Rinvio AI Act: nuove scadenze 2027-2028 e cosa cambia per PMI italiane

Aggiornamento – 9 maggio 2026
Il 7 maggio 2026 Parlamento europeo e Consiglio UE hanno raggiunto un accordo provvisorio sul Digital Omnibus AI Act: i triloghi si sono chiusi. Le scadenze indicate in questo articolo sono confermate con una correzione: il watermarking (art. 50 par. 2) è fissato al 2 dicembre 2026 (non 2 novembre come da posizione del PE di marzo). L’accordo deve ancora essere adottato formalmente, con l’obiettivo di chiudere entro il 2 agosto 2026. Ulteriori novità: esenzioni estese alle small mid-cap; ridefinizione “componente di sicurezza”; obbligo AI literacy trasferito agli Stati membri. Fonte: comunicato Consiglio UE, 7 maggio 2026.

Il 26 marzo 2026 il Parlamento europeo ha approvato il Digital Omnibus sull\u2019AI Act il Parlamento europeo ha approvato il Digital Omnibus sull’AI Act, il pacchetto che modifica il Regolamento UE 2024/1689 sull’intelligenza artificiale. Per le PMI italiane che usano strumenti AI è una notizia concreta: le scadenze sui sistemi ad alto rischio slittano di almeno un anno e mezzo, ma non tutto è rinviato. L’obbligo di etichettare i contenuti generati dall’AI e i divieti sulle pratiche vietate restano attivi. Il rinvio AI Act non è una pausa: è un riordino del calendario.

Il voto – 569 favorevoli, 45 contrari, 23 astensioni – ha avviato i negoziati (triloghi) con il Consiglio UE, che aveva adottato la propria posizione il 13 marzo 2026. Il 7 maggio 2026 PE e Consiglio hanno raggiunto l’accordo provvisorio. L’adozione formale è attesa entro il 2 agosto 2026.

Rinvio AI Act: cosa prevede il Digital Omnibus e le nuove scadenze

Il cuore del Digital Omnibus è il rinvio delle scadenze per i sistemi di AI ad alto rischio. Fino ad oggi, la data chiave era il 2 agosto 2026: applicazione completa dell’AI Act. Il Parlamento introduce date fisse e differenziate.

Le tre date da segnare:

• 2 dicembre 2026 – Obbligo di watermarking (marcatura leggibile da macchina) per i contenuti generati dall’AI: audio, immagini, video e testi sintetici. Data aggiornata con l’accordo provvisorio PE-Consiglio del 7 maggio 2026 (la posizione del PE di marzo indicava il 2 novembre 2026).
• 2 dicembre 2027 – Applicazione degli obblighi per i sistemi di AI ad alto rischio elencati nell’Allegato III dell’AI Act: biometria, infrastrutture critiche, istruzione, selezione del personale, servizi essenziali, giustizia, gestione delle frontiere.
• 2 agosto 2028 – Applicazione degli obblighi per i sistemi di AI ad alto rischio disciplinati da normative settoriali UE su sicurezza e vigilanza del mercato (dispositivi medici, apparecchiature radio, giocattoli, ecc.).

Cosa resta in vigore adesso (e non cambia)

Il rinvio AI Act riguarda solo una parte del Regolamento. Diversi obblighi sono già attivi e non vengono toccati dall’Omnibus.

Già in vigore dal 2 febbraio 2025:

• Divieti sulle pratiche a rischio inaccettabile – Social scoring, manipolazione subliminale, riconoscimento facciale indiscriminato, classificazione biometrica di dati sensibili.
• AI Literacy – Obbligo per chi fornisce o utilizza sistemi di AI di promuovere la formazione del personale (l’Omnibus cambia il verbo da “garantire” a “promuovere”, ma mantiene l’obbligo in capo alle aziende).

Già in vigore dal 2 agosto 2025:

• Obblighi per i modelli GPAI (General Purpose AI, come GPT-4, Gemini, Claude) – Documentazione tecnica, trasparenza sul copyright, valutazione dei rischi sistemici per i modelli più avanzati.

Per un’analisi completa degli obblighi già attivi, vedi la nostra guida AI Act per PMI e la guida GDPR per chi usa tool AI.

Due novità sostanziali: nudificazione e dati per il debiasing

L’Omnibus non è solo rinvio. Introduce anche nuove regole.

Divieto delle app di nudificazione

Il Parlamento vuole inserire un nuovo divieto esplicito tra le pratiche a rischio inaccettabile (art. 5 AI Act): i sistemi di AI che creano o manipolano immagini sessualmente esplicite di persone identificabili senza il loro consenso. Il divieto non si applica ai sistemi che includono misure di sicurezza efficaci per impedire la generazione di tali contenuti.

Questo è rilevante per qualsiasi PMI che sviluppa o utilizza tool di generazione di immagini: verificare che il provider abbia filtri attivi contro la generazione di contenuti intimi non consensuali diventa un requisito concreto.

Trattamento di dati sensibili per correggere bias

I fornitori e i deployer di sistemi AI potranno trattare dati personali – anche categorie particolari (etnia, orientamento, salute) – per individuare e correggere distorsioni (bias) nei loro sistemi, ma solo quando strettamente necessario e con garanzie adeguate. L’EDPB e l’EDPS hanno chiesto che questa facoltà sia limitata al criterio di “stretta necessità”, e sia il Parlamento che il Consiglio convergono su questo punto.

Per la maggior parte delle PMI italiane questo non cambia l’operatività quotidiana, ma è un segnale importante per chi sviluppa sistemi di AI personalizzati o integra modelli addestrati su dati propri.

Cosa significa in pratica per tre tipi di PMI

PMI che usa ChatGPT, Copilot o Claude per il lavoro quotidiano

L’impatto diretto del rinvio è minimo. I tool che usi ogni giorno sono classificati come rischio minimo o limitato dall’AI Act. Gli obblighi di trasparenza (art. 50) restano applicabili da agosto 2026 — per il dettaglio completo consulta la guida agli obblighi di trasparenza AI Act — e l’obbligo di AI literacy per il tuo team è già attivo. Lu2019Omnibus non cambia nulla per te in questo senso. Per approfondire i rischi GDPR legati a ChatGPT, vedi la nostra guida dedicata. Quello che cambia: hai più tempo per preparare la documentazione nel caso in cui un tuo processo interno usi AI in modo che potrebbe ricadere nell’alto rischio (es. screening automatico di CV).

Agenzia di marketing che genera contenuti AI

Per te la scadenza più importante è il 2 dicembre 2026: da quella data, audio, immagini, video e testi generati dall’AI dovranno essere marcati in formato leggibile da macchina (watermarking). In parallelo, la Commissione sta finalizzando il Codice di buone pratiche sull’etichettatura dei contenuti AI (versione finale attesa per giugno 2026), che includerà un’icona UE standardizzata da apporre ai contenuti sintetici. Se produci contenuti con Midjourney, DALL-E, Sora o altri generatori, inizia a mappare il tuo flusso di produzione e a verificare se i tool che usi supportano giu00e0 lu2019inserimento di metadati. Per una panoramica completa, vedi gli obblighi AI Act per le agenzie di marketing.

Software house che sviluppa soluzioni AI per clienti

Il rinvio ti dà respiro, ma non ti esonera. Se i tuoi prodotti ricadono nei sistemi ad alto rischio – software di scoring creditizio, sistemi decisionali per HR, diagnostica assistita – le scadenze slittano a dicembre 2027 o agosto 2028, ma la documentazione tecnica, i registri di gestione del rischio, la valutazione du2019impatto e le procedure di conformitu00e0 richiedono mesi di lavoro. Il messaggio è chiaro: usa il tempo guadagnato per prepararti, non per procrastinare.

Le misure di supporto per PMI e mid-cap

L’Omnibus estende le misure di semplificazione previste dall’AI Act anche alle imprese di medie dimensioni (small mid-cap): aziende con 250-749 dipendenti e fatturato fino a 150 milioni di euro. Per le PMI classiche (meno di 250 dipendenti), le semplificazioni già previste dall’AI Act restano confermate.

In più, gli obblighi dell’AI Act saranno meno stringenti per i prodotti già soggetti a regolamenti UE settoriali (dispositivi medici, macchine, giocattoli), per evitare duplicazioni normative.

Le prossime tappe: il calendario da tenere d’occhio

• 7 maggio 2026 – Accordo provvisorio PE-Consiglio UE sul Digital Omnibus AI Act (triloghi chiusi)
• Giugno 2026 – Versione finale del Codice di buone pratiche su watermarking e etichettatura AI
• Estate 2026 (stimata) – Adozione formale del Digital Omnibus
• 2 agosto 2026 – Applicazione piena dell’AI Act (salvo modifiche Omnibus): trasparenza art. 50, sanzioni per GPAI, obblighi generali
• 2 dicembre 2026 – Watermarking obbligatorio per contenuti generati dall’AI (data aggiornata con accordo PE-Consiglio del 7 maggio 2026)
• 10 ottobre 2026 – Scadenza per i decreti attuativi della Legge 132/2025 italiana sullu2019AI
• 2 dicembre 2027 – Obblighi per sistemi ad alto rischio Allegato III
• 2 agosto 2028 – Obblighi per sistemi ad alto rischio in normative settoriali

Cosa fare adesso: checklist per PMI

Non aspettare il testo definitivo per muoverti. Ecco le azioni concrete che hanno senso già oggi.

1. Verifica l’AI literacy del tuo team — L’obbligo è già in vigore. Se non hai ancora formato il personale che usa strumenti AI, sei già in ritardo. → Approfondisci: AI Literacy obbligatoria
2. Mappa i sistemi AI che usi — Identifica quali strumenti AI sono attivi nella tua azienda e a quale categoria di rischio appartengono. La maggior parte ricadrà nel rischio minimo. Per capire se un software è effettivamente un sistema AI secondo la legge, vedi la guida alla definizione di sistema AI. → Approfondisci: Mappatura strumenti AI
3. Controlla i contratti con i provider AI — Verifica che il DPA sia firmato, che ci sia una base giuridica chiara e che le condizioni di training sui tuoi dati siano esplicite. → Approfondisci: Contratti con fornitori AI
4. Prepara il flusso per il watermarking – Se generi contenuti con AI (testi, immagini, video), inizia a documentare i tuoi processi e verifica se i tool che usi supportano l’inserimento di metadati. La scadenza è novembre 2026.
5. Monitora i triloghi – Il testo definitivo potrebbe cambiare. Segui gli aggiornamenti su aipolicy.it.

Approfondisci

Lo stesso voto del 26 marzo ha approvato anche la posizione del Parlamento sulle modifiche al GDPR nel Digital Omnibus, con semplificazioni per il registro dei trattamenti e il legittimo interesse per l’AI.

Questo articolo non costituisce consulenza legale.