Studio Sottocasa
STUDIO LEGALE SOTTOCASA
Informatica e Diritto

AI Act: la vigilanza diventa tecnica. Cosa cambia con Scientific Panel e Advisory Forum

Il 1 giugno 2026 la Commissione europea ha annunciato la nomina dello Scientific Panel e dell’Advisory Forum destinati a supportare l’applicazione dell’AI Act. A prima vista può sembrare una notizia di architettura amministrativa: la costituzione di due organismi, l’indicazione dei componenti, la definizione di un mandato. In realtà, per chi si occupa di impresa, pubblica amministrazione, compliance, protezione dei dati, responsabilità e governance tecnologica, il passaggio è più rilevante.

L’AI Act, cioè il Regolamento (UE) 2024/1689, non è una disciplina che può vivere soltanto sulla carta. Regolare l’intelligenza artificiale significa valutare sistemi complessi, modelli generativi, rischi sistemici, vulnerabilità tecniche, capacità di audit, tracciabilità dei dati, sicurezza informatica, impatti sui diritti fondamentali e affidabilità delle procedure interne. La norma giuridica stabilisce obblighi e criteri; ma l’applicazione concreta richiede competenze tecniche in grado di comprendere cosa accade nei sistemi, come vengono addestrati, distribuiti, monitorati e utilizzati.

È qui che la nomina dello Scientific Panel e dell’Advisory Forum assume valore. La Commissione europea ha indicato che i due organismi supporteranno l’AI Office e le autorità nazionali nell’applicazione delle regole. Lo Scientific Panel, in particolare, riunisce 60 esperti indipendenti con competenze su frontier AI, ingegneria, audit tecnico, impatti industriali e sociali. L’Advisory Forum, invece, raccoglie 174 membri provenienti da accademia, società civile, industria, PMI e start-up, con il coinvolgimento stabile di agenzie e organismi europei come FRA, ENISA, CEN, CENELEC ed ETSI.

Il quadro normativo: l’AI Act come regolamento di governance, non solo di divieti

Il Regolamento (UE) 2024/1689 stabilisce un quadro armonizzato per lo sviluppo, l’immissione sul mercato, la messa in servizio e l’uso di sistemi di intelligenza artificiale nell’Unione europea. L’articolo 1 indica una finalità ampia: promuovere un’IA antropocentrica e affidabile, assicurando al tempo stesso un livello elevato di protezione di salute, sicurezza e diritti fondamentali.

L’AI Act non si limita a vietare alcune pratiche. Certamente, prevede divieti per determinate forme di IA considerate incompatibili con i valori dell’Unione. Tuttavia, la struttura del regolamento è più articolata: obblighi per i sistemi ad alto rischio, regole di trasparenza, disposizioni sui modelli di IA per finalità generali, governance, sorveglianza del mercato, poteri dell’AI Office, autorità nazionali, codici di condotta e linee guida.

Questo aspetto è decisivo. La regolazione dell’IA non funziona come un semplice elenco di condotte lecite o illecite. Molto spesso il problema giuridico nasce dalla qualificazione del sistema: è un sistema ad alto rischio? È un modello di IA per finalità generali? È un modello con rischio sistemico? Produce contenuti generati o manipolati artificialmente? Interagisce direttamente con persone fisiche? Viene usato in ambiti sensibili come lavoro, istruzione, credito, sanità, migrazione o giustizia?

Ogni qualificazione produce conseguenze operative. Cambiano gli obblighi documentali, i requisiti tecnici, le informazioni da fornire, i controlli interni, il livello di tracciabilità, le modalità di sorveglianza e, in prospettiva, i rischi sanzionatori. Per questo la governance europea dell’AI Act non può essere soltanto giuridica in senso tradizionale. Deve essere anche tecnica, scientifica e organizzativa.

Lo Scientific Panel: il ruolo degli esperti indipendenti

La Commissione europea descrive lo Scientific Panel come un organo di esperti indipendenti istituito ai sensi dell’articolo 68 dell’AI Act, in collegamento con il Regolamento di esecuzione (UE) 2025/454. La sua funzione principale è assistere l’AI Office e le autorità nazionali nell’attuazione dell’AI Act, con particolare attenzione ai modelli e sistemi di IA per finalità generali.

Il dato è importante perché i modelli di IA per finalità generali, spesso indicati con l’acronimo GPAI, pongono problemi diversi rispetto ai sistemi tradizionali. Un sistema di IA destinato a una funzione specifica può essere valutato rispetto a un contesto d’uso relativamente definito. Un modello di IA generale, invece, può essere integrato in molte applicazioni, riutilizzato in settori diversi, adattato da terzi e impiegato in contesti non sempre prevedibili al momento dello sviluppo.

Da qui discende il tema dei rischi sistemici. Non si tratta soltanto di verificare se un singolo utente subisce un danno in un singolo caso. Il rischio può riguardare la diffusione ampia di capacità pericolose, vulnerabilità sfruttabili, effetti su sicurezza informatica, disinformazione, abuso su larga scala, discriminazioni riprodotte in modo massivo, opacità dei processi decisionali o difficoltà di controllo lungo la catena di fornitura.

Secondo le fonti della Commissione, lo Scientific Panel si occuperà di profili quali classificazione dei modelli, metodologie di valutazione, rischi sistemici, sorveglianza transfrontaliera del mercato e supporto tecnico. Il Regolamento di esecuzione (UE) 2025/454 disciplina anche aspetti come indipendenza, imparzialità, dichiarazioni di interessi, trasparenza delle attività, procedure di supporto e possibilità di qualified alerts.

Quest’ultimo punto merita attenzione. Le qualified alerts sono segnalazioni qualificate che possono portare l’AI Office a valutare l’attivazione di misure previste dall’AI Act. Non equivalgono automaticamente a una sanzione o a un accertamento definitivo di violazione, ma rappresentano un meccanismo attraverso il quale competenze tecniche indipendenti possono alimentare l’attività di vigilanza pubblica.

Per le imprese che sviluppano o integrano modelli avanzati, questo significa che la qualità della documentazione tecnica, delle valutazioni di rischio, dei test, delle misure di mitigazione e delle procedure interne potrebbe diventare un elemento sempre più rilevante nei rapporti con le autorità.

L’Advisory Forum: il ruolo degli stakeholder nella governance dell’AI Act

Accanto allo Scientific Panel, la Commissione ha nominato l’Advisory Forum, previsto dall’articolo 67 dell’AI Act. La sua funzione è diversa: non si concentra soltanto sui profili specialistici dei modelli di IA per finalità generali, ma offre un supporto tecnico e consultivo più ampio alla Commissione e all’AI Board.

Secondo la pagina istituzionale della Commissione, l’Advisory Forum comprende 174 membri selezionati tra oltre 700 candidature e provenienti da società civile, accademia, industria, PMI e start-up. Sono inoltre presenti, come membri permanenti, soggetti istituzionali particolarmente rilevanti: l’Agenzia dell’Unione europea per i diritti fondamentali, ENISA e gli organismi europei di standardizzazione CEN, CENELEC ed ETSI.

Il coinvolgimento di questi soggetti mostra una caratteristica essenziale dell’AI Act: l’applicazione della disciplina non dipende soltanto dalla volontà delle autorità, ma anche dalla costruzione di standard, prassi, orientamenti tecnici e soluzioni condivise. In materia di IA, infatti, molte questioni non possono essere risolte con formule astratte. Occorre stabilire come documentare un rischio, come misurare una prestazione, come valutare la robustezza di un sistema, come informare gli utenti, come rendere verificabile un contenuto generato artificialmente e come integrare sicurezza, trasparenza e tutela dei diritti fondamentali.

L’Advisory Forum non sostituisce il legislatore e non sostituisce le autorità competenti. Tuttavia, può contribuire a orientare il modo in cui il regolamento sarà interpretato e applicato nella pratica. Il suo valore sta nella pluralità delle competenze e degli interessi rappresentati: industria, ricerca, società civile, standardizzazione, sicurezza informatica e diritti fondamentali.

Per gli operatori economici, questo conferma che la compliance IA non sarà una materia chiusa in ufficio legale. Richiederà dialogo tra legali, tecnici, responsabili privacy, sicurezza informatica, qualità, risk management, prodotto e direzione aziendale.

Il collegamento con l’Italia: AgID, ACN e governance nazionale

Per il pubblico italiano, la notizia europea deve essere letta insieme alla governance nazionale. La pagina AgID sull’intelligenza artificiale indica che, sul piano della governance, la normativa individua AgID come una delle due autorità nazionali per l’intelligenza artificiale, insieme ad ACN. La legge 23 settembre 2025, n. 132, pubblicata su Normattiva, costituisce il riferimento nazionale in materia di disposizioni e deleghe sull’intelligenza artificiale.

Questo assetto suggerisce una governance multilivello. Da un lato vi è l’Unione europea, con l’AI Office, la Commissione, l’AI Board, lo Scientific Panel e l’Advisory Forum. Dall’altro vi sono le autorità nazionali, chiamate a svolgere funzioni di applicazione, vigilanza, coordinamento e supporto nell’ambito delle rispettive competenze. In Italia, a questo quadro si affiancano anche autorità settoriali che possono assumere rilievo in ambiti specifici, come mercati finanziari, assicurazioni, dati personali, lavoro, sanità, pubblica amministrazione e cybersicurezza.

Il punto operativo è che un’impresa italiana non potrà guardare soltanto al rapporto con un’unica autorità. Dovrà considerare il possibile intreccio tra AI Act, disciplina italiana, GDPR, norme di settore, sicurezza informatica, tutela dei consumatori, responsabilità civile e obblighi contrattuali.

Un esempio aiuta a chiarire. Un sistema di IA utilizzato in ambito sanitario può porre questioni di classificazione ai sensi dell’AI Act, ma anche profili di protezione dei dati personali, sicurezza del prodotto, responsabilità professionale, documentazione clinica, consenso informato e rapporto con la normativa sui dispositivi medici. Un sistema usato nel lavoro può coinvolgere AI Act, GDPR, Statuto dei lavoratori, sicurezza sul lavoro, discriminazione, trasparenza e poteri datoriali. Un modello generativo usato da uno studio professionale può sollevare questioni di riservatezza, correttezza dell’informazione al cliente, responsabilità per errori, proprietà intellettuale e protezione dei dati.

La governance europea appena rafforzata non elimina questi problemi. Li rende, semmai, più visibili e più controllabili.

Le conseguenze pratiche per imprese e professionisti

La prima conseguenza è la centralità della classificazione. Prima ancora di parlare di adempimenti, un’organizzazione deve capire che cosa sta usando o mettendo sul mercato. Un chatbot interno, un sistema di scoring, un modello integrato in un prodotto, un software di selezione del personale, un sistema di analisi documentale o un assistente generativo per clienti non pongono gli stessi rischi e non ricadono necessariamente nello stesso regime.

La seconda conseguenza riguarda la documentazione. L’AI Act, specie per i sistemi ad alto rischio e per i modelli di IA per finalità generali, attribuisce rilievo alla capacità di dimostrare come il sistema è stato progettato, testato, controllato e monitorato. La documentazione non dovrebbe essere intesa come un fascicolo preparato dopo il problema, ma come parte della governance del sistema.

La terza conseguenza riguarda l’auditabilità. Un sistema di IA giuridicamente governabile deve poter essere esaminato. Ciò non significa che ogni dettaglio tecnico debba essere sempre pubblico o accessibile a chiunque. Significa però che, nei rapporti con autorità, clienti qualificati, partner contrattuali o organismi di valutazione, l’organizzazione deve poter spiegare quali controlli sono stati svolti, quali limiti sono noti, quali rischi sono stati mitigati e quali procedure sono previste in caso di malfunzionamento o impatto negativo.

La quarta conseguenza riguarda i contratti. I rapporti tra sviluppatori, fornitori, integratori, deployer, clienti e utenti finali dovranno disciplinare meglio responsabilità, informazioni tecniche, obblighi di aggiornamento, segnalazione di incidenti, gestione dei dati, livelli di servizio, limiti d’uso e cooperazione in caso di richieste delle autorità. Nei sistemi di IA, il rischio raramente appartiene a un solo soggetto: spesso si distribuisce lungo una catena tecnica e contrattuale.

La quinta conseguenza riguarda la cultura interna. L’AI Act parla anche di alfabetizzazione in materia di IA. In concreto, un’organizzazione che usa sistemi di IA in processi rilevanti dovrebbe formare le persone non solo su come usare lo strumento, ma anche su quando non usarlo, quando verificare l’output, quando segnalare anomalie e quando coinvolgere funzioni legali, tecniche o di compliance.

Criticità e cautele: indipendenza, segreti industriali e coordinamento

La creazione di organismi tecnici indipendenti non elimina le criticità. Anzi, ne apre alcune che dovranno essere monitorate con attenzione.

La prima riguarda l’indipendenza degli esperti. Il Regolamento di esecuzione (UE) 2025/454 prevede regole su dichiarazioni di interessi, imparzialità, oggettività e trasparenza. Tuttavia, in un settore dominato da grandi operatori tecnologici, investimenti privati, ricerca applicata e collaborazioni industriali, il controllo sui conflitti di interesse sarà essenziale per preservare fiducia e legittimità.

La seconda riguarda il rapporto tra trasparenza e segreti industriali. L’AI Act e il regolamento di esecuzione prevedono meccanismi per richieste di informazioni, accesso a documentazione e protezione delle informazioni riservate. Il bilanciamento non sarà semplice. Le autorità devono poter comprendere e valutare i sistemi; le imprese hanno interesse a proteggere informazioni tecniche, know-how, sicurezza e segreti commerciali. Il punto di equilibrio sarà uno dei terreni più delicati dell’enforcement.

La terza riguarda il coordinamento tra livello europeo e livello nazionale. Lo Scientific Panel e l’Advisory Forum supportano l’AI Office, la Commissione, l’AI Board e, in certe condizioni, le autorità nazionali. Ma l’applicazione concreta coinvolgerà anche autorità settoriali, organismi notificati, garanti nazionali e soggetti pubblici con competenze specifiche. Il rischio è la frammentazione interpretativa; l’obiettivo dichiarato del regolamento è invece una disciplina armonizzata.

La quarta riguarda il rapporto tra soft law e hard law. Pareri, linee guida, codici di pratica, standard tecnici e raccomandazioni non sempre hanno la stessa forza vincolante di una norma. Tuttavia, nella pratica, possono orientare la valutazione di conformità, le aspettative delle autorità e le decisioni degli operatori economici. Per questo le imprese dovranno seguire non solo gli articoli del regolamento, ma anche l’evoluzione degli strumenti applicativi.

Esempi pratici: cosa dovrebbe fare un’organizzazione

Un’impresa che sviluppa un modello generativo dovrebbe chiedersi se rientra nella disciplina dei modelli di IA per finalità generali e se vi siano profili di rischio sistemico. Dovrebbe predisporre documentazione tecnica, procedure di valutazione, misure di mitigazione e un sistema interno per rispondere a eventuali richieste informative.

Una società che integra IA in processi di selezione del personale dovrebbe valutare se il sistema ricade tra gli ambiti ad alto rischio, verificare i dati utilizzati, controllare il rischio di discriminazione, definire supervisione umana effettiva e coordinare AI Act, GDPR e diritto del lavoro.

Una pubblica amministrazione che adotta sistemi di IA dovrebbe considerare non solo efficienza e automazione, ma anche trasparenza, accessibilità, non discriminazione, controllo umano, motivazione degli atti, protezione dei dati e responsabilità amministrativa.

Uno studio professionale che usa strumenti generativi dovrebbe definire regole interne su riservatezza, verifica dell’output, informazione al cliente quando dovuta, protezione dei dati e limiti dell’affidamento sul sistema. L’IA può assistere l’attività professionale, ma non sostituisce la responsabilità del professionista per il risultato offerto al cliente.

Conclusione: il diritto dell’IA entra nella fase della prova

La nomina dello Scientific Panel e dell’Advisory Forum non è un dettaglio burocratico. È il segnale che l’AI Act sta entrando nella fase in cui il diritto deve confrontarsi con la prova tecnica: documenti, modelli, audit, valutazioni, rischi sistemici, standard, segnalazioni qualificate e controlli transfrontalieri.

La soluzione più prudente per imprese, pubbliche amministrazioni e professionisti è anticipare questo passaggio. Non basta attendere una richiesta dell’autorità o un contenzioso. Occorre costruire da subito una governance interna dell’IA capace di rispondere a tre domande semplici solo in apparenza: quale sistema stiamo usando, quali rischi produce, come possiamo dimostrare di averli valutati e governati?

Il messaggio operativo a nostro vedere è che la compliance IA non sarà una dichiarazione di principio, ma una capacità dimostrabile. Chi saprà documentare, spiegare e controllare i propri sistemi sarà in una posizione più solida. Chi tratterà l’IA come una tecnologia opaca, acquistata o usata senza presidio, entrerà nella fase applicativa dell’AI Act con un rischio giuridico più difficile da gestire.