Il CEN-CENELEC JTC 21 è il comitato tecnico congiunto che redige le norme europee con cui si rende operativo l'AI Act dell'UE per i sistemi di IA ad alto rischio. Questa pagina è un monitoraggio costantemente aggiornato del comitato e del suo programma di lavoro, con una fotografia dello stato di avanzamento scattata a giugno 2026. Le fasi e le date obiettivo cambiano man mano che i progetti di norma attraversano l'inchiesta pubblica e l'approvazione: conviene quindi considerare le tabelle che seguono come una fotografia puntuale nel tempo e verificare il programma di lavoro aggiornato prima di fare affidamento su una fase o una data. Si affianca all'approfondimento che cos'è la prEN 18286 (la norma sul sistema di gestione della qualità per l'articolo 17), all'approfondimento complementare che cos'è la prEN 18283 (gestione della distorsione/bias), alla guida alla definizione delle priorità nell'ecosistema delle norme e alla cronologia delle norme dell'AI Act. Qui l'attenzione è sul comitato in sé: chi redige le norme, quali sono i deliverable, quale fase ha raggiunto ciascuno di essi e come una norma finalizzata diventa giuridicamente determinante ai sensi dell'articolo 40.
Che cos'è il CEN-CENELEC JTC 21
Il comitato tecnico congiunto 21 «Intelligenza artificiale» del CEN-CENELEC (CEN/CLC/JTC 21) è stato istituito il 1° giugno 2021 da CEN e CENELEC, sulla scorta della road map sull'IA del Focus Group CEN-CENELEC. La segreteria è affidata a DS (Danish Standards / Dansk Standard) e riunisce oltre 300 esperti provenienti da 20 Paesi europei. L'identità e la composizione del comitato sono documentate sul sito del JTC 21 e tramite CEN-CENELEC.
Il JTC 21 elabora le norme europee e armonizzate che stanno alla base del regime di conformità dell'AI Act dell'UE. Una volta che una norma è finalizzata e il suo riferimento è pubblicato nella Gazzetta ufficiale, la conformità ad essa comporta una presunzione legale di conformità ai corrispondenti requisiti dell'AI Act: è il meccanismo previsto dall'articolo 40.
Il comitato è organizzato in cinque gruppi di lavoro:
- WG1 — Strategic Advisory Group (SAG): coordinamento del programma e indirizzo strategico
- WG2 — Aspetti operativi: deliverable relativi ai sistemi di gestione, tra cui la gestione dei rischi (prEN 18228), la gestione della qualità (EN 18286) e la valutazione della conformità (prEN 18285)
- WG3 — Aspetti ingegneristici: metodi ingegneristici, tra cui la gestione della distorsione (bias) (prEN 18283) e la qualità e la governance dei set di dati (prEN 18284)
- WG4 — Aspetti fondamentali e sociali: il quadro per l'affidabilità dell'IA (le parti della prEN 18229 che riguardano registrazione (logging), trasparenza, sorveglianza umana, accuratezza e robustezza) e le considerazioni sociali trasversali
- WG5 — Cibersicurezza per i sistemi di IA: specifiche di cibersicurezza per i sistemi di IA (prEN 18282)
La richiesta di normazione: M/593 e l'emendamento M/613
Il programma di lavoro dell'AI Act è definito da una formale richiesta di normazione della Commissione europea. La richiesta originaria è la M/593, adottata con la decisione di esecuzione della Commissione C(2023)3215 il 22 maggio 2023. La M/593 ha chiesto a CEN e CENELEC di elaborare le norme armonizzate a sostegno dell'AI Act, con un termine di consegna originario fissato al 30 aprile 2025. Il JTC 21 non ha rispettato tale termine.
La M/613 è l'emendamento 1 a tale richiesta, adottato con la decisione di esecuzione della Commissione C(2025)3871 il 23 giugno 2025. La C(2025)3871 ha abrogato e sostituito la C(2023)3215 originaria, mantenendo invariati ambito e deliverable entro un calendario prorogato; la richiesta così modificata scade il 28 febbraio 2027, con relazioni sullo stato di avanzamento da presentare ogni tre mesi. Il CEN-CENELEC continua a descrivere i deliverable come quelli «richiesti nell'ambito della richiesta di normazione M/593 (e del relativo emendamento M/613)».
La pagina della Commissione sulla normazione per l'AI Act articola la richiesta intorno a dieci aree: gestione dei rischi, governance e qualità dei set di dati, conservazione delle registrazioni, trasparenza, sorveglianza umana, accuratezza, robustezza, cibersicurezza, gestione della qualità e valutazione della conformità. Ciascun deliverable prEN del programma di lavoro corrisponde a una o più di queste aree.
Nell'ottobre 2025 CEN e CENELEC hanno adottato un pacchetto eccezionale di misure affinché i deliverable prioritari siano resi disponibili al più tardi entro il quarto trimestre del 2026. Questo traguardo del quarto trimestre del 2026 è l'obiettivo di disponibilità a livello di programma del CEN-CENELEC ed è distinto dalla scadenza della richiesta della Commissione, fissata al 28 febbraio 2027. L'avviso di accelerazione del CEN-CENELEC individua due meccanismi. In primo luogo, dopo un esito positivo dell'inchiesta pubblica un progetto può procedere direttamente verso la pubblicazione ai sensi del regolamento interno del CEN-CENELEC, abbreviando il percorso. In secondo luogo, un piccolo gruppo di redazione composto da esperti già attivi è stato incaricato di finalizzare i progetti più in ritardo. Le singole finestre di inchiesta pubblica e di approvazione restano comunque soggette a variazioni.
Il programma di lavoro: fotografia dello stato di avanzamento
La tabella seguente è il tracker del programma di lavoro: la famiglia prEN 18xxx, gli articoli dell'AI Act che ciascuna rende operativi, il gruppo di lavoro responsabile, la fase raggiunta e l'obiettivo. Le fasi sono aggiornate a giugno 2026: verificare il programma di lavoro aggiornato del CEN-CENELEC prima di fare affidamento su una fase o una data. Alla data di questa fotografia, un deliverable (EN 18286) è in fase di approvazione, tre (prEN 18228, prEN 18229-1, prEN 18282) sono in inchiesta pubblica e i restanti progetti sono ancora in elaborazione; nessuno è ancora pubblicato o citato nella Gazzetta ufficiale.
| Deliverable | Titolo | Articoli dell'AI Act | Gruppo di lavoro | Fase (giugno 2026) | Obiettivo |
|---|---|---|---|---|---|
| EN 18286 | Sistema di gestione della qualità per finalità regolamentari dell'AI Act dell'UE | Articolo 17 | WG2 Aspetti operativi | Approvazione (voto formale); inchiesta pubblica svolta dal 30 ott 2025 a gennaio 2026 | Disponibilità CEN-CENELEC entro il quarto trimestre del 2026 |
| prEN 18228 | Gestione dei rischi dell'IA | Articolo 9 | WG2 Aspetti operativi | Inchiesta pubblica | Obiettivo di disponibilità entro il quarto trimestre del 2026 |
| prEN 18229-1 | Quadro per l'affidabilità dell'IA — Parte 1: registrazione (logging) | Articolo 12 | WG4 Aspetti fondamentali e sociali | Inchiesta pubblica | Obiettivo di disponibilità entro il quarto trimestre del 2026 |
| prEN 18282 | Specifiche di cibersicurezza per i sistemi di IA | Articolo 15 | WG5 Cibersicurezza per l'IA | Inchiesta pubblica | Obiettivo di disponibilità entro il quarto trimestre del 2026 |
| prEN 18229-3 | Quadro per l'affidabilità dell'IA — Parte 3: trasparenza e sorveglianza umana | Articoli 13, 14 | WG4 Aspetti fondamentali e sociali | Elaborazione | Data in evoluzione |
| prEN 18229-2 | Quadro per l'affidabilità dell'IA — Parte 2: accuratezza e robustezza | Articolo 15 | WG4 Aspetti fondamentali e sociali | Elaborazione | Data in evoluzione |
| prEN 18284 | Qualità e governance dei set di dati nell'IA | Articolo 10 | WG3 Aspetti ingegneristici | Elaborazione | Data in evoluzione |
| prEN 18283 | Concetti, misure e requisiti per la gestione della distorsione (bias) nei sistemi di IA | Articolo 10 (10(2)(f),(g),(3)) | WG3 Aspetti ingegneristici | Elaborazione; consultazione sul progetto di lavoro (WD) di cinque settimane chiusa il 30 aprile 2026 | Fase più iniziale; dopo il quarto trimestre del 2026 |
| prEN 18285 | Quadro per la valutazione della conformità | Articolo 43 / Allegato VII | WG2 Aspetti operativi | Elaborazione | Data in evoluzione |
Come leggere una fase e quale articolo rende operativo ciascun progetto
Un deliverable è prossimo al completamento. La EN 18286 (sistema di gestione della qualità) è stata la prima a raggiungere la fase di approvazione (voto formale); prEN 18228, prEN 18229-1 e prEN 18282 sono in inchiesta pubblica, mentre le altre sono ancora in elaborazione. La data CEN-CENELEC del quarto trimestre del 2026 è un obiettivo di disponibilità per i deliverable prioritari e non costituisce una data di pubblicazione garantita per ogni singolo documento. A giugno 2026 nessuna di queste norme è pubblicata o citata nella Gazzetta ufficiale, sicché nessuna conferisce ancora la presunzione di conformità ai sensi dell'articolo 40.
L'attribuzione ai gruppi di lavoro segue l'elenco dei gruppi di lavoro del JTC 21. I lavori sulla distorsione (bias) (prEN 18283) e sulla governance dei set di dati (prEN 18284) ricadono nel WG3 Aspetti ingegneristici; le parti del quadro per l'affidabilità dell'IA (prEN 18229-1, prEN 18229-2, prEN 18229-3) ricadono nel WG4 Aspetti fondamentali e sociali; la cibersicurezza (prEN 18282) ricade nel WG5; le norme sui sistemi di gestione e sulla valutazione della conformità (prEN 18228, EN 18286, prEN 18285) ricadono nel WG2. Per la prEN 18283 in particolare, il progetto di lavoro diffuso è stato sottoposto a una consultazione di cinque settimane con termine per le osservazioni fissato al 30 aprile 2026, una fase di maturità anteriore rispetto alla EN 18286.
I progetti CEN-CENELEC procedono lungo una scala di fasi numerate. Più alta è la fase, più il testo è vicino alla pubblicazione. I comitati nazionali speculari (comitati specchio) plasmano i progetti lungo tutto il percorso e il dibattito al loro interno può essere sostanziale, come illustra il dibattito francese sulla prEN 18286.
| Codice stadio | Fase | Significato | Deliverable di esempio |
|---|---|---|---|
| 10–20 | Elaborazione / progetto di lavoro (WD) | Gli esperti redigono il testo all'interno del gruppo di lavoro | prEN 18283 (distorsione/bias; consultazione WD chiusa il 30 apr 2026) |
| 20.60–30 | Progetto di comitato (CD), periodo di osservazioni | Costruzione del consenso interno al gruppo di lavoro e a livello nazionale | prEN 18229-3, prEN 18284 (elaborazione) |
| 40 | Inchiesta pubblica (prEN) | Consultazione aperta; osservazioni degli organismi nazionali e del pubblico | prEN 18228, prEN 18229-1, prEN 18282 (inchiesta pubblica) |
| 49–50 | Approvazione / voto formale (FprEN) | Gli organismi nazionali votano o ratificano il testo finalizzato | EN 18286 (sistema di gestione della qualità; in fase di approvazione) |
| 60 | Pubblicazione (EN) → citazione in GUUE | Pubblicata; presunzione ai sensi dell'articolo 40 solo dopo la citazione nella Gazzetta ufficiale | nessuna ancora |
Mappa articoli-deliverable
Ricondurre i deliverable al regolamento mostra quale requisito dell'AI Act ciascun progetto è destinato a rendere operativo. È l'inverso della tabella sullo stato di avanzamento ed è il modo più rapido per individuare la norma collegata a un obbligo che si è già tenuti a rispettare.
| Requisito dell'AI Act | Deliverable JTC 21 principale |
|---|---|
| Articolo 9 — Gestione dei rischi | prEN 18228 |
| Articolo 10 — Dati e governance dei dati / distorsione (bias) | prEN 18284 (set di dati) + prEN 18283 (distorsione/bias) |
| Articolo 12 — Conservazione delle registrazioni (logging) | prEN 18229-1 |
| Articoli 13, 14 — Trasparenza, sorveglianza umana | prEN 18229-3 |
| Articolo 15 — Accuratezza, robustezza | prEN 18229-2 |
| Articolo 15 — Cibersicurezza | prEN 18282 |
| Articolo 17 — Sistema di gestione della qualità | EN 18286 |
| Articolo 43 / Allegato VII — Valutazione della conformità | prEN 18285 |
Come il JTC 21 utilizza le norme ISO/IEC
La normazione europea si basa preferibilmente sulle norme internazionali esistenti dell'ISO/IEC laddove rispondano all'obiettivo regolamentare. Il JTC 21 utilizza i lavori fondamentali dell'ISO/IEC come input nell'intera famiglia prEN. La Commissione illustra questa logica nelle sue FAQ per comprendere la normazione.
Quando un quadro internazionale non è allineato a un requisito dell'AI Act, il JTC 21 redige una norma europea ad hoc. Il caso più chiaro è la gestione della qualità. La Commissione ha rilevato che gli obiettivi e le definizioni della ISO/IEC 42001:2023 non sono allineati al sistema di gestione della qualità richiesto dall'AI Act, ragion per cui la prEN 18286 è stata sviluppata come norma europea dedicata. Per un confronto più approfondito dei quadri di gestione della qualità, si veda prEN 18286 a confronto con ISO 9001 e ISO 42001.
| Norma ISO/IEC | Oggetto | Ruolo nei lavori del JTC 21 |
|---|---|---|
| ISO/IEC 22989:2022 | Concetti e terminologia dell'IA | Vocabolario fondamentale richiamato nell'intera famiglia prEN |
| ISO/IEC 23894:2023 | Linee guida sulla gestione dei rischi dell'IA | Input per la prEN 18228 (gestione dei rischi, articolo 9) |
| ISO/IEC 23053:2022 | Quadro per i sistemi di IA basati sul ML | Quadro di riferimento per i deliverable ingegneristici |
| ISO/IEC 42001:2023 | Sistema di gestione dell'IA | Input per i lavori sul sistema di gestione della qualità; non adottata direttamente perché la Commissione ne ha ritenuto obiettivi e definizioni non allineati al sistema di gestione della qualità dell'AI Act, sicché la prEN 18286 è stata redatta ad hoc |
- L'adozione di una EN ISO/IEC conferisce oggi la presunzione ai sensi dell'articolo 40?
- Non ancora. Il JTC 21 può adottare alcune norme internazionali come testi EN ISO/IEC e i team che gestiscono già un sistema di gestione ISO/IEC 42001 dispongono di una struttura riutilizzabile e trasferibile. Nessun testo EN ISO/IEC è ancora stato citato nella Gazzetta ufficiale come norma armonizzata che conferisce la presunzione ai sensi dell'articolo 40. È possibile costruire un livello di dichiarazione di applicabilità (SoA) con lo strumento SoA per la ISO 42001 mentre i deliverable europei dedicati restano in corso di elaborazione.
Articolo 40: dal progetto alla presunzione di conformità
L'articolo 40 dell'AI Act dell'UE è il risvolto giuridico del programma di normazione. Un sistema di IA ad alto rischio conforme a norme armonizzate i cui riferimenti sono stati pubblicati nella Gazzetta ufficiale dell'Unione europea si presume conforme ai requisiti di cui al Capo III, sezione 2 (i requisiti degli articoli da 8 a 15), e un modello di IA per finalità generali ai corrispondenti obblighi del Capo V, nella misura in cui tali norme coprono i requisiti. La sintesi dell'articolo 40 a cura dell'AI Act Service Desk illustra il meccanismo.
L'articolo 17 (sistema di gestione della qualità) si colloca nel Capo III, sezione 3, al di fuori dei requisiti della sezione 2 indicati dall'articolo 40, paragrafo 1. La prEN 18286 rende operativo tale obbligo dell'articolo 17 ed è il deliverable più prossimo alla citazione, e la gestione della qualità rientra nella richiesta di normazione; conviene quindi verificare il preciso effetto giuridico di qualsiasi citazione relativa al sistema di gestione della qualità a fronte del riferimento pubblicato, anziché dare per scontata una presunzione automatica ai sensi dell'articolo 40 per l'articolo 17. L'interazione è illustrata in Articolo 17 e mappatura alla prEN 18286.
Due condizioni governano la presunzione. La norma deve essere finalizzata e armonizzata e il suo riferimento deve essere citato nella Gazzetta ufficiale. Finché entrambe non sono soddisfatte, un progetto di norma (prEN o progetto di lavoro) non conferisce alcuna presunzione di conformità; allinearsi a un progetto consente comunque di rafforzare la preparazione e di costituire prove verificabili in sede di audit. Le FAQ della Commissione precisano che le prime norme armonizzate dovrebbero essere pubblicate da CEN e CENELEC nel 2026, dopodiché la Commissione avvia l'esame volto a stabilire se i riferimenti possano essere citati nella Gazzetta ufficiale. La citazione nella GUUE segue tale esame.
Per ogni voce della tabella sullo stato di avanzamento, oggi ciò significa la stessa cosa. A giugno 2026 nessuno dei deliverable del JTC 21 conferisce la presunzione, perché nessuno è stato citato nella Gazzetta ufficiale. La EN 18286, in fase di approvazione, è la più avanzata e quella con maggiore probabilità di essere citata per prima.
Come utilizzare ora questo tracker
Le norme restano allo stato di progetto mentre gli obblighi per i sistemi ad alto rischio si avvicinano all'applicazione. Gli articoli da 9 a 15 e l'articolo 17 si applicano dal 2 agosto 2026 ai sensi dell'articolo 113, mentre la regola di classificazione dell'articolo 6, paragrafo 1, per i sistemi integrati nei prodotti di cui all'allegato I si applica dal 2 agosto 2027. Il Digital Omnibus, oggetto di accordo provvisorio nel maggio 2026 ma non ancora adottato né pubblicato nella Gazzetta ufficiale a giugno 2026, una volta in vigore differirebbe al 2 dicembre 2027 gli obblighi per i sistemi ad alto rischio autonomi di cui all'allegato III (compresa la valutazione d'impatto sui diritti fondamentali (VIDF) dell'articolo 27). La posizione difendibile è costruire ora i controlli giuridicamente richiesti sulla base del 2 agosto 2026 e assorbire rapidamente le norme armonizzate una volta citate.
- Mantenere una mappa degli scostamenti (delta) rispetto alle norme: monitorare ciascuna prEN a fronte dei controlli già in essere, così da poter adottare rapidamente il testo armonizzato non appena viene citato.
- Costruire ora i controlli giuridicamente richiesti (articoli da 9 a 15 su rischio, dati, trasparenza, sorveglianza, accuratezza e robustezza; il sistema di gestione della qualità dell'articolo 17) con prove sottoponibili ad audit, utilizzando la guida ai requisiti dell'AI Act dell'UE e la guida alla classificazione ad alto rischio per definire correttamente il perimetro.
- Seguire i passaggi di inchiesta pubblica e approvazione, poiché tali fasi segnalano quale norma sta per diventare citabile; la EN 18286, in fase di approvazione, è quella da monitorare nel breve termine (si veda Articolo 17 e mappatura alla prEN 18286).
- Trattare l'inventario delle norme come un artefatto controllato, con un responsabile designato e una cadenza di revisione, conservandolo accanto alla libreria dei controlli nella pagina dedicata alle norme.
Domande frequenti
Che cos'è il CEN-CENELEC JTC 21?
È il comitato tecnico congiunto 21 «Intelligenza artificiale» del CEN-CENELEC, istituito il 1° giugno 2021, con segreteria affidata a DS (Danish Standards). Riunisce oltre 300 esperti provenienti da 20 Paesi europei in cinque gruppi di lavoro e redige le norme europee e armonizzate a sostegno dell'AI Act dell'UE.
Che cos'è la richiesta di normazione M/593 e che cos'è la M/613?
La M/593 è la richiesta di normazione originaria della Commissione europea a CEN e CENELEC per l'AI Act (decisione di esecuzione della Commissione C(2023)3215, adottata il 22 maggio 2023, con termine originario fissato al 30 aprile 2025). La M/613 è l'emendamento 1, adottato con la decisione di esecuzione della Commissione C(2025)3871 il 23 giugno 2025; ha abrogato e sostituito la C(2023)3215 mantenendo il medesimo ambito entro un calendario prorogato, con scadenza della richiesta il 28 febbraio 2027. Il CEN-CENELEC indica i deliverable come quelli richiesti nell'ambito della M/593 e del relativo emendamento M/613.
Quando saranno pronte le norme armonizzate dell'AI Act?
Dopo aver mancato il termine originario dell'aprile 2025, nell'ottobre 2025 CEN e CENELEC hanno convenuto di accelerare i lavori affinché i deliverable prioritari siano disponibili al più tardi entro il quarto trimestre del 2026, mentre la richiesta modificata della Commissione si protrae fino al 28 febbraio 2027. La Commissione prevede che le prime norme armonizzate siano pubblicate nel 2026, dopodiché valuta se i relativi riferimenti possano essere citati nella Gazzetta ufficiale. A giugno 2026 nessuna è stata pubblicata o citata; la EN 18286, la norma sul sistema di gestione della qualità, è la più avanzata, in fase di approvazione (voto formale).
Quale norma prEN è più vicina alla pubblicazione?
La EN 18286, la norma sul sistema di gestione della qualità per l'articolo 17, è stata la prima norma armonizzata dell'AI Act a raggiungere l'inchiesta pubblica (svoltasi dal 30 ottobre 2025 a gennaio 2026) ed è successivamente avanzata alla fase di approvazione (voto formale). La norma sulla distorsione (bias) prEN 18283 è molto più indietro, in fase di elaborazione, con la consultazione sul progetto di lavoro di cinque settimane chiusasi il 30 aprile 2026.
Il JTC 21 si limita ad adottare le norme ISO/IEC come la ISO/IEC 42001?
Non automaticamente. La normazione europea preferisce far leva sulle norme internazionali ISO/IEC laddove siano adeguate, ma la Commissione richiede contenuti specifici per l'AI Act. Per il sistema di gestione della qualità, ha rilevato che gli obiettivi e le definizioni della ISO/IEC 42001 non erano allineati al requisito di gestione della qualità dell'AI Act, sicché il JTC 21 ha redatto una norma europea ad hoc (prEN 18286) anziché adottare direttamente la 42001.
Seguire un progetto prEN conferisce la presunzione di conformità?
Un progetto prEN non conferisce la presunzione di conformità. Ai sensi dell'articolo 40, la presunzione si applica soltanto alle norme armonizzate i cui riferimenti sono stati pubblicati nella Gazzetta ufficiale dell'Unione europea, e unicamente per i requisiti che tali norme coprono (i requisiti del Capo III, sezione 2, e il Capo V per i modelli di IA per finalità generali). Allinearsi a un progetto consente di rafforzare la preparazione e di costituire prove.
Come una norma armonizzata produce la presunzione di conformità?
Una volta che il CEN-CENELEC finalizza una norma e la Commissione ne cita il riferimento nella Gazzetta ufficiale, un sistema di IA ad alto rischio conforme a tale norma si presume soddisfi i corrispondenti requisiti del Capo III, sezione 2, che essa copre, il che sposta sulle autorità l'onere di dimostrare la non conformità.
Punti chiave
Il JTC 21 è il comitato che trasforma l'AI Act dell'UE in norme europee operative, e questo tracker è la fotografia dello stato di tali lavori a giugno 2026: EN 18286 in fase di approvazione (voto formale); prEN 18228, prEN 18229-1 e prEN 18282 in inchiesta pubblica; i restanti progetti prEN 18xxx ancora in elaborazione; un obiettivo di disponibilità CEN-CENELEC per il quarto trimestre del 2026 accanto alla richiesta modificata che si protrae fino al 28 febbraio 2027; e nessuna norma ancora citata nella Gazzetta ufficiale. Verificare il programma di lavoro aggiornato del CEN-CENELEC e le fonti della Commissione prima di agire sulla base di una singola data. Il presente articolo fornisce informazioni di carattere generale e non costituisce consulenza legale. Le fasi e le date delle norme cambiano di frequente: confermare lo stato attuale con il CEN-CENELEC e con consulenti qualificati prima di farvi affidamento.