Questo articolo prosegue la serie dedicata al Digital Omnibus Package e, più in generale, all’attuazione del Regolamento (UE) 2024/1689 (AI Act). Nei contributi precedenti abbiamo analizzato il contesto della proposta della Commissione durante la fase di consultazione, il contenuto di COM(2025) 836, le modifiche al GDPR e ai cookie e, da ultimo, il Draft Report PE782.530 delle commissioni IMCO e LIBE. In questo articolo spostiamo l’angolo di osservazione: dal piano normativo a quello fattuale. La domanda è semplice e diretta — a quasi due anni dall’adozione dell’AI Act, l’architettura di enforcement funziona?

L’analisi che segue mostra che le criticità dell’enforcement dell’AI Act non sono meramente transitorie, ma derivano da scelte strutturali del modello istituzionale adottato: un deficit non contingente, ma intrinseco al design del Regolamento.

Il modello ibrido: struttura e logica

L’AI Act costruisce un sistema di enforcement fondato su due livelli distinti. Il primo è decentralizzato: le norme sui sistemi AI ad alto rischio sono applicate a livello nazionale, sotto la responsabilità delle autorità competenti che ciascuno Stato membro è tenuto a designare ai sensi dell’articolo 70 del Regolamento (UE) 2024/1689. Ogni Stato membro deve designare almeno un’autorità di notifica (notifying authority) e almeno un’autorità di vigilanza del mercato (market surveillance authority); quest’ultima funge anche da punto di contatto unico (single point of contact) a livello nazionale.

Il secondo livello è centralizzato: l’AI Office — definito dall’articolo 3, punto 47, dell’AI Act come la funzione della Commissione che contribuisce all’attuazione, al monitoraggio e alla supervisione dei sistemi AI e dei modelli di AI per uso generale (GPAI) — detiene la competenza esclusiva per l’enforcement delle norme sui modelli GPAI. Come evidenziato dall’EPRS nel documento PE 785.670 del marzo 2026, l’AI Office è anche responsabile degli strumenti di soft law che orientano l’attuazione del Regolamento: codici di condotta, linee guida e comunicazioni.

A questi due livelli si affiancano tre organismi ausiliari: l’European AI Board (composto da un rappresentante per Stato membro, con il Garante europeo della protezione dei dati e l’AI Office come osservatori), il Scientific Panel di esperti indipendenti selezionati dalla Commissione, e l’AI Advisory Forum, composto da portatori di interessi dell’industria, PMI, società civile e accademia. I loro ruoli sono principalmente consultivi e di coordinamento. Questa architettura riflette un compromesso tra autonomia degli Stati membri e necessità di un presidio europeo sui sistemi più pervasivi — un compromesso che, come si vedrà, sconta la disomogeneità delle capacità amministrative nazionali e la diversa priorità politica attribuita all’enforcement nei singoli ordinamenti.

Il confronto strutturale con il GDPR

Il documento EPRS PE 785.670 accenna al confronto con il Regolamento (UE) 2016/679 (GDPR), ma lo tratta in modo descrittivo. Vale la pena approfondirlo, perché rivela una differenza strutturale che ha implicazioni concrete sull’uniformità dell’enforcement.

Anche il GDPR adotta un modello decentralizzato: l’enforcement è affidato alle autorità nazionali di protezione dei dati (DPA). Tuttavia, il GDPR prevede meccanismi vincolanti di coordinamento per i trattamenti transfrontalieri: il meccanismo dello sportello unico (one-stop shop) di cui all’articolo 60, che designa l’autorità capofila per i procedimenti che coinvolgono più Stati, e la procedura di coerenza di cui agli articoli 63–66, che consente all’European Data Protection Board (EDPB) di adottare decisioni vincolanti nei casi di disaccordo tra le DPA. L’EDPB può inoltre emettere linee guida e pareri di applicazione generale.

L’AI Act non dispone di meccanismi equivalenti per l’enforcement sui sistemi AI. L’European AI Board svolge funzioni esclusivamente consultive e di coordinamento — facilitare la cooperazione tra le autorità nazionali, aggregare e diffondere competenze tecnico-regolatorie, offrire orientamenti sull’attuazione dell’AI Act — ma non può emettere decisioni vincolanti nei casi di disaccordo tra autorità nazionali, né adottare posizioni vincolanti sui singoli casi. Il coordinamento, nel modello dell’AI Act, è strutturalmente più debole di quello previsto dal GDPR per i trattamenti transfrontalieri. L’enforcement asimmetrico tra Stati membri non è quindi un rischio teorico, ma una dinamica già osservabile, destinata ad accentuarsi in assenza di meccanismi di coordinamento vincolante.

Il dato empirico: 8 su 27

La Commissione europea, ai sensi dell’articolo 70, paragrafo 2, dell’AI Act, rende pubbliche le informazioni sui punti di contatto e sulle risorse nazionali dedicate all’attuazione del Regolamento tramite il portale ufficiale dell’AI Act Service Desk.
Il termine per la designazione era il 2 agosto 2025 — la stessa data in cui sono diventate applicabili le norme sulla governance, gli obblighi per i modelli GPAI e le disposizioni sugli organismi notificati (Capitoli V e VII del Regolamento). Il documento EPRS PE 785.670, pubblicato nel marzo 2026, registra che a quella data l’elenco comprende otto punti di contatto su ventisette.

Questo dato va letto nel suo contesto tecnico-giuridico. La market surveillance authority è l’autorità che esegue i controlli ex post sui sistemi AI già immessi sul mercato: ha il potere di richiedere documentazione, valutare i sistemi e, se necessario, irrogare sanzioni. La notifying authority è invece responsabile delle procedure ex ante per la valutazione e designazione degli organismi di valutazione della conformità (conformity assessment bodies), che a loro volta diventano notified bodies una volta designati. Senza autorità nazionali operative, non esistono notified bodies designati; senza notified bodies, non è possibile completare le procedure di valutazione della conformità per i sistemi ad alto rischio che richiedono una valutazione di terze parti.

Il paradosso temporale è evidente: le norme sui sistemi AI ad alto rischio (Capitolo III) si applicano — con il testo attuale dell’AI Act — dal 2 agosto 2026, e il Digital Omnibus su AI, su cui il Parlamento europeo e il Consiglio stanno attualmente lavorando, propone di posticipare ulteriormente tali scadenze al 2 dicembre 2027 (Allegato III) e al 2 agosto 2028 (Allegato I). Ma le autorità che dovranno applicarle non sono ancora designate in diciannove Stati membri su ventisette. Il ritardo non riguarda soltanto le norme: riguarda le istituzioni chiamate a farle rispettare.

Il Digital Omnibus: centralizzazione come risposta strutturale?

La proposta della Commissione COM(2025) 836, pubblicata il 19 novembre 2025, contiene tra le sue modifiche principali un ampliamento della competenza dell’AI Office: quest’ultimo supervisionerebbe la conformità dei sistemi AI integrati nelle very large online platforms (VLOP) e nei very large search engines (VLOSE) ai sensi del Digital Services Act, nonché dei sistemi AI basati su modelli GPAI quando sistema e modello provengono dallo stesso fornitore.

Nel Draft Report PE782.530, analizzato nel nostro articolo precedente, l’Emendamento 5 introduce un principio che non figurava nella proposta della Commissione: l’AI Office deve disporre di risorse umane, finanziarie e tecniche adeguate per svolgere efficacemente i propri compiti, tenuto conto delle nuove competenze conferitegli dall’Omnibus.

L’Emendamento 5 è un segnale politico importante, ma non risolve la tensione di fondo. La traiettoria del Digital Omnibus sta de facto costruendo un quasi-regolatore europeo sull’AI — con competenze crescenti e trasversali — senza tuttavia attribuirgli le garanzie istituzionali tipiche delle agenzie dell’Unione: personalità giuridica autonoma, risorse protette, indipendenza operativa dalla Commissione. L’AI Office rimane una funzione della Commissione ai sensi dell’articolo 3, punto 47, dell’AI Act. Ampliarne le competenze senza ridefinirne la natura istituzionale genera un rischio preciso: over-centralisation without capacity — concentrazione di responsabilità regolatorie in capo a una struttura che non dispone degli strumenti istituzionali per esercitarle in modo uniforme ed efficace.

Valutazione critica

Tre dimensioni meritano di essere tenute distinte.

Sul piano normativo, il modello ibrido dell’AI Act è tecnicamente coerente con la struttura duale del Regolamento: sistemi AI ad alto rischio, per loro natura distribuiti su tutto il mercato interno, richiedono una vigilanza di prossimità che solo le autorità nazionali possono esercitare efficacemente. La scelta di centralizzare l’enforcement sui modelli GPAI nell’AI Office ha una logica simmetrica: i modelli GPAI operano per definizione su scala sovranazionale. La debolezza non è nella logica del modello, ma nella sottovalutazione strutturale di due variabili: la disomogeneità delle capacità amministrative nazionali e l’assenza di meccanismi di coordinamento vincolante tra i due livelli.

Sul piano fattuale, il dato degli 8/27 non è un ritardo burocratico ordinario. La scadenza del 2 agosto 2025 era nota dal momento dell’entrata in vigore del Regolamento, il 1° agosto 2024. Diciannove Stati membri su ventisette non hanno rispettato un obbligo che avevano un anno di tempo per adempiere. Questo dato è un indicatore diretto del livello reale di priorità istituzionale attribuita all’enforcement dell’AI Act nei sistemi amministrativi nazionali. L’enforcement asimmetrico non è una prospettiva futura: è la condizione presente del sistema, e il Digital Omnibus su AI non la affronta.

Sul piano prospettico, ampliare le competenze dell’AI Office senza ridefinirne la natura istituzionale — e senza risolvere il deficit di designazione a livello nazionale — non risolve il problema: lo sposta. Un sistema di enforcement che concentra responsabilità crescenti su una struttura priva di autonomia istituzionale, mentre il livello decentralizzato rimane largamente inoperativo, non produce uniformità. Produce un’asimmetria di secondo livello: tra i sistemi AI soggetti alla supervisione diretta dell’AI Office e quelli che restano nell’orbita — ancora vuota — delle autorità nazionali non designate.

Conclusione

Il GDPR, nei suoi primi anni di applicazione, ha conosciuto ritardi significativi nella designazione delle DPA in alcuni Stati membri e nell’avvio dei procedimenti di enforcement transfrontalieri. Quei ritardi hanno avuto costi reali in termini di uniformità di applicazione — costi che il meccanismo dello sportello unico e la procedura di coerenza hanno solo parzialmente mitigato. L’AI Act non dispone di meccanismi equivalenti di coordinamento vincolante tra autorità nazionali, e il dato degli 8/27 a marzo 2026 mostra che il ritardo nella costruzione del livello decentralizzato è già più grave di quanto il confronto con il GDPR lascerebbe attendersi.

L’AI Act rappresenta un tentativo ambizioso di regolazione tecnologica su scala continentale. Tuttavia, senza un rafforzamento della capacità istituzionale a livello nazionale e senza meccanismi di coordinamento vincolante tra i due livelli del modello ibrido, il rischio concreto è che l’Unione europea si trovi a disporre di un quadro normativo tra i più avanzati al mondo, ma di un sistema di enforcement strutturalmente incapace di garantirne l’applicazione uniforme. Un’architettura normativa solida non è sufficiente se le istituzioni chiamate a darle attuazione non sono operative, non sono coordinate e non dispongono delle risorse necessarie per farlo.

Documenti di riferimento

Articoli precedenti della serie