Il 18 marzo 2026 è stata pubblicata la EN ISO/IEC 42001:2026, adozione europea dello standard sui sistemi di gestione dell’Intelligenza Artificiale, mentre i lavori del CEN-CLC/JTC 21 sulle norme armonizzate a supporto dell’AI Act procedono con tempi serrati: chiusa l’inchiesta pubblica sul progetto di norma prEN 18286, la pubblicazione della EN è attesa entro il 2026. Ma attenzione a non confondere i piani: l’AIMS dello Standard ISO/IEC 42001 non è il sistema di gestione della qualità richiesto dall’articolo 17 dell’AI Act e, soprattutto, nessuna norma armonizzata risulta ad oggi citata in Gazzetta ufficiale dell’Unione europea: senza citazione non opera la presunzione di conformità. Facciamo un po’ di chiarezza.
Nel dibattito sulla compliance all’AI Act si registra, con crescente frequenza, un equivoco tanto diffuso quanto insidioso: l’idea che la certificazione ISO/IEC 42001 costituisca, di per sé, un lasciapassare regolatorio. Chi scrive partecipa ai lavori di normazione in seno a UNINFO, per ISO/IEC JTC 1/SC 42 e CEN-CLC/JTC 21, e riteniamo questa sia la sede opportuna per provare a fare un po’ di chiarezza su un tema che tocca il cuore del rapporto tra normazione tecnica volontaria e regolazione cogente.
L’articolo 40 dell’AI Act: la presunzione di conformità
Il punto di partenza è l’articolo 40, paragrafo 1, del Regolamento (UE) 2024/1689, rubricato «Norme armonizzate e prodotti della normazione», il quale dispone nei seguenti termini: «I sistemi di IA ad alto rischio o i modelli di IA per finalità generali che sono conformi alle norme armonizzate o a parti di esse i cui riferimenti sono stati pubblicati nella Gazzetta ufficiale dell’Unione europea conformemente al regolamento (UE) n. 1025/2012 si presumono conformi ai requisiti di cui alla sezione 2 del presente capo o, se del caso, agli obblighi di cui al capo V, sezioni 2 e 3, del presente regolamento, nella misura in cui tali requisiti o obblighi sono contemplati da tali norme».
Come può facilmente comprendersi, la presunzione di conformità non discende dalla natura tecnica della norma, bensì da un preciso procedimento: l’elaborazione su richiesta della Commissione da parte delle organizzazioni europee di normazione, il vaglio della Commissione stessa e, infine, la citazione dei riferimenti in Gazzetta ufficiale dell’Unione europea – GUUE. È la stessa Commissione a ribadirlo: l’applicazione delle norme resta volontaria; i fornitori possono scegliere qualsiasi altro quadro di riferimento per dimostrare la propria conformità all’AI Act, tuttavia le norme armonizzate i cui riferimenti sono citati nella Gazzetta ufficiale dell’Unione europea offrono certezza giuridica, e le imprese che applicano norme armonizzate si presumono conformi ai requisiti di legge.
Del resto, il Considerando 121 chiarisce la centralità sistemica della normazione: «La normazione dovrebbe svolgere un ruolo fondamentale nel fornire soluzioni tecniche ai fornitori per garantire la conformità al presente regolamento, in linea con lo stato dell’arte», auspicando «una rappresentanza equilibrata degli interessi che coinvolga tutti i portatori di interessi pertinenti nell’elaborazione delle norme, in particolare le PMI, le organizzazioni dei consumatori e i portatori di interessi in materia sociale e ambientale».
I lavori del CEN-CLC/JTC 21 e la richiesta di normazione
In attuazione dell’articolo 40, paragrafo 2, la Commissione ha affidato a CEN e CENELEC, con richiesta di normazione (decisione C(2025)3871), lo sviluppo di deliverable in dieci aree chiave: gestione del rischio, governance e qualità dei dataset, conservazione delle registrazioni, trasparenza, sorveglianza umana, accuratezza, robustezza, cibersicurezza, sistema di gestione della qualità e valutazione della conformità.
I lavori sono incardinati nel comitato tecnico congiunto CEN-CLC/JTC 21, istituito il 1° giugno 2021, che riunisce oltre trecento esperti da più di venti Paesi in cinque working group. Una volta completato il percorso, come precisa CEN-CENELEC, una volta pubblicate nella Gazzetta ufficiale dell’Unione europea, tali norme forniranno alle imprese una presunzione legale di conformità.
Lo stadio più avanzato è quello della prEN 18286 sul sistema di gestione della qualità: il 30 ottobre 2025 la prEN 18286 (Artificial Intelligence – Quality Management System for EU AI Act Regulatory Purposes) è divenuta la prima norma armonizzata sull’IA a entrare nella fase di inchiesta pubblica. Si tratta, significativamente, di uno standard home-grown europeo, concepito per fornire la presunzione di conformità all’articolo 17 dell’AI Act.
Il percorso è stato peraltro accelerato con una decisione eccezionale: nella riunione congiunta dei Technical Boards del 14-16 ottobre 2025, CEN e CENELEC, per assicurare che le norme a supporto dell’AI Act fossero disponibili entro il quarto trimestre del 2026, hanno consentito, in caso di esito positivo dell’inchiesta pubblica, la pubblicazione diretta dei progetti senza un separato voto formale, procedura nota e pienamente legittima. Chiusasi l’inchiesta pubblica, la norma EN 18286 risulta dunque in dirittura di arrivo: le schede della versione finale figurano già nei cataloghi di normazione, sebbene, alla data di chiusura del presente contributo, un annuncio ufficiale di pubblicazione da parte di CEN-CENELEC non risulti ancora reperibile.
Ecco, in ogni caso, il dato giuridicamente dirimente: la pubblicazione della EN da parte di CEN-CENELEC non basta. Perché operi la presunzione di conformità occorre l’ulteriore passaggio della citazione dei riferimenti in GUUE ad opera della Commissione e, alla data in cui scriviamo, nessuna norma armonizzata a supporto dell’AI Act risulta ivi citata. Fino a quel momento, la presunzione ex articolo 40, paragrafo 1, semplicemente non opera per alcuno standard, per quanto autorevole.
La EN ISO/IEC 42001:2026: cosa è e cosa non è
In questo quadro si colloca la EN ISO/IEC 42001:2026, “Information technology – Artificial intelligence – Management system”, pubblicata il 18 marzo 2026 quale adozione europea, in seno al CEN-CLC/JTC 21, dello Standard ISO/IEC 42001:2023, il primo standard internazionale sui sistemi di gestione dell’Intelligenza Artificiale, elaborato dall’ISO/IEC JTC 1/SC 42 e pubblicato nel dicembre 2023: lo Standard ISO/IEC 42001 è una norma internazionale che specifica i requisiti per stabilire, attuare, mantenere e migliorare con continuità un sistema di gestione dell’Intelligenza Artificiale (AIMS) all’interno delle organizzazioni. In Italia, la norma è stata recepita come UNI CEI ISO/IEC 42001:2024, disponibile in traduzione italiana da gennaio 2025.
Lo standard segue la struttura armonizzata dei sistemi di gestione ed è certificabile sotto accreditamento: la certificazione avviene secondo lo Standard ISO/IEC 17021-1:2015, che contiene principi e requisiti relativi alla competenza, alla coerenza e all’imparzialità degli organismi che effettuano audit e certificazione di ogni tipo di sistema di gestione, integrato dai requisiti aggiuntivi specifici dello Standard ISO/IEC 42006:2025, “Information technology – Artificial intelligence – Requirements for bodies providing audit and certification of artificial intelligence management systems”, che disciplina la competenza degli organismi di certificazione degli AIMS e ne richiama espressamente i principi (si applicano i principi di cui alla clausola 4 dello Standard ISO/IEC 17021-1:2015).
Orbene, la distinzione va tracciata con nettezza, su due piani.
Sul primo piano, quello dei contenuti, un equivoco ricorrente consiste nel sovrapporre il sistema di gestione dell’IA dello Standard ISO/IEC 42001 al sistema di gestione della qualità che l’articolo 17 dell’AI Act impone ai fornitori di sistemi ad alto rischio. Si tratta di oggetti distinti: l’articolo 17 configura un obbligo regolatorio di product compliance, calibrato sui requisiti della sezione 2 del capo III del Regolamento, e lo standard elaborato per rispondervi in seno alla richiesta di normazione è, per l’appunto, il progetto di norma prEN 18286, norma home-grown concepita per fornire la presunzione di conformità all’articolo 17 dell’AI Act. Lo Standard ISO/IEC 42001 è, invece, una norma volontaria di sistema di gestione organizzativo dell’Intelligenza Artificiale: non è stata elaborata in risposta alla richiesta di normazione della Commissione, non è calibrata sull’articolo 17 e non ne copre i requisiti. Adottarla non significa disporre del QMS richiesto dall’AI Act.
Sul secondo piano, quello degli effetti giuridici, la EN ISO/IEC 42001:2026 resta una norma volontaria: strumento prezioso di governance e di accountability, che consente di presidiare in modo strutturato la gestione del rischio, la trasparenza e la documentazione dei processi. Come osservato da UNI, «le organizzazioni che adotteranno la UNI CEI ISO/IEC 42001 potranno dimostrare conformità con molti requisiti dell’AI Act, come la gestione dei rischi, la trasparenza e la documentazione dei processi». Ma «dimostrare conformità con molti requisiti» non equivale a “presumersi conformi”: la norma non è una norma armonizzata citata in GUUE e la relativa certificazione non genera la presunzione di conformità ex articolo 40. La conformità all’AI Act, allo stato, va dimostrata con soluzioni alternative, requisito per requisito, ovvero, in ipotesi residuale, tramite le specifiche comuni di cui all’articolo 41.
Profili critici: i tempi della normazione e la legittimità della delega
Il primo profilo critico attiene ai tempi. Il ritardo della normazione rispetto al calendario originario dell’AI Act è stato, del resto, uno dei fattori che hanno condotto al c.d. Digital Omnibus: la stessa Commissione collega ora l’applicabilità delle regole sull’alto rischio a termini ultimi fissati al 2 dicembre 2027 per i sistemi dell’Allegato III e al 2 agosto 2028 per quelli dell’Allegato I. Il tempo guadagnato dovrà essere impiegato per portare a compimento un corpus di norme armonizzate effettivamente utilizzabile: in caso contrario, la presunzione di conformità resterà una promessa sulla carta.
Il secondo profilo, di respiro costituzionale, riguarda la legittimità della delega di fatto ai normatori privati della concretizzazione di requisiti incidenti su diritti fondamentali: tema ampiamente discusso in dottrina, temperato dal richiamo del Considerando 121 alla rappresentanza equilibrata degli interessi e dal vaglio della Commissione in sede di citazione.
Il terzo profilo attiene al gap di copertura: le analisi specializzate segnalano che lo Standard ISO/IEC 42001, concepita quale sistema di gestione organizzativo e non quale standard di product compliance, copre solo parzialmente i requisiti dell’AI Act, il che spiega la scelta del JTC 21 di affiancare all’adozione degli standard internazionali l’elaborazione di norme home-grown europee come il progetto di norma prEN 18286 per il QMS ex articolo 17.
Conclusioni
Il messaggio per le organizzazioni è duplice. Da un lato, adottare oggi un sistema di gestione conforme alla UNI CEI ISO/IEC 42001 è una scelta di governance lungimirante: struttura i processi, alimenta l’accountability e prepara il terreno alla conformità regolatoria. Dall’altro, occorre evitare l’equivoco della c.d. certificazione salvifica: fino alla citazione delle norme armonizzate in GUUE, nessun certificato tiene luogo della conformità all’AI Act, e la due diligence regolatoria resta un esercizio puntuale, requisito per requisito.
Alla luce di quanto esposto, ci si domanda se il cantiere della normazione europea riuscirà a consegnare in tempo utile un corpus di norme armonizzate all’altezza del compito, ovvero se il raccordo tra regola giuridica e stato dell’arte tecnologico, che l’articolo 40 affida alla normazione, resterà a lungo affidato a soluzioni alternative costruite requisito per requisito, senza il beneficio della presunzione di conformità.
