Il 7 maggio 2026 il Consiglio dell'Unione europea e il Parlamento europeo hanno raggiunto un accordo politico provvisorio sul Digital Omnibus, il pacchetto di semplificazione che interviene sull'AI Act. Si tratta del primo risultato tangibile della tabella di marcia "un'Europa, un mercato" e nasce dalla proposta presentata dalla Commissione il 19 novembre 2025, con l'obiettivo di razionalizzare le regole armonizzate sull'intelligenza artificiale e ridurre i costi amministrativi a carico delle imprese.
Il fulcro dell'AI Act rinvio 2027 è lo slittamento dei principali obblighi previsti per i sistemi di intelligenza artificiale ad alto rischio, che sarebbero diventati applicabili il 2 agosto 2026 senza che gli standard tecnici e gli strumenti di supporto fossero pienamente disponibili. L'accordo introduce un calendario fisso, conferma alcuni obblighi già operativi e aggiunge una nuova pratica vietata che non figurava nella proposta originaria.
📆 Le nuove scadenze dopo l'accordo del 7 maggio 2026
Il Digital Omnibus non concede una proroga generalizzata, ma calibra le date in funzione della natura del sistema di IA e della normativa di riferimento. Questo significa che le aziende dovranno distinguere con attenzione il tipo di sistema utilizzato per individuare la scadenza corretta, evitando di applicare in modo uniforme il rinvio.
- 2 dicembre 2027 per i sistemi di IA ad alto rischio stand-alone, come quelli impiegati da banche, assicurazioni, infrastrutture critiche e nella selezione o gestione del personale
- 2 agosto 2028 per i sistemi ad alto rischio integrati in prodotti coperti da normativa di armonizzazione settoriale, come dispositivi medici, giocattoli, ascensori, macchinari e moto d'acqua
- 2 dicembre 2026 per la marcatura informatica dei contenuti generati da IA generativa, con periodo di tolleranza ridotto da sei a tre mesi
- 2 agosto 2027 per l'istituzione delle sandbox regolatorie nazionali
🚫 La nuova pratica vietata: app di nudification e CSAM
Tra le modifiche più significative introdotte dai colegislatori figura un divieto che non era contenuto nella proposta della Commissione. Sono ora vietati i sistemi di IA che generano contenuti sessuali o intimi non consensuali e materiale di abuso sessuale su minori. Il divieto si aggiunge alle pratiche proibite dell'art. 5 dell'AI Act e risponde alla diffusione delle cosiddette app di nudification, strumenti che modificano immagini di persone reali per produrre contenuti intimi sintetici. La scelta segna un rafforzamento esplicito della protezione dei minori e dei diritti della personalità nel nuovo quadro normativo.
⚙️ Cosa resta applicabile da subito
Il rinvio non sospende l'intera architettura dell'AI Act. Diversi obblighi sono già operativi e continueranno ad applicarsi senza variazioni, indipendentemente dalle nuove scadenze sull'alto rischio. Le aziende devono quindi mantenere distinte le aree già regolate da quelle oggetto di proroga.
- i divieti dell'art. 5, applicabili dal febbraio 2025, che vietano pratiche come il social scoring, lo sfruttamento delle vulnerabilità e ora anche la generazione di contenuti sessuali non consensuali
- le regole sui modelli di IA per finalità generali (GPAI), operative dal 2 agosto 2025
- l'obbligo di formazione sull'IA previsto dall'art. 4, che impone a provider e deployer di garantire un livello adeguato di alfabetizzazione al proprio personale
- l'obbligo per i provider di registrare i sistemi nel database europeo dei sistemi ad alto rischio, anche quando si ritiene che il sistema rientri nelle esenzioni
🛠️ Le misure di supporto all'adeguamento
L'accordo non si limita a posticipare le scadenze: introduce un pacchetto di misure pensate per agevolare l'implementazione concreta. Il punto più rilevante è il meccanismo di coordinamento con la legislazione settoriale: quando una normativa di settore prevede già requisiti equivalenti in materia di IA, l'AI Act vede limitata la propria applicazione attraverso atti di esecuzione adottati dalla Commissione. Viene inoltre confermato il criterio della stretta necessità per il trattamento di categorie particolari di dati personali ai fini del rilevamento e della correzione dei bias algoritmici, mantenendo l'allineamento con l'art. 9 del GDPR. L'AI Office vede chiarite le proprie competenze sulla supervisione dei sistemi basati su GPAI, con un elenco di eccezioni che restano alle autorità nazionali, tra cui autorità di contrasto, autorità giudiziarie e istituti finanziari. Le piccole imprese a media capitalizzazione vengono infine ammesse a beneficiare delle esenzioni già previste per le PMI.
📌 Come usare la finestra di adeguamento
Il rinvio offre alle aziende circa sedici mesi aggiuntivi rispetto alla scadenza originaria, ma non rappresenta una pausa. Le organizzazioni che gestiscono sistemi ad alto rischio devono usare questo tempo per costruire un percorso di compliance ordinato, anziché concentrare gli adempimenti nelle settimane precedenti alla nuova scadenza. La mappatura dei sistemi di IA effettivamente in uso, l'aggiornamento delle DPIA, la definizione di policy interne e la predisposizione della documentazione tecnica sono attività che richiedono mesi di lavoro, soprattutto quando coinvolgono più funzioni aziendali. Il quadro complessivo dell'AI Act resta quello fissato dal Regolamento UE 2024/1689, integrato ora dal Digital Omnibus, ed è disponibile nella sezione dedicata alle regole digitali europee.
Tra gli adempimenti che restano pienamente operativi, la formazione obbligatoria sull'IA prevista dall'art. 4 è quello con impatto più immediato e trasversale. Riguarda tutto il personale che progetta, gestisce o utilizza sistemi di intelligenza artificiale, e richiede un livello di alfabetizzazione proporzionato al ruolo, al settore e al tipo di sistema impiegato. Per chi gestisce sistemi AI in ambito professionale, un percorso formativo mirato consente di costruire la consapevolezza richiesta dalla norma e di trasformare la finestra estesa fino a dicembre 2027 in un effettivo vantaggio organizzativo, anziché in un rinvio passivo dell'adeguamento.
#aiact #digitalomnibus #compliance
