Le norme che nessuno ha finito
Il Regolamento europeo sull’IA richiede che le imprese rispettino norme armonizzate. Le norme armonizzate non esistono.
Non è una semplificazione. È la situazione. La Commissione europea ha chiesto al CEN-CENELEC di scrivere le norme. Il CEN-CENELEC ha mancato la scadenza. Poi ha mancato la scadenza rivista. Le norme sono ora attese per il quarto trimestre 2026. La data di conformità per i sistemi di IA ad alto rischio è il 2 agosto 2026. Le norme sono previste per arrivare dopo l’esame.
Una PMI non può costruire un programma di conformità su una norma che non è stata scritta. Ma il regolamento non aspetta l’organismo di normazione. L’articolo 9 richiede ancora un sistema di gestione dei rischi. L’articolo 11 richiede ancora la documentazione tecnica. L’articolo 13 richiede ancora la trasparenza. Questi articoli sono specifici. Dicono cosa costruire. Le norme direbbero come dimostrarlo. Il “cosa” esiste. Il “come” manca.
Questo è il divario. Ed è più ampio di quanto la maggior parte delle imprese realizzi.
La richiesta di normazione
Nel maggio 2023, la Commissione europea ha emesso una richiesta di normazione alle organizzazioni europee di normazione CEN e CENELEC. La richiesta chiedeva loro di sviluppare norme armonizzate che coprissero i requisiti per i fornitori di sistemi di IA ad alto rischio — le specifiche tecniche che, una volta pubblicate nella Gazzetta ufficiale dell’Unione europea, avrebbero dato alle imprese una presunzione di conformità ai requisiti del Regolamento sull’IA.
Il meccanismo è prassi regolatoria europea consolidata. Il regolamento definisce i requisiti. Gli organismi di normazione traducono quei requisiti in specifiche tecniche. Le imprese che rispettano le specifiche si presumono conformi al regolamento. È la stessa architettura che sorregge il Regolamento Macchine, il Regolamento sui dispositivi medici e decine di altri quadri di sicurezza dei prodotti dell’UE.
La scadenza originale per la consegna delle norme era il 30 aprile 2025. Il CEN-CENELEC non l’ha rispettata. Il presidente del JTC 21 — il comitato tecnico congiunto responsabile del lavoro — ha indicato a inizio 2025 che le norme sarebbero state probabilmente completate entro la fine del 2025. Il 23 giugno 2025, la Commissione ha formalmente rivisto la scadenza al 31 agosto 2025. Il CEN-CENELEC non ha rispettato nemmeno quella scadenza.
La richiesta di normazione è stata modificata nel giugno 2025 per allinearsi al testo definitivo del Regolamento sull’IA. Il programma di lavoro del JTC 21 copre circa trentacinque elementi di lavoro distribuiti in cinque gruppi di lavoro: aspetti fondamentali, aspetti operativi, affidabilità, ingegneria e domini applicativi specifici. Trecento esperti da più di venti paesi partecipano. La portata è enorme. Il calendario non lo era.
Cosa esiste
A marzo 2026, una norma è entrata in inchiesta pubblica. Una.
La prEN 18286 — Intelligenza Artificiale: Sistema di Gestione della Qualità per Fini Regolamentari del Regolamento Europeo sull’IA — è diventata la prima norma armonizzata del Regolamento sull’IA a entrare in inchiesta pubblica il 30 ottobre 2025. L’inchiesta è durata fino al 27 dicembre 2025. Gli organismi nazionali di normazione hanno presentato commenti. Il CEN sta attualmente compilando le risposte e risolvendo i commenti prima che la norma possa essere adottata.
La prEN 18286 copre l’articolo 17 del Regolamento sull’IA: il requisito del sistema di gestione della qualità. Traduce gli obblighi dell’articolo 17 in controlli concreti di governance, documentazione, ciclo di vita e prova. Dice a un fornitore come strutturare il sistema di gestione della qualità che il regolamento richiede. È specifica, dettagliata e operativamente utile.
Non è ancora una Norma Europea. È una bozza. È soggetta a modifiche. Non può essere citata come norma armonizzata finché non è finalizzata e il suo riferimento non è pubblicato nella Gazzetta ufficiale. La presunzione di conformità — il beneficio giuridico che rende le norme armonizzate preziose — non si applica fino a quella pubblicazione. A oggi, la prEN 18286 fornisce orientamento. Non fornisce certezza giuridica.
La sua norma compagna, la prEN 18228, copre la gestione dei rischi ai sensi dell’articolo 9. È entrata in scrutinio interno del comitato a metà 2025. Non ha raggiunto l’inchiesta pubblica. La norma sulla gestione dei rischi — probabilmente la norma operativamente più critica per qualsiasi impresa che implementi un sistema di IA ad alto rischio — è in ritardo di mesi rispetto alla norma sul sistema di gestione della qualità, che è essa stessa a mesi dalla finalizzazione.
Oltre queste due, gli elementi di lavoro rimanenti coprono governance dei dati, bias, cybersicurezza, robustezza, registrazione, trasparenza, visione artificiale ed elaborazione del linguaggio naturale. La maggior parte è in fase di bozza di lavoro o in fasi precedenti. La pipeline è piena. Il risultato no.
Perché le norme sono in ritardo
Gli organismi di normazione non sono veloci. Questo è per progettazione, non per fallimento. La legittimità delle norme armonizzate dipende da un processo di consenso che include industria, accademia, società civile, regolatori ed esperti di normazione da tutta Europa. Accelerare quel processo produce norme prive di adesione, che mancano casi particolari, che falliscono le imprese che dovrebbero servire. Il processo di consenso è lento perché è rigoroso.
Ma il Regolamento sull’IA ha creato un problema strutturale di tempistica che nessuna ottimizzazione di processo può risolvere. Il regolamento è stato pubblicato nella Gazzetta ufficiale il 12 luglio 2024. Le disposizioni sull’alto rischio entrano in vigore il 2 agosto 2026. La richiesta di normazione è stata emessa nel maggio 2023 — prima che il regolamento fosse finalizzato. Quando il testo definitivo è stato pubblicato, la richiesta ha dovuto essere modificata per allinearsi alla legge effettiva. Il lavoro iniziato sulla base di un regolamento in bozza ha dovuto essere rivisto rispetto al testo definitivo. L’orologio ha continuato a correre. La portata si è ampliata.
Il risultato è un divario tra il calendario regolatorio e il calendario di normazione che era inscritto nell’architettura fin dall’inizio. Il regolamento si muove su un calendario politico. Le norme si muovono su un calendario di consenso tecnico. I due calendari sono strutturalmente incompatibili.
Il CEN-CENELEC ha riconosciuto il problema. Nell’ottobre 2025, i Consigli Tecnici congiunti di CEN e CENELEC hanno adottato un pacchetto eccezionale di misure per accelerare la consegna. La più significativa: consentire la pubblicazione diretta delle norme dopo un voto d’inchiesta positivo, saltando il voto formale separato che normalmente segue. Questo è straordinario. Il voto formale è un passaggio fondamentale nel processo di normazione europeo. Aggirarlo è il riconoscimento che il processo normale non può consegnare entro il calendario regolatorio.
Anche con questa accelerazione, l’obiettivo per la prima ondata di norme è il quarto trimestre 2026 — dopo la data di conformità del 2 agosto 2026. Le misure di accelerazione sono progettate per avere norme pubblicate prima della fine del 2026. Non per averle pubblicate prima di agosto.
Il divario della presunzione di conformità
Capire perché questo conta richiede capire cosa fanno le norme armonizzate nell’architettura regolatoria europea.
L’articolo 40 del Regolamento sull’IA stabilisce la presunzione di conformità: i sistemi di IA ad alto rischio conformi alle norme armonizzate — o parti di esse — i cui riferimenti sono stati pubblicati nella Gazzetta ufficiale si presumono conformi ai requisiti coperti da quelle norme. Non è conformità per default. È una scorciatoia giuridica. Se una norma armonizzata copre i requisiti di gestione dei rischi dell’articolo 9, e il tuo sistema è conforme a quella norma, si presume che tu abbia soddisfatto l’articolo 9. Un regolatore che contesti la tua conformità deve ribaltare quella presunzione.
Senza la norma armonizzata, non c’è presunzione. Devi comunque rispettare l’articolo 9. Ma devi dimostrare la conformità alle tue condizioni, con la tua metodologia, senza il supporto di una norma che un regolatore ha pre-approvato. L’onere della prova è più alto. La certezza giuridica è minore.
Questa è la conseguenza pratica del divario di normazione. La legge si applica. I requisiti sono chiari. Ma lo strumento che rende la conformità dimostrabile — la norma armonizzata — non è disponibile. Le imprese devono conformarsi senza la mappa che l’architettura regolatoria era progettata per fornire.
L’analogia è architettonica. Il regolamento dice: costruisci una casa che soddisfi questi requisiti strutturali. La norma armonizzata è il codice edilizio che specifica come soddisfare quei requisiti — i materiali, i metodi, le misure. Senza il codice edilizio, devi comunque costruire una casa strutturalmente solida. Ma devi provare che è strutturalmente solida senza riferimento al codice su cui l’ispettore è stato formato per valutare. Stai costruendo secondo requisiti, non secondo specifiche. I requisiti sono gli stessi. La prova è più difficile.
Il ricorso alle specifiche comuni
Il Regolamento sull’IA ha anticipato questo problema. L’articolo 41 conferisce alla Commissione il potere di adottare specifiche comuni — atti di esecuzione che servono come percorso alternativo di conformità quando le norme armonizzate non sono disponibili.
Le condizioni sono esplicite. La Commissione può adottare specifiche comuni quando: ha richiesto norme armonizzate e la richiesta non è stata accettata, le norme non sono consegnate entro la scadenza, oppure nessun riferimento a norme armonizzate è stato pubblicato nella Gazzetta ufficiale e nessun riferimento è atteso entro un periodo ragionevole.
Tutte e tre le condizioni sono soddisfatte. La richiesta è stata accettata ma la scadenza è stata mancata — due volte. Nessun riferimento è stato pubblicato nella Gazzetta ufficiale. Nessuno è atteso prima del 2 agosto 2026.
La Commissione ha l’autorità legale per adottare specifiche comuni oggi. Non lo ha fatto. La ragione è politica, non giuridica. Le specifiche comuni sono atti di esecuzione redatti dalla Commissione — aggirano il processo di normazione basato sul consenso. La comunità della normazione le vede come un’intrusione nel proprio dominio. I gruppi industriali preferiscono norme sviluppate per consenso a specifiche imposte dalla regolamentazione. La Commissione è stata storicamente riluttante a usare il meccanismo delle specifiche comuni, preferendo attendere le norme armonizzate.
Il risultato: il percorso primario di conformità (norme armonizzate) non è disponibile. Il percorso alternativo (specifiche comuni) non è stato attivato. Le imprese restano con il testo del regolamento e con ciò che riescono a costruire da esso.
L’Omnibus Digitale e la scadenza mobile
Il divario di normazione è un motore principale dell’Omnibus Digitale — la proposta legislativa che la Commissione ha pubblicato il 19 novembre 2025 per modificare il calendario di applicazione del Regolamento sull’IA.
La logica politica è diretta. Il regolamento richiede conformità. La conformità è facilitata dalle norme armonizzate. Le norme armonizzate non sono pronte. Quindi, rinviare la scadenza di conformità fino a quando le norme non sono pronte. L’Omnibus Digitale propone di sostituire la scadenza del 2 agosto 2026 per le disposizioni sull’alto rischio con un meccanismo legato alla disponibilità di norme armonizzate — nella pratica, spostando la data effettiva al 2 dicembre 2027 per i sistemi di IA ad alto rischio autonomi (Allegato III) e al 2 agosto 2028 per i sistemi di IA integrati in prodotti (Allegato I).
Il Consiglio ha adottato la sua posizione il 13 marzo 2026. Le commissioni IMCO e LIBE del Parlamento europeo hanno adottato la loro relazione congiunta il 18 marzo 2026 — 101 voti a favore, 9 contrari, 8 astensioni. Entrambe le istituzioni sostengono il rinvio. Il voto in plenaria del Parlamento era previsto per il 26 marzo. Seguiranno negoziati di trilogo tra Parlamento, Consiglio e Commissione.
Lo slancio politico è chiaro. Entrambi i colegislatori sostengono il rinvio. Il trilogo negozierà i dettagli, non il principio.
Ma — e ho già fatto questo punto e lo farò di nuovo — l’Omnibus Digitale non è stato adottato. Non è stato pubblicato nella Gazzetta ufficiale. Non è entrato in vigore. Al 7 aprile 2026, il 2 agosto 2026 è la legge. Pianificare per dicembre 2027 è razionale. Contare su dicembre 2027 è imprudente. La differenza tra pianificare e contare è se hai cominciato a prepararti per agosto.
Un’impresa che non ha iniziato il lavoro di conformità perché si aspetta che la scadenza si sposti sta facendo una scommessa. Le probabilità favoriscono il rinvio. Lo svantaggio di avere torto non è astratto — è operativo. È la corsa a costruire un sistema di gestione dei rischi, documentazione tecnica, infrastruttura di registrazione e meccanismi di supervisione umana nelle settimane tra un trilogo fallito e il 2 agosto. La probabilità è bassa. L’impatto è catastrofico.
Cosa può fare un’impresa oggi
L’assenza di norme armonizzate non significa assenza di requisiti. Le disposizioni sostanziali del Regolamento sull’IA sono autosufficienti. Dicono cosa costruire. Le norme avrebbero fornito una metodologia consensuale per costruirlo. Senza le norme, devi costruire la metodologia da solo — ma la destinazione è la stessa.
Ecco cosa esiste e cosa puoi farci.
Articolo 9 — Gestione dei rischi. Il regolamento specifica i requisiti per un sistema di gestione dei rischi in dettaglio. Deve essere un processo iterativo continuo. Deve identificare e analizzare i rischi noti e ragionevolmente prevedibili. Deve valutare i rischi che emergono quando il sistema è usato in conformità con la sua destinazione d’uso e in condizioni di uso improprio ragionevolmente prevedibile. Deve adottare misure di gestione dei rischi adeguate. L’articolo è prescrittivo. Non hai bisogno della prEN 18228 per costruire un sistema di gestione dei rischi. Hai bisogno dell’articolo 9, della documentazione tecnica del tuo sistema e di qualcuno con competenza nel dominio applicativo del tuo sistema di IA. La norma, quando arriverà, fornirà una metodologia strutturata. L’articolo fornisce i requisiti che quella metodologia deve soddisfare.
Articolo 10 — Governance dei dati. I dataset di addestramento, validazione e test devono soddisfare criteri di qualità: pertinenti, sufficientemente rappresentativi, privi di errori per quanto possibile e completi in vista della destinazione d’uso. L’articolo specifica pratiche di governance dei dati — incluso l’esame dei bias, l’identificazione delle lacune e misure adeguate per affrontarle. Documenta i tuoi dati. Documenta le loro fonti. Documenta i tuoi controlli di qualità. Documenta come hai gestito i bias. La norma fornirà un quadro per farlo. L’articolo ti dice cosa il quadro deve coprire.
Articolo 11 — Documentazione tecnica. L’Allegato IV elenca il contenuto della documentazione tecnica in dettaglio. Descrizione generale, processo di sviluppo, monitoraggio e controllo, sistema di gestione dei rischi, modifiche nel ciclo di vita, norme armonizzate applicate e misure di conformità. L’ultimo punto — norme armonizzate applicate — sarà vuoto per ora. L’Allegato IV prevede esplicitamente questa situazione: quando non sono state applicate norme armonizzate, la documentazione deve includere “un elenco di altre norme e specifiche tecniche pertinenti applicate.” ISO/IEC 42001, ISO/IEC 23894, ISO/IEC 38507 — non sono norme armonizzate ai sensi del Regolamento sull’IA, ma sono specifiche tecniche pertinenti che dimostrano una metodologia di conformità. Usale. Documenta la loro applicazione. La documentazione tecnica non richiede norme armonizzate. Richiede documentazione di qualsiasi norma tu abbia applicato.
Articolo 12 — Registrazione. Il sistema deve registrare automaticamente gli eventi. L’articolo specifica quali: periodo di utilizzo, banche dati di riferimento, dati di input che hanno prodotto corrispondenze, identificazione delle persone coinvolte nella verifica. Questo è un requisito ingegneristico. Non dipende da una norma armonizzata. Costruisci l’infrastruttura di registrazione. La norma non cambierà cosa registri. Può cambiare come lo strutturi e lo archivi. Costruisci ora, affina dopo.
Articolo 13 — Trasparenza. Il sistema deve essere progettato per essere sufficientemente trasparente da consentire agli utilizzatori di interpretare l’output e utilizzarlo in modo appropriato. Le istruzioni per l’uso devono includere: identità del fornitore, caratteristiche del sistema, capacità e limitazioni, destinazione d’uso, livello di accuratezza e metriche di accuratezza pertinenti. Scrivi le istruzioni per l’uso. Il contenuto è specificato nell’articolo. Una norma armonizzata potrebbe specificare il formato. Il contenuto è già definito.
Articolo 14 — Supervisione umana. Ho scritto diffusamente su questo in “L’errore da 500.000 euro.” Il requisito è chiaro: le persone fisiche devono essere in grado di comprendere appieno le capacità e le limitazioni del sistema, di monitorarne il funzionamento, di poter decidere di non utilizzare il sistema o di ignorarne l’output, e di poter intervenire o interrompere il sistema. Costruisci l’interfaccia di supervisione. Forma i supervisori. La norma non cambierà il requisito. Fornirà una metodologia per dimostrarlo.
prEN 18286 — Sistema di gestione della qualità. La bozza di norma è pubblicamente disponibile tramite gli organismi nazionali di normazione. Non è finalizzata. Può cambiare. Ma è l’orientamento più dettagliato disponibile per la conformità all’articolo 17. Leggila. Usala come riferimento per strutturare il tuo sistema di gestione della qualità. Quando la norma definitiva sarà pubblicata, allineati ad essa. Il costo di allineare un sistema costruito sulla bozza alla norma definitiva è un aggiustamento. Il costo di non costruire nulla aspettando la norma definitiva è partire da zero.
Il ponte ISO
L’assenza di norme armonizzate specifiche per il Regolamento sull’IA non significa assenza di norme. Il panorama internazionale della normazione offre quadri pertinenti che, pur non conferendo la presunzione di conformità ai sensi dell’articolo 40, forniscono metodologie strutturate per affrontare i requisiti del Regolamento sull’IA.
ISO/IEC 42001 — Sistema di gestione dell’intelligenza artificiale — fornisce una norma di sistema di gestione per organizzazioni che usano o forniscono IA. Copre valutazione dei rischi, governance e gestione del ciclo di vita. Non corrisponde direttamente ai requisiti del Regolamento sull’IA, ma affronta le stesse preoccupazioni strutturali. Un’impresa con un sistema di gestione certificato ISO 42001 ha un quadro che si traduce in conformità al Regolamento sull’IA con adattamento, non con reinvenzione.
ISO/IEC 23894 — Intelligenza Artificiale: Orientamento sulla Gestione dei Rischi — fornisce un quadro di gestione dei rischi specifico per i sistemi di IA. Si allinea concettualmente all’articolo 9 ma è stata sviluppata indipendentemente dal Regolamento sull’IA. Un’impresa che implementa la ISO 23894 ha un sistema di gestione dei rischi che affronta la maggior parte di ciò che l’articolo 9 richiede — con lacune che possono essere colmate leggendo l’articolo 9 stesso.
Queste norme non sono sostituti delle norme armonizzate. Non conferiscono la presunzione di conformità. Ma forniscono qualcosa che le norme armonizzate mancanti non possono: struttura. Un sistema di gestione dei rischi costruito sulla ISO 23894 e adattato all’articolo 9 è dimostrabilmente più robusto di un sistema di gestione dei rischi costruito da zero senza alcun quadro metodologico. Quando un regolatore valuta la conformità in assenza di norme armonizzate, l’impresa che ha applicato una norma internazionale riconosciuta — e ha documentato la sua applicazione — è in una posizione più forte dell’impresa che non ha applicato nulla.
La realtà dell’applicazione
La questione pratica è cosa succede quando l’applicazione inizia senza norme armonizzate. La risposta dipende dall’organo di applicazione.
Le autorità nazionali competenti operative da mesi — Traficom in Finlandia, AESIA in Spagna, Bundesnetzagentur in Germania — hanno avuto tempo per sviluppare metodologie di applicazione. Queste autorità comprendono il divario di normazione. Sanno che nessuna impresa può dimostrare conformità a una norma che non esiste. Il loro approccio all’applicazione terrà necessariamente conto dell’assenza di norme armonizzate — valutando la conformità rispetto ai requisiti del regolamento anziché rispetto a specifiche tecniche.
Questo non è una licenza per la compiacenza. L’assenza di norme armonizzate non riduce i requisiti. Cambia il quadro probatorio. Un’impresa deve comunque rispettare gli articoli da 9 a 15. Deve comunque avere un sistema di gestione dei rischi, documentazione tecnica, registrazione, trasparenza e supervisione umana. Ciò che non può avere è una norma armonizzata da indicare come prova. La prova deve venire dalla sostanza di ciò che l’impresa ha costruito, documentato e implementato.
Le imprese che se la caveranno meglio in un ambiente di applicazione senza norme armonizzate sono quelle che hanno fatto il lavoro. Non quelle che hanno aspettato la norma. Non quelle che hanno assunto una società di consulenza per produrre un’analisi delle lacune. Quelle che hanno letto l’articolo 9, costruito un sistema di gestione dei rischi, lo hanno documentato e mantenuto. Quelle che hanno letto l’articolo 11 e l’Allegato IV, prodotto la documentazione tecnica e la hanno mantenuta aggiornata. Quelle che hanno trattato il testo del regolamento come la specifica — perché, in assenza di norme armonizzate, lo è.
La posizione
Il divario di normazione è reale, strutturale e non si chiuderà prima del 2 agosto 2026. L’Omnibus Digitale può spostare la data di conformità a dicembre 2027. Le norme armonizzate possono arrivare nel quarto trimestre 2026. Entrambe le cose possono accadere. Nessuna delle due è accaduta.
Il divario non giustifica l’inazione. Giustifica un tipo diverso di azione. Costruisci sulla base del testo del regolamento, non sulla base di una norma che non esiste. Usa le bozze delle norme come orientamento, non come percorso di conformità. Applica le norme internazionali dove affrontano le stesse preoccupazioni. Documenta tutto — la metodologia, le norme applicate, le lacune identificate, le decisioni prese.
Le imprese che navigheranno con successo il divario di normazione saranno quelle che hanno trattato l’assenza di norme come un vincolo di costruzione, non come una scusa di costruzione. Leonardo da Vinci lavorava senza software CAD. I vincoli non hanno fermato il lavoro. Lo hanno plasmato.
Le norme arriveranno. Arrivano sempre. La domanda è se hai costruito qualcosa che valga la pena di allineare ad esse — o se sei rimasto al tavolo da disegno aspettando progetti che non sono mai arrivati.
I progetti sono in ritardo. La costruzione non è opzionale.