gli standard, nel frattempo, arrivano lo stesso: la bozza delle linee guida sulla classificazione ha appena chiuso la consultazione pubblica, le norme armonizzate sono attese ben prima della scadenza, e ogni pezzo che viene pubblicato entra dal giorno dopo nei capitolati e nelle due diligence, senza aspettare il 2027. Pianificare un adeguamento che parte a metà 2027 significa scommettere di poter assorbire in sei mesi un metro che i concorrenti avranno avuto diciotto mesi per metabolizzare. Può darsi che vada bene. Ma costruire la propria posizione regolatoria su una scommessa del genere è una strategia che ha un nome, e il nome non è strategia.

Il terzo orologio: il mercato non aspetta

Il terzo orologio è quello del mercato, ed è quello che secondo me viene sottovalutato di più, anche perché non compare in nessuna gazzetta ufficiale. Mentre gli obblighi dell’AI Act slittavano, tutto il resto del quadro regolatorio europeo è rimasto esattamente dov’era. Le misure di sicurezza previste dal recepimento italiano della NIS2 vanno a regime in autunno, e da quel momento l’Agenzia per la Cybersicurezza può ispezionare. Gli obblighi di segnalazione delle vulnerabilità del Cyber Resilience Act scattano a settembre, e valgono anche per i prodotti già sul mercato, non solo per quelli futuri. E c’è un adempimento passato quasi inosservato che cambia la posizione di chiunque venda software a ospedali, regioni o grandi gruppi: i soggetti NIS hanno appena finito di comunicare all’autorità l’elenco dei propri fornitori rilevanti. Chi fornisce piattaforme a quei soggetti è ora, formalmente, dentro il loro perimetro di rischio. Con nome e cognome.

La conseguenza pratica di questo censimento è che i requisiti scenderanno lungo la filiera per via contrattuale molto prima che per via legislativa. Un ospedale o un prime contractor che deve dimostrare a ottobre la sicurezza della propria catena di fornitura non aspetterà il 2027 per chiedere ai fornitori evidenze, clausole di notifica degli incidenti, diritti di audit, processi di gestione delle vulnerabilità. Lo sta già facendo, o lo farà al primo rinnovo. E qui la prospettiva del CEO diventa più interessante di quella del giurista, perché il meccanismo di enforcement della filiera non prevede sanzioni, prevede sostituzioni. Il fornitore che si presenta al tavolo senza un fascicolo tecnico presentabile non riceve una multa, che si può contestare, rateizzare, mettere a bilancio. Riceve una mancata proroga, che non prevede ricorso. Il primo audit vero non lo farà un’autorità: lo farà un ufficio acquisti, e gli uffici acquisti non concedono attenuanti.

Il rovescio che nessuno calcola

Vale anche il rovescio, ed è la parte che nelle discussioni sul costo della compliance non entra quasi mai. In un mercato dove la maggioranza dei fornitori sta leggendo il rinvio come un permesso di rallentare, il fornitore che si presenta con log, lineage, decisioni documentate e un processo di notifica testato non sta dimostrando conformità: sta accorciando il ciclo di vendita. Ogni domanda del committente che si chiude con un link invece che con una riunione è margine. Ogni due diligence che dura una settimana invece che due mesi è un deal che non si raffredda. La conformità costruita durante lo sviluppo ha un costo quasi invisibile, perché si confonde con il costo di fare bene le cose; quella costruita dopo ha una voce di bilancio con il suo nome sopra, e in mezzo alle due c’è un divario che a livello di sistema qualcuno ha stimato in centinaia di migliaia di euro per una PMI che parte da zero sull’alto rischio. Ma il numero conta meno della forma della curva: il costo del rinvio non cresce linearmente col tempo, cresce col volume di passato non documentato che si accumula. Ogni sprint senza evidenze è un sedimento in più da scavare.

Una sola domanda, tre stanze

Se i tre orologi convergono su qualcosa, è una domanda sola, la stessa per i tre ruoli che di solito si dividono questo problema senza parlarsi. Il responsabile compliance se la sente fare da un’autorità: potete dimostrarlo? Il CTO se la sente fare in una architecture review: possiamo dimostrarlo? Il CEO se la sentirà fare in una due diligence, il giorno in cui l’azienda cercherà capitali o un compratore, e in quella stanza la risposta sbagliata non produce una sanzione ma uno sconto sul prezzo. La domanda è identica perché il quadro europeo, sotto le sigle, chiede una cosa sola: evidenza della diligenza. L’AI Act la chiede sui modelli, il GDPR sui dati, il CRA sulle vulnerabilità, la nuova direttiva sulla responsabilità da prodotto, che arriva a dicembre e include esplicitamente il software, la chiederà davanti a un giudice civile. Si può discutere all’infinito su quale scadenza slitti e quale no. La direzione del sistema non è in discussione, e la direzione è che la parola di chi produce software vale sempre meno e il suo archivio vale sempre di più.

Il fascicolo o la narrazione

Diciassette mesi sono esattamente il tempo che serve per fare questo lavoro senza emergenze, dentro i normali cicli di sviluppo, spalmandolo dove costa poco. Sono anche esattamente il tempo che serve per convincersi che ce n’è ancora. Il rinvio non ha spostato il lavoro: ha spostato la scusa. Chi comincia adesso arriverà a dicembre 2027 con un fascicolo che è cresciuto insieme al prodotto. Chi comincia a metà 2027 arriverà con una narrazione, e le narrazioni, davanti a un ispettore, a un ufficio acquisti o a un fondo in due diligence, hanno un tasso di conversione bassissimo.

Cosa ti porti a casa

  • Il rinvio al 2 dicembre 2027 riguarda una scadenza dell’AI Act, non la pressione regolatoria. Nel software sanitario la pressione arriva da tre orologi diversi (enforcement, ingegneria, mercato) e il Digital Omnibus non ne ha toccato nessuno.

  • L’autorità che controlla oggi un sistema di IA che tratta dati clinici non è quella dell’AI Act: è il Garante, che applica il GDPR da otto anni e ha appena avvertito formalmente una startup che rilevava le emozioni sul lavoro, con gli strumenti che ha già. Le due normative sono sovrapposte, non in sequenza.

  • Log immutabili, lineage dei dataset, decisioni di progetto documentate quando vengono prese e sorveglianza umana disegnata nell’architettura non si recuperano a posteriori. La documentazione prodotta dopo i fatti è archeologia: il codice si può rifattorizzare, il passato no.

  • Le date del rinvio sono fisse: la proposta originaria le legava alla disponibilità delle norme armonizzate, il negoziato ha tolto la condizione. È la fine dell’alibi «non ci si può adeguare a standard che non esistono»: gli standard arrivano comunque prima della scadenza, ed entrano subito nei capitolati e nelle due diligence.

  • NIS2 e CRA non sono slittati, e i soggetti NIS hanno appena censito i propri fornitori rilevanti: i requisiti scenderanno lungo la filiera per via contrattuale molto prima che per via legislativa. Il fornitore senza evidenze non riceve una multa, riceve una mancata proroga. E gli uffici acquisti non concedono attenuanti.

Domande e risposte

Cosa ha rinviato esattamente il Digital Omnibus per il software sanitario?

Gli obblighi dell’AI Act sui sistemi ad alto rischio slittano al 2 dicembre 2027, con una coda ad agosto 2028 per l’intelligenza artificiale integrata in prodotti già regolamentati come i dispositivi medici. Il rinvio ha argomenti seri: le norme armonizzate non esistono ancora, le linee guida sulla classificazione sono arrivate in bozza a ridosso della scadenza e gli organismi notificati sono pochi. Ma riguarda solo quelle scadenze: tutto il resto del quadro regolatorio europeo è rimasto dov’era.

Perché il rinvio dell'AI Act non riduce la pressione su chi tratta dati clinici?

Perché l’autorità che controlla oggi un sistema di IA che tratta dati clinici non è quella dell’AI Act, che entrerà a regime tra un anno e mezzo: è il Garante, che applica il GDPR da otto anni. E il Garante ha appena avvertito formalmente una startup per un sistema di rilevazione delle emozioni dei dipendenti, una delle pratiche che l’AI Act vieta, usando gli strumenti che ha già. Le due normative sono sovrapposte, non in sequenza: un modello che tratta dati sanitari senza base giuridica solida non è un problema del 2027, è un problema di questo trimestre.

Perché la documentazione di conformità non si può ricostruire a posteriori?

Perché gli obblighi che sembrano adempimenti documentali sono in realtà proprietà del sistema che devono esistere dal primo giorno di esercizio: log immutabili (un log ricostruito non è un log, è una testimonianza), lineage dei dataset di addestramento, decisioni di progetto registrate quando vengono prese, sorveglianza umana disegnata nell’architettura. Chi ha provato a ricostruire la provenienza dei dati di un modello addestrato due anni prima lo sa: le persone se ne sono andate, gli script sono stati riscritti, i bucket intermedi sono stati puliti. Il debito di conformità è come il debito tecnico, con un’aggravante: il codice si può rifattorizzare, il passato no.

La scadenza del 2 dicembre 2027 è definitiva?

Sì, ed è la differenza più importante rispetto alla proposta originaria della Commissione, dove gli obblighi sarebbero scattati sei mesi dopo la conferma della disponibilità delle norme armonizzate, con il 2027 come semplice termine ultimo. Il negoziato ha eliminato la condizione: le date sono fisse. Ma la certezza del calendario non è un permesso di rimandare. Toglie l’alibi dell’attesa degli standard, e gli standard arrivano comunque prima della scadenza: la bozza delle linee guida sulla classificazione ha già chiuso la consultazione pubblica e le norme armonizzate sono attese ben prima del 2027. Ogni pezzo pubblicato entra subito nei capitolati e nelle due diligence, senza aspettare la data di applicazione.

Cosa succede sul mercato mentre gli obblighi dell'AI Act slittano?

Tutto il resto va avanti. Le misure di sicurezza del recepimento italiano della NIS2 vanno a regime in autunno, gli obblighi di segnalazione delle vulnerabilità del CRA scattano a settembre e valgono anche per i prodotti già sul mercato, e i soggetti NIS hanno appena comunicato all’autorità l’elenco dei propri fornitori rilevanti. Chi fornisce piattaforme a ospedali, regioni o grandi gruppi è ora formalmente dentro il loro perimetro di rischio, e i requisiti scenderanno lungo la filiera per via contrattuale: evidenze, clausole di notifica degli incidenti, diritti di audit. Chi si presenta senza fascicolo non riceve una multa, riceve una mancata proroga.

L'autore

Andrea Margiovanni

Andrea Margiovanni

Seguo il rapporto fra AI e regolazione europea come fatto politico, non come spettacolo tecnico. Lavoro con team che devono renderla compatibile con AI Act, CRA, NIS2 senza ridurre la compliance a una checklist.

Vai al percorso
© 2026 Andrea Margiovanni Realizzato con cura, a mano