La Legge UE sull’IA: Cosa devono sapere gli esecutivi energetici prima di agosto 2026
La finestra di conformità si sta chiudendo. La legge UE sull’IA è entrata in vigore. Le obbligazioni più severe, quelle applicabili ai sistemi di IA ad alto rischio, entreranno in vigore dal 2 agosto 2026.
Per le aziende energetiche che operano o servono il mercato dell’UE, questa non è una questione di conformità di nicchia. Molti sistemi di IA già usati nell’esplorazione, produzione, trasporto, generazione di energia e operazioni di rete potrebbero rientrare nella categoria “alto rischio” della legge. Le aziende che non hanno ancora avviato sforzi di conformità strutturati dovrebbero considerare il 2 agosto 2026 come una scadenza critica. Le sanzioni per mancata conformità possono raggiungere i 15 milioni di euro o fino al 3% del fatturato annuale globale, a seconda di quale sia maggiore.
Perché i sistemi di IA energetici sono spesso “alto rischio”
La legge sull’IA adotta un approccio basato sul rischio. Le sue obbligazioni più onerose si applicano ai sistemi di IA designati come ad alto rischio secondo l’Allegato III. Per le aziende energetiche, due disposizioni della legge lavorano insieme per determinare lo stato di alto rischio. L’Allegato III, Sezione 2, classifica come ad alto rischio qualsiasi sistema di IA che funge da “componente di sicurezza” nella gestione o operazione di “infrastrutture critiche”, incluse elettricità, gas, riscaldamento e altri servizi energetici essenziali.
Un sistema di IA si qualifica come “componente di sicurezza” quando il suo guasto o malfunzionamento potrebbe causare danni fisici all’infrastruttura, danni a persone o proprietà. I sistemi di IA usati esclusivamente per scopi di cybersecurity sono espressamente esclusi.
L’Allegato I offre un secondo percorso indipendente per la classificazione ad alto rischio. Se un sistema di IA è integrato come componente di sicurezza in un prodotto già soggetto a valutazione di conformità di terzi ai sensi della normativa di armonizzazione UE, quel sistema di IA è classificato automaticamente come ad alto rischio. Le aziende energetiche dovrebbero sapere che un singolo sistema di IA può attivare la classificazione di alto rischio sia sotto l’Allegato I che sotto l’Allegato III, e ciascuna classificazione comporta obbligazioni di conformità proprie.
Sistemi di IA da considerare con attenzione
Di seguito alcuni esempi illustrativi, non esaustivi, di sistemi il cui guasto potrebbe influenzare la sicurezza, la continuità dell’approvvigionamento o l’integrità dell’infrastruttura:
Upstream (Esplorazione e Produzione): controllo automatico dei pozzi, monitoraggio della pressione, sistemi di prevenzione delle fuoriuscite; analisi predittive dell’integrità strutturale; monitoraggio della sicurezza delle piattaforme offshore assistito da IA.
Midstream (Oleodotti, Stoccaggio e Trasporto): sistemi di IA integrati con SCADA per controllare o monitorare le operazioni degli oleodotti; rilevamento automatico delle perdite e piattaforme di anomalie; sistemi di gestione dell’integrità degli oleodotti e dello stoccaggio.
Downstream (Raffinazione, Distribuzione e Vendita al Dettaglio): controllo dei processi e monitoraggio della sicurezza nelle raffinerie; rilevamento automatico dei pericoli presso i terminal; monitoraggio dell’integrità delle attrezzature con funzioni di risposta automatizzata.
LNG: monitoraggio della sicurezza per le operazioni di liquefazione e rigassificazione; rilevamento e controllo automatico in tutta l’infrastruttura criogenica.
Generazione di energia e utilità: sistemi di controllo e sicurezza per la generazione termica, nucleare e rinnovabile; gestione della rete, previsione del carico e strumenti di distribuzione in tempo reale; sistemi di rilevamento, isolamento e ripristino automatico dei guasti.
Obbligazioni di conformità fondamentali
Le aziende energetiche possono agire come fornitori (sviluppando o mettendo in servizio sistemi), utilizzatori (utilizzando sistemi di terze parti) o – comunemente – entrambi. Le obbligazioni dei fornitori sono più estese, anche se gli utilizzatori hanno doveri significativi.
Per ciascun sistema di IA ad alto rischio, i fornitori devono implementare e documentare:
Governance e supervisione:
Un sistema di gestione del rischio documentato che copra l’intero ciclo di vita;
Supervisione umana a livello di progettazione che consenta monitoraggio, intervento e override.
Prontezza tecnica:
Governance robusta dei dati, inclusi controlli sulla qualità dei dati e sui bias;
Registrazione e tenuta di registri integrati;
Accuratezza, robustezza e sicurezza informatica dimostrate, appropriate al rischio infrastrutturale.
Prontezza regolatoria:
Documentazione tecnica completa e file di conformità dell’Allegato IV;
Istruzioni chiare per l’uso e materiali di trasparenza per gli utilizzatori;
Completamento di una valutazione di conformità e registrazione nel database UE dell’IA ad alto rischio prima del dispiegamento.
Cosa fare ora
La conformità non può iniziare senza visibilità operativa. Nessuna azienda può soddisfare i requisiti della legge senza prima conoscere quali sistemi di IA sono in uso, dove sono dispiegati e chi li ha costruiti o procurati. Questo inventario è il prerequisito per tutto il resto.
Condurre un inventario strutturato dell’IA in tutte le operazioni e le unità aziendali coinvolte nell’UE – questo è il primo passo non negoziabile.
Classificare ciascun sistema secondo l’Allegato III in modo conservativo, con una motivazione documentata per ogni determinazione di inclusione ed esclusione.
Mappare lo stato di fornitore rispetto a utilizzatore per ciascun sistema, prestando particolare attenzione alle piattaforme personalizzate o integrate internamente.
Revisione dei contratti di fornitura di IA per l’assegnazione delle lacune di conformità, indennizzo e obbligazioni di pass-through – la maggior parte dei contratti esistenti non è stata redatta considerando la legge.
Assegnare una proprietà di governance dell’IA trasversale (legale, ingegneristica, operativa, approvvigionamento) prima dell’inizio del lavoro tecnico di conformità.
Iniziare la documentazione tecnica per i sistemi ad alto rischio noti in parallelo con l’inventario più ampio – non aspettare che l’inventario sia completo.
Valutare l’architettura di supervisione umana per i sistemi esistenti e identificare eventuali requisiti di redesign.
Pianificare le tempistiche di registrazione nel database UE; il processo di registrazione presuppone che tutta la documentazione precedente sia completa.
Le aziende energetiche stanno scoprendo che la conformità alla legge sull’IA riguarda meno un singolo sistema e più il coordinamento tra legale, ingegneria, operazioni e team di approvvigionamento in tutta l’organizzazione.
