Rinvio AI Act: nuove scadenze 2027-2028 e cosa cambia per PMI italiane
Il 26 marzo 2026 il Parlamento europeo ha approvato il Digital Omnibus sull’AI Act, il pacchetto che modifica il Regolamento UE 2024/1689 sull’intelligenza artificiale. Per le PMI italiane che usano strumenti AI è una notizia concreta: le scadenze sui sistemi ad alto rischio slittano di almeno un anno e mezzo, ma non tutto è rinviato. L’obbligo di etichettare i contenuti generati dall’AI e i divieti sulle pratiche vietate restano attivi. Il rinvio AI Act non è una pausa: è un riordino del calendario.
Il voto – 569 favorevoli, 45 contrari, 23 astensioni – apre i negoziati (triloghi) con il Consiglio UE, che ha adottato la propria posizione il 13 marzo 2026. L’adozione finale è attesa entro l’estate 2026.
Rinvio AI Act: cosa prevede il Digital Omnibus e le nuove scadenze
Il cuore del Digital Omnibus è il rinvio delle scadenze per i sistemi di AI ad alto rischio. Fino ad oggi, la data chiave era il 2 agosto 2026: applicazione completa dell’AI Act. Il Parlamento introduce date fisse e differenziate.
Le tre date da segnare:
- 2 novembre 2026 – Obbligo di watermarking (marcatura leggibile da macchina) per i contenuti generati dall’AI: audio, immagini, video e testi sintetici. Questa scadenza è stata anticipata rispetto alla proposta della Commissione (che indicava febbraio 2027).
- 2 dicembre 2027 – Applicazione degli obblighi per i sistemi di AI ad alto rischio elencati nell’Allegato III dell’AI Act: biometria, infrastrutture critiche, istruzione, selezione del personale, servizi essenziali, giustizia, gestione delle frontiere.
- 2 agosto 2028 – Applicazione degli obblighi per i sistemi di AI ad alto rischio disciplinati da normative settoriali UE su sicurezza e vigilanza del mercato (dispositivi medici, apparecchiature radio, giocattoli, ecc.).
Attenzione: Il Digital Omnibus è la posizione negoziale del Parlamento, non ancora legge definitiva. Fino all’adozione formale, la scadenza del 2 agosto 2026 resta tecnicamente in vigore. La strategia prudente: prepararsi come se agosto 2026 fosse reale, pianificare come se dicembre 2027 fosse la data effettiva.
Cosa resta in vigore adesso (e non cambia)
Il rinvio AI Act riguarda solo una parte del Regolamento. Diversi obblighi sono già attivi e non vengono toccati dall’Omnibus.
Già in vigore dal 2 febbraio 2025:
- Divieti sulle pratiche a rischio inaccettabile – Social scoring, manipolazione subliminale, riconoscimento facciale indiscriminato, classificazione biometrica di dati sensibili.
- AI Literacy – Obbligo per chi fornisce o utilizza sistemi di AI di promuovere la formazione del personale (l’Omnibus cambia il verbo da “garantire” a “promuovere”, ma mantiene l’obbligo in capo alle aziende).
Già in vigore dal 2 agosto 2025:
- Obblighi per i modelli GPAI (General Purpose AI, come GPT-4, Gemini, Claude) – Documentazione tecnica, trasparenza sul copyright, valutazione dei rischi sistemici per i modelli più avanzati.
Per un’analisi completa degli obblighi già attivi, vedi la nostra guida AI Act per PMI e la guida GDPR per chi usa tool AI.
Due novità sostanziali: nudificazione e dati per il debiasing
L’Omnibus non è solo rinvio. Introduce anche nuove regole.
Divieto delle app di nudificazione
Il Parlamento vuole inserire un nuovo divieto esplicito tra le pratiche a rischio inaccettabile (art. 5 AI Act): i sistemi di AI che creano o manipolano immagini sessualmente esplicite di persone identificabili senza il loro consenso. Il divieto non si applica ai sistemi che includono misure di sicurezza efficaci per impedire la generazione di tali contenuti.
Questo è rilevante per qualsiasi PMI che sviluppa o utilizza tool di generazione di immagini: verificare che il provider abbia filtri attivi contro la generazione di contenuti intimi non consensuali diventa un requisito concreto.
Trattamento di dati sensibili per correggere bias
I fornitori e i deployer di sistemi AI potranno trattare dati personali – anche categorie particolari (etnia, orientamento, salute) – per individuare e correggere distorsioni (bias) nei loro sistemi, ma solo quando strettamente necessario e con garanzie adeguate. L’EDPB e l’EDPS hanno chiesto che questa facoltà sia limitata al criterio di “stretta necessità”, e sia il Parlamento che il Consiglio convergono su questo punto.
Per la maggior parte delle PMI italiane questo non cambia l’operatività quotidiana, ma è un segnale importante per chi sviluppa sistemi di AI personalizzati o integra modelli addestrati su dati propri.
Cosa significa in pratica per tre tipi di PMI
PMI che usa ChatGPT, Copilot o Claude per il lavoro quotidiano
L’impatto diretto del rinvio è minimo. I tool che usi ogni giorno sono classificati come rischio minimo o limitato dall’AI Act. Gli obblighi di trasparenza (art. 50) restano applicabili da agosto 2026, e l’obbligo di AI literacy per il tuo team è già attivo. Lu2019Omnibus non cambia nulla per te in questo senso. Per approfondire i rischi GDPR legati a ChatGPT, vedi la nostra guida dedicata. Quello che cambia: hai più tempo per preparare la documentazione nel caso in cui un tuo processo interno usi AI in modo che potrebbe ricadere nell’alto rischio (es. screening automatico di CV).
Agenzia di marketing che genera contenuti AI
Per te la scadenza più importante è il 2 novembre 2026: da quella data, audio, immagini, video e testi generati dall’AI dovranno essere marcati in formato leggibile da macchina (watermarking). In parallelo, la Commissione sta finalizzando il Codice di buone pratiche sull’etichettatura dei contenuti AI (versione finale attesa per giugno 2026), che includerà un’icona UE standardizzata da apporre ai contenuti sintetici. Se produci contenuti con Midjourney, DALL-E, Sora o altri generatori, inizia a mappare il tuo flusso di produzione e a verificare se i tool che usi supportano giu00e0 lu2019inserimento di metadati. Per una panoramica completa, vedi gli obblighi AI Act per le agenzie di marketing.
Software house che sviluppa soluzioni AI per clienti
Il rinvio ti dà respiro, ma non ti esonera. Se i tuoi prodotti ricadono nei sistemi ad alto rischio – software di scoring creditizio, sistemi decisionali per HR, diagnostica assistita – le scadenze slittano a dicembre 2027 o agosto 2028, ma la documentazione tecnica, i registri di gestione del rischio, la valutazione du2019impatto e le procedure di conformitu00e0 richiedono mesi di lavoro. Il messaggio è chiaro: usa il tempo guadagnato per prepararti, non per procrastinare.
Le misure di supporto per PMI e mid-cap
L’Omnibus estende le misure di semplificazione previste dall’AI Act anche alle imprese di medie dimensioni (small mid-cap): aziende con 250-749 dipendenti e fatturato fino a 150 milioni di euro. Per le PMI classiche (meno di 250 dipendenti), le semplificazioni già previste dall’AI Act restano confermate.
In più, gli obblighi dell’AI Act saranno meno stringenti per i prodotti già soggetti a regolamenti UE settoriali (dispositivi medici, macchine, giocattoli), per evitare duplicazioni normative.
Le prossime tappe: il calendario da tenere d’occhio
- Aprile-giugno 2026 – Triloghi tra Parlamento e Consiglio UE per il testo definitivo dell’Omnibus
- Giugno 2026 – Versione finale del Codice di buone pratiche su watermarking e etichettatura AI
- Estate 2026 (stimata) – Adozione formale del Digital Omnibus
- 2 agosto 2026 – Applicazione piena dell’AI Act (salvo modifiche Omnibus): trasparenza art. 50, sanzioni per GPAI, obblighi generali
- 2 novembre 2026 – Watermarking obbligatorio per contenuti generati dall’AI
- 10 ottobre 2026 – Scadenza per i decreti attuativi della Legge 132/2025 italiana sullu2019AI
- 2 dicembre 2027 – Obblighi per sistemi ad alto rischio Allegato III
- 2 agosto 2028 – Obblighi per sistemi ad alto rischio in normative settoriali
Fonti ufficiali: Comunicato stampa Parlamento europeo, 26 marzo 2026 · Pagina ufficiale AI Act – Commissione Europea (digital-strategy.ec.europa.eu) · Documento di riferimento: A10-0073/2026 (Relazione IMCO-LIBE)
Cosa fare adesso: checklist per PMI
Non aspettare il testo definitivo per muoverti. Ecco le azioni concrete che hanno senso già oggi.
- Verifica l’AI literacy del tuo team — L’obbligo è già in vigore. Se non hai ancora formato il personale che usa strumenti AI, sei già in ritardo. → Approfondisci: AI Literacy obbligatoria
- Mappa i sistemi AI che usi — Identifica quali strumenti AI sono attivi nella tua azienda e a quale categoria di rischio appartengono. La maggior parte ricadrà nel rischio minimo. Per capire se un software è effettivamente un sistema AI secondo la legge, vedi la guida alla definizione di sistema AI. → Approfondisci: Mappatura strumenti AI
- Controlla i contratti con i provider AI — Verifica che il DPA sia firmato, che ci sia una base giuridica chiara e che le condizioni di training sui tuoi dati siano esplicite. → Approfondisci: Contratti con fornitori AI
- Prepara il flusso per il watermarking – Se generi contenuti con AI (testi, immagini, video), inizia a documentare i tuoi processi e verifica se i tool che usi supportano l’inserimento di metadati. La scadenza è novembre 2026.
- Monitora i triloghi – Il testo definitivo potrebbe cambiare. Segui gli aggiornamenti su aipolicy.it.
FAQ
Approfondisci
Fonti e riferimenti ufficiali
- Parlamento europeo – Comunicato stampa 26 marzo 2026, voto Digital Omnibus AI Act: europarl.europa.eu
- Parlamento europeo – Relazione IMCO-LIBE A10-0073/2026 (testo completo della posizione negoziale): europarl.europa.eu
- Commissione europea – Pagina ufficiale AI Act e implementazione: digital-strategy.ec.europa.eu
- Commissione europea – Seconda bozza Codice di buone pratiche su watermarking e etichettatura AI (5 marzo 2026): digital-strategy.ec.europa.eu
- EDPB/EDPS – Parere congiunto sull’Omnibus AI (21 gennaio 2026): edpb.europa.eu
- Regolamento (UE) 2024/1689 (AI Act) – Testo ufficiale: eur-lex.europa.eu
Lo stesso voto del 26 marzo ha approvato anche la posizione del Parlamento sulle modifiche al GDPR nel Digital Omnibus, con semplificazioni per il registro dei trattamenti e il legittimo interesse per l’AI.
Questo articolo non costituisce consulenza legale.
