Rinviato, non fermato: l'Allegato III, la biometria alle frontiere e il fornitore svizzero
Il Consiglio e il Parlamento hanno raggiunto un accordo provvisorio il 7 maggio 2026 per spostare gli obblighi ad alto rischio dell'Allegato III del Regolamento IA dal 2 agosto 2026 al 2 dicembre 2027. Per i fornitori svizzeri di sistemi biometrici di frontiera, il calendario si sposta, non la giurisdizione ai sensi dell'art. 2 — e fino all'adozione formale resta in vigore la scadenza di agosto.
Dr. iur. Servatius von Tatzenberg
Il 7 maggio 2026, il Consiglio e il Parlamento hanno raggiunto un accordo provvisorio nell’ambito del Digital Omnibus per rinviare gli obblighi ad alto rischio del Regolamento IA (Regolamento (UE) 2024/1689). Quanto avrebbe dovuto applicarsi dal 2 agosto 2026 ai sensi dell’art. 113 entrerà in vigore soltanto il 2 dicembre 2027. La misura riguarda l’Allegato III e, con esso, i sistemi di identificazione biometrica operativi dal 10 aprile 2026 a tutte le frontiere esterne Schengen. Il fornitore svizzero che immette tali sistemi sul mercato dell’UE guadagna sedici mesi. Gli obblighi restano invariati.
L’Allegato III prevede due categorie di applicazioni ad alto rischio pertinenti: l’identificazione biometrica a distanza al n. 1 e il riconoscimento di persone da parte delle autorità nell’ambito della gestione delle frontiere e della migrazione al n. 7. Il sistema Entry/Exit dell’UE raccoglie, dal 10 aprile, impronte digitali e immagini facciali dei cittadini di paesi terzi a ogni frontiera esterna. Un’applicazione di questo tipo rientra chiaramente in entrambe le categorie.
Per il fornitore svizzero, il luogo di stabilimento è irrilevante. L’art. 2, par. 1, lett. a) si applica a chiunque immetta un sistema di IA nell’Unione, indipendentemente dalla sede; la lett. c) scatta non appena il risultato prodotto dal sistema viene utilizzato nell’Unione. L’obbligo segue il prodotto, non l’indirizzo. Chi è stabilito fuori dall’Unione deve inoltre designare per iscritto, prima di rendere il prodotto disponibile sul mercato dell’Unione, un rappresentante autorizzato stabilito nell’Unione ai sensi dell’art. 22.
Il fornitore di un sistema ad alto rischio deve seguire la procedura di valutazione della conformità ai sensi dell’art. 43, tenere la registrazione automatica prevista dall’art. 12 e dimostrare la sorveglianza umana di cui all’art. 14. Se un prodotto rientra esclusivamente nel n. 7 dell’Allegato III, è sufficiente il controllo interno ai sensi dell’art. 43, par. 2; se si applica anche il n. 1, vale l’art. 43, par. 1, con il coinvolgimento dell’autorità di vigilanza del mercato in qualità di organismo notificato. Le violazioni di questi obblighi comportano, ai sensi dell’art. 99, par. 4, una sanzione fino a 15 milioni di euro o al 3% del fatturato annuo mondiale — si applica l’importo più elevato. Le norme armonizzate per la valutazione della conformità non sono ancora disponibili.
La scadenza transitoria del 31 dicembre 2030 di cui all’art. 111, par. 1 si applica esclusivamente ai componenti dei grandi sistemi di informazione dell’UE elencati nell’Allegato X del Regolamento IA — tra cui il sistema Entry/Exit, VIS ed Eurodac — purché messi in servizio prima del 2 agosto 2027. Il prodotto biometrico autonomo che un fornitore svizzero immette per la prima volta sul mercato non rientra in questa categoria. Per tale prodotto si applica il termine ordinario.
L’accordo del 7 maggio è un’intesa politica, non ancora diritto vigente. Fino a quando il Parlamento e il Consiglio non avranno dato la loro approvazione formale, il testo del Regolamento indica il 2 agosto 2026. Conviene quindi designare subito il rappresentante autorizzato ai sensi dell’art. 22 e avviare la valutazione della conformità, perché entrambe le procedure richiedono un tempo di preparazione che nessun rinvio può restituire. La data da segnare in agenda è quella dell’adozione formale del Digital Omnibus da parte del Parlamento e del Consiglio. Fino ad allora vale agosto.