Otto su Ventisette
Otto. E il numero di Stati membri dell’UE che hanno designato un punto di contatto unico per l’applicazione del Regolamento sull’IA. Su ventisette. Il termine per farlo era il 2 agosto 2025. Sette mesi fa.
Nessuna sanzione. Nessuna procedura d’infrazione. Nessuna dichiarazione pubblica di preoccupazione da parte della Commissione. Diciannove Stati membri hanno mancato un termine legalmente vincolante da sette mesi e non e successo nulla. Il regolamento che imporra sanzioni fino al 7% del fatturato mondiale alle imprese non conformi non ha prodotto conseguenze per i governi che non hanno costruito l’apparato di applicazione.
Questo non e una disfunzione. E il modo in cui la regolamentazione europea si implementa attraverso ventisette implementazioni sovrane. E se dirigi un’impresa che opera oltre i confini nell’UE, comprendere questo schema e piu importante che comprendere qualsiasi singolo articolo del Regolamento sull’IA.
Il Termine Che Nessuno Ha Rispettato
L’Articolo 70 del Regolamento europeo sull’IA richiedeva che ogni Stato membro designasse autorita nazionali competenti — come minimo, un’autorita di notifica e un’autorita di vigilanza del mercato — e comunicasse tali designazioni alla Commissione entro il 2 agosto 2025. Lo stesso articolo richiedeva che gli Stati membri designassero un punto di contatto unico: un’autorita che funge da centro di coordinamento per l’intera applicazione del Regolamento sull’IA in quel paese.
Il punto di contatto unico non e una formalita burocratica. E l’indirizzo dove arrivano i reclami, dove viene coordinata l’applicazione transfrontaliera, dove il Comitato europeo per l’IA comunica con le autorita nazionali. Senza di esso, la catena di applicazione e interrotta a livello nazionale. Un regolamento senza autorita di applicazione e un suggerimento.
A marzo 2026, secondo il briefing del Servizio di ricerca del Parlamento europeo pubblicato il 18 marzo 2026, otto Stati membri hanno designato il loro punto di contatto unico. Il briefing e specifico. Il numero e otto. Il denominatore e ventisette. Il divario e diciannove.
Gli Otto
Gli otto Stati membri che hanno designato autorita di applicazione condividono uno schema. Non sono i piu ricchi. Non sono i piu grandi. Sono quelli che hanno preso una decisione istituzionale precoce e l’hanno eseguita.
La Finlandia si e mossa per prima. Il 22 dicembre 2025, il Presidente della Repubblica ha approvato le modifiche legislative che hanno attribuito mandati del Regolamento sull’IA a dieci autorita di vigilanza del mercato esistenti. Traficom — l’Agenzia finlandese per i trasporti e le comunicazioni — e diventata il punto di contatto unico. I poteri di applicazione si sono attivati il 1 gennaio 2026. La Finlandia non ha creato una nuova agenzia per l’IA. Ha attivato regolatori esistenti con nuovi mandati. Operazioni leggere. Nessuna nuova burocrazia. L’approccio finlandese e un modello di cio che l’Articolo 70 intendeva: usare l’infrastruttura istituzionale gia esistente.
La Germania ha designato la Bundesnetzagentur — l’Agenzia federale delle reti — come punto di contatto unico. Il modello tedesco e complesso per necessita: un sistema federale con autorita di vigilanza del mercato settoriali in sedici Lander. La Bundesnetzagentur ha anche istituito un centro di coordinamento (KoKIVO) per supportare le altre autorita competenti. Il sistema e pesante. Ma esiste. E designato, comunicato e operativo.
La Spagna e stata precoce. L’Agenzia Spagnola di Supervisione dell’Intelligenza Artificiale (AESIA) e stata creata dal Regio Decreto 729/2023 — prima che il Regolamento sull’IA fosse pubblicato nella Gazzetta Ufficiale. L’AESIA e operativa da giugno 2024. Il sandbox regolamentare spagnolo, gestito dall’AESIA, ha completato due cicli e selezionato dodici progetti di IA per il terzo. La Spagna ha costruito l’infrastruttura di applicazione prima che il regolamento lo richiedesse.
La Danimarca ha adottato la sua legge nazionale di implementazione nel maggio 2025 e designato le sue autorita prima del termine di agosto. L’approccio danese riflette il pragmatismo finlandese: organismi regolatori esistenti, nuovi mandati, infrastruttura nuova minima.
L’Italia ha designato multiple autorita di vigilanza del mercato con competenze settoriali. Il modello italiano distribuisce l’applicazione tra i regolatori settoriali esistenti — uno schema che riflette l’architettura regolamentare esistente dell’Italia anziche costruire infrastruttura parallela specifica per l’IA.
I restanti tre degli otto hanno designato i loro punti di contatto unico attraverso diversi assetti istituzionali. Il filo conduttore non e il modello scelto. E che un modello e stato scelto, legiferato e comunicato alla Commissione entro il termine legale — o in prossimita.
I Diciannove
I diciannove che non hanno designato autorita di applicazione non sono un gruppo omogeneo. Alcuni hanno proposte legislative pendenti. Alcuni hanno identificato autorita in modo informale ma non hanno completato la designazione legale. Alcuni non hanno iniziato.
Il briefing del Parlamento europeo distingue tre categorie tra gli Stati membri in ritardo: quelli con legislazione in fase di esame parlamentare, quelli con autorita identificate ma non formalmente designate, e quelli senza progressi visibili. La distribuzione e approssimativamente uniforme tra le tre categorie.
Le ragioni del ritardo sono strutturali, non accidentali. Diversi schemi si ripetono.
Battaglie territoriali istituzionali. In diversi Stati membri, il processo di designazione si e bloccato perche regolatori esistenti — autorita di protezione dei dati, regolatori delle telecomunicazioni, agenzie di protezione dei consumatori, supervisori settoriali — hanno competuto per il mandato del Regolamento sull’IA. L’ambito del Regolamento sull’IA attraversa tutti i domini regolamentari esistenti. Decidere quale autorita “ottiene” l’applicazione del Regolamento sull’IA e una decisione politica travestita da amministrativa. Nei paesi con forti confini istituzionali, quella decisione richiede tempo. In alcuni, non e stata presa.
Colli di bottiglia legislativi. Alcuni Stati membri richiedono legislazione primaria per designare nuove autorita competenti o ampliare mandati esistenti. Calendari parlamentari, negoziati di coalizione e priorita legislative hanno spinto l’implementazione del Regolamento sull’IA in fondo alla coda. Il regolamento e direttamente applicabile — non richiede trasposizione nazionale — ma la designazione delle autorita di applicazione richiede azione legislativa nazionale. La distinzione conta.
Allocazione di risorse. Designare un’autorita di applicazione senza finanziarla e peggio che non designarne nessuna. Diversi Stati membri hanno ritardato la designazione mentre determinavano budget, organici e capacita tecniche. L’Articolo 70(8) richiede che gli Stati membri assicurino che le autorita competenti dispongano di “risorse finanziarie e umane adeguate” nonche di competenze tecniche. Una designazione senza risorse e una designazione sulla carta — e la Commissione ha segnalato che valutera l’adeguatezza delle risorse, non solo lo stato della designazione.
Deprioritizzazione politica. In alcuni Stati membri, l’implementazione del Regolamento sull’IA semplicemente non e una priorita politica. Politica energetica, migrazione, consolidamento fiscale, elezioni — la competizione per l’attenzione politica e feroce. Un regolamento che non entra in piena applicazione fino ad agosto 2026 e facile da rinviare quando il calendario politico e affollato. Il calcolo cambia quando l’applicazione inizia. A quel punto, il divario di implementazione puo essere strutturale.
Cosa Significa il Divario per le Imprese
Per una PMI che opera oltre i confini nell’UE, il divario di prontezza all’applicazione crea un insieme specifico di condizioni che devono essere comprese operativamente, non in modo astratto.
L’applicazione sara disomogenea. Quando le disposizioni sull’IA ad alto rischio del Regolamento sull’IA entreranno in vigore il 2 agosto 2026 — o a dicembre 2027 se l’Omnibus Digitale viene adottato — le imprese che operano in Finlandia si troveranno di fronte a un’autorita di applicazione operativa da mesi o anni. Le imprese che operano in uno Stato membro che non ha designato un’autorita si troveranno di fronte a un vuoto regolamentare. Lo stesso sistema di IA, implementato nello stesso modo, esistera in due diverse realta di applicazione a seconda dello Stato membro.
Questo non e ipotetico. E la realta vissuta di ogni regolamento europeo. Il GDPR e entrato in vigore il 25 maggio 2018. Nel 2020, l’applicazione variava di un fattore cinquanta tra le autorita di protezione dei dati piu attive e quelle meno attive. La DPC irlandese ha trattato reclami su Facebook per quattro anni prima di emettere la sua prima sanzione significativa. La CNIL francese ha multato Google per 50 milioni di euro in sette mesi. Il regolamento era identico. L’applicazione no.
Il Regolamento sull’IA seguira lo stesso schema. Il regolamento e uniforme. L’applicazione sara frammentata. La frammentazione si mappa, approssimativamente, lungo le stesse linee: le autorita nordiche e dell’Europa occidentale applicheranno prima e con piu forza. Le autorita dell’Europa meridionale e orientale impiegheranno piu tempo a costruire capacita di applicazione. Lo schema non e una sorpresa. E una caratteristica strutturale del modo in cui ventisette sistemi giuridici sovrani implementano un unico quadro regolamentare.
L’arbitraggio regolamentare e una trappola. La tentazione e ottimizzare per l’applicatore piu debole: implementare il proprio sistema di IA da uno Stato membro che non ha designato un’autorita, operare su mercati dove l’applicazione e lenta, e trattare il divario di prontezza come vacanze di conformita.
E la conclusione sbagliata per tre ragioni.
Primo, l’effetto Bruxelles. Il Regolamento europeo sull’IA si applica a qualsiasi sistema di IA immesso sul mercato dell’UE o il cui output e utilizzato nell’UE — indipendentemente da dove il fornitore e stabilito. Un’impresa che opera da uno Stato membro senza applicazione resta esposta all’applicazione di qualsiasi Stato membro dove il suo sistema e utilizzato. L’autorita di vigilanza del mercato in Finlandia puo indagare su un sistema di IA implementato da un’impresa stabilita in uno Stato membro senza autorita di applicazione se quel sistema colpisce utenti finlandesi.
Secondo, l’applicazione raggiunge. Il divario di applicazione del GDPR si e chiuso. Non uniformemente, non rapidamente, ma si e chiuso. Gli Stati membri che hanno impiegato anni a costruire capacita di applicazione l’hanno infine costruita. Le sanzioni, quando sono arrivate, hanno avuto effetto retroattivo: le violazioni avvenute durante il periodo di bassa applicazione sono state indagate e sanzionate dopo la costruzione della capacita. Le vacanze di conformita hanno una data di scadenza. Solo che non si sa quando.
Terzo, la dimensione reputazionale. Per una PMI che serve clienti aziendali in tutta Europa, la domanda “sei conforme al Regolamento sull’IA?” arrivera dai clienti prima che dai regolatori. Un produttore tedesco che valuta fornitori di IA valutera la postura di conformita come criterio di approvvigionamento. Il divario di applicazione nello Stato membro di origine del fornitore e irrilevante per il processo di due diligence del cliente. Al cliente importa il regolamento, non la geografia dell’applicazione.
La Complicazione dell’Omnibus Digitale
Il divario di prontezza all’applicazione ha creato pressione politica per ritardare il termine di conformita. Il 19 novembre 2025, la Commissione europea ha pubblicato l’Omnibus Digitale — una proposta legislativa che, tra le altre cose, rinvierebbe la data di applicazione dei requisiti per i sistemi di IA ad alto rischio.
La proposta si e mossa velocemente. Il 13 marzo 2026, il Consiglio ha adottato la sua posizione: date di applicazione fisse al 2 dicembre 2027 per i sistemi di IA autonomi ad alto rischio e al 2 agosto 2028 per i sistemi di IA ad alto rischio integrati in prodotti. Il 18 marzo 2026, le commissioni IMCO e LIBE del Parlamento europeo hanno adottato la loro relazione congiunta — 101 voti a favore, 9 contrari, 8 astensioni — proponendo la stessa data di dicembre 2027 per i sistemi ad alto rischio dell’Allegato III e agosto 2028 per i sistemi dell’Allegato I.
Le posizioni del Parlamento e del Consiglio sono allineate sulla questione centrale: il rinvio. Seguiranno negoziati in trilogo. Se l’Omnibus Digitale viene adottato, il termine del 2 agosto 2026 per le disposizioni sull’alto rischio si sposta a dicembre 2027.
Ma — e questo e il punto critico che la maggior parte dei commenti manca — l’Omnibus Digitale non e stato adottato. Alla data di oggi, 17 marzo 2026, il 2 agosto 2026 resta il termine legale. Le disposizioni sulle pratiche vietate sono in vigore dal 2 febbraio 2025. L’obbligo di alfabetizzazione IA ai sensi dell’Articolo 4 e in vigore dal 2 febbraio 2025. Le disposizioni sui modelli GPAI sono in vigore dal 2 agosto 2025. E il requisito di designare autorita nazionali competenti — lo stesso requisito che solo otto Stati membri hanno soddisfatto — e in vigore dal 2 agosto 2025.
Pianificare per il rinvio e razionale. Fare affidamento sul rinvio e avventato. L’Omnibus Digitale deve superare il trilogo, essere pubblicato nella Gazzetta Ufficiale ed entrare in vigore. Fino a quel momento, il 2 agosto 2026 e la legge. Un’impresa che rinvia la preparazione alla conformita perche il rinvio “probabilmente” sara adottato sta facendo una scommessa. Le probabilita possono favorire il rinvio. Ma lo svantaggio di avere torto e operativo: la corsa per conformarsi a un termine che tutti assumevano si sarebbe spostato ma non si e spostato.
Il Divario dei Sandbox
L’Articolo 57 del Regolamento sull’IA richiedeva che ogni Stato membro istituisse almeno un sandbox regolamentare per l’IA, operativo entro il 2 agosto 2026. Il requisito del sandbox segue il divario delle autorita di applicazione: i paesi che hanno designato autorita presto sono gli stessi paesi con sandbox operativi o quasi operativi. I paesi senza autorita di applicazione generalmente non hanno nemmeno sandbox.
Il sandbox spagnolo funziona dal 2022. L’infrastruttura di supporto regolamentare finlandese e operativa. La Bundesnetzagentur tedesca ha lanciato il suo AI Service Desk. I Paesi Bassi hanno una proposta di sandbox in coordinamento tra l’Autorita per i consumatori e i mercati e l’Autorita olandese per la protezione dei dati.
Per il resto, il termine del sandbox e il 2 agosto 2026 — lo stesso giorno in cui le disposizioni che dovrebbero aiutare le imprese a prepararsi entrano in vigore. Un sandbox che apre il giorno dell’applicazione e un sandbox che arriva troppo tardi per servire il suo scopo. Il sandbox regolamentare e stato concepito come meccanismo pre-applicazione: uno spazio dove le imprese sviluppano sistemi di IA sotto supervisione regolamentare prima che si applichino i requisiti di piena conformita. Aprire il sandbox il giorno dell’applicazione e come costruire il campo di allenamento il giorno della partita.
Il divario dei sandbox aggrava il divario dell’applicazione. Gli Stati membri senza autorita di applicazione mancano anche dell’infrastruttura istituzionale per operare i sandbox. L’autorita competente che gestisce il sandbox e la stessa autorita competente che applica il regolamento. Se l’autorita non esiste, nemmeno il sandbox.
Per una PMI in uno Stato membro senza autorita di applicazione e senza sandbox, la realta pratica e: ti stai preparando per un regolamento senza alcun supporto istituzionale dal tuo governo nazionale. Nessuna guida da un’autorita nazionale competente. Nessun sandbox per testare la tua architettura di conformita. Nessun punto di contatto unico per rispondere alle domande. Sei solo con il testo del regolamento e qualsiasi servizio di consulenza commerciale tu possa permetterti.
Non e accettabile. Ma e lo stato reale delle cose. L’articolo non cambia perche l’implementazione e in ritardo. Il requisito di conformita non si ammorbidisce perche il governo non ha rispettato il proprio termine.
Cosa Deve Fare un’Impresa
Il divario di prontezza all’applicazione non cambia il requisito di conformita. Cambia la strategia di conformita.
Costruire per l’applicatore piu rigoroso. Se operi su mercati europei, la tua architettura di conformita deve soddisfare lo standard dell’autorita di applicazione piu capace e attiva. Oggi, questo significa Finlandia, Spagna e Germania. Un sistema conforme in Finlandia e conforme ovunque. Un sistema conforme solo in uno Stato membro senza autorita di applicazione e un sistema che fallira al suo primo incontro regolamentare transfrontaliero.
Non aspettare la propria autorita nazionale. Se il tuo Stato membro non ha designato un’autorita di applicazione, non aspettare. Il regolamento si applica comunque. I requisiti tecnici — gestione del rischio ai sensi dell’Articolo 9, governance dei dati ai sensi dell’Articolo 10, documentazione tecnica ai sensi dell’Articolo 11, registrazione ai sensi dell’Articolo 12, supervisione umana ai sensi dell’Articolo 14 — sono definiti nel regolamento stesso. Non dipendono da orientamenti nazionali. Gli orientamenti nazionali aiutano. Non sono un prerequisito.
Usare i sandbox disponibili oltre i confini. L’Articolo 57 permette agli Stati membri di istituire sandbox congiuntamente. Diversi programmi sandbox accettano domande da imprese stabilite in altri Stati membri. Il sandbox dell’AESIA spagnola, in particolare, ha trattato domande da imprese UE non spagnole. Se il tuo Stato membro non offre un sandbox, candidati a uno che lo offre. La documentazione di conformita prodotta in un sandbox spagnolo ha valore di fronte a un regolatore tedesco.
Monitorare l’Omnibus Digitale. Il processo di trilogo determinera se il 2 agosto 2026 o il 2 dicembre 2027 e la data operativa per le disposizioni sull’alto rischio. Segui il progresso legislativo. Preparati per agosto. Adegua se dicembre viene confermato. Non dare per scontato.
Documentare il proprio sforzo di conformita ora. Indipendentemente dalla data di applicazione, l’atto di prepararsi — condurre valutazioni del rischio, documentare la governance dei dati, costruire la documentazione tecnica — ha valore anche se il termine si sposta. La documentazione stessa e un asset. Dimostra sforzo di conformita in buona fede. In un panorama di applicazione dove i regolatori hanno risorse limitate e devono dare priorita alle indagini, un’impresa con architettura di conformita documentata e una priorita di applicazione piu bassa di un’impresa senza nulla.
Lo Schema
Il Regolamento europeo sull’IA seguira lo stesso arco di implementazione di ogni grande regolamento europeo prima di esso. Il regolamento viene pubblicato. Il termine passa. Alcuni Stati membri sono pronti. La maggior parte no. L’applicazione inizia in modo disomogeneo. Il divario si chiude in due-cinque anni. Le imprese che si sono preparate per il regolamento come scritto — non per il regolamento come applicato — sono conformi quando l’applicazione arriva. Le imprese che hanno ottimizzato per il divario sono esposte quando si chiude.
Il GDPR ha seguito questo arco. La Direttiva sui servizi di pagamento ha seguito questo arco. Il Regolamento sui dispositivi medici ha seguito questo arco. Ogni volta, lo schema ha sorpreso imprese che hanno assunto che il divario di implementazione fosse una caratteristica permanente e non temporanea.
Otto su ventisette. Il numero e un’istantanea di un sistema regolamentare nel mezzo del suo dispiegamento. Il sistema non e rotto. E lento, disomogeneo e prevedibile. Il regolamento sara applicato. L’unica domanda e quando — e se la tua impresa sara pronta prima che il regolatore lo sia.
Il conto alla rovescia non si e fermato perche diciannove governi erano in ritardo. Non si ferma mai.