AI Act, le scadenze 2026-2028 dopo il Digital Omnibus: cosa cambia per imprese e pubblica amministrazione

AI Act, le scadenze 2026-2028 dopo il Digital Omnibus: cosa cambia per imprese e pubblica amministrazione

AI Act, il Regolamento (UE) 2024/1689 sull’intelligenza artificiale mantiene fermo il 2 agosto 2026 come data di applicazione generale, tuttavia il pacchetto di semplificazione noto come Digital Omnibus, definitivamente adottato dal Consiglio UE nei giorni scorsi a seguito del via libera del Parlamento europeo del 16 giugno 2026, ha spostato in avanti, e non cancellato, gli obblighi più onerosi per i sistemi ad alto rischio, facendoli slittare al 2 dicembre 2027 e al 2 agosto 2028. Resta invece confermato al 2 dicembre 2026 l’obbligo di etichettatura dei contenuti generati dall’IA, unitamente a due nuovi divieti su deepfake sessuali non consensuali e materiale di abuso su minori generato artificialmente.

Quadro originario, cosa prevedeva l’AI Act

Il regolamento è entrato in vigore il ventesimo giorno successivo alla pubblicazione in Gazzetta ufficiale dell’Unione europea, avvenuta il 12 luglio 2024.

L’articolo 113 del testo originario scandiva l’applicazione su quattro tappe:

  • 2 febbraio 2025: applicazione dei capi I e II, comprese le disposizioni generali e il divieto delle pratiche a rischio inaccettabile (punteggio sociale, manipolazione subliminale, sfruttamento di vulnerabilità, riconoscimento delle emozioni sul lavoro e nell’istruzione, scraping facciale non mirato).
  • 2 agosto 2025: applicazione del capo III sezione 4 (organismi notificati), del capo V (modelli di IA per finalità generale), del capo VII (governance), del capo XII (sanzioni) e dell’articolo 78, con l’eccezione dell’articolo 101.
  • 2 agosto 2026: applicazione generale del regolamento, compresi gli obblighi di trasparenza dell’articolo 50 sull’etichettatura dei contenuti sintetici.
  • 2 agosto 2027: applicazione dell’articolo 6, paragrafo 1, e dei correlati obblighi sulla classificazione dei sistemi ad alto rischio.

L’articolo 111 disciplinava inoltre il regime transitorio per i sistemi già immessi sul mercato, con scadenze differenziate fino al 2030 per gli operatori pubblici e per i sistemi IT su larga scala elencati nell’allegato X.

Perché il calendario è cambiato

Il 19 novembre 2025 la Commissione europea ha presentato la proposta Digital Omnibus (COM/2025/836), motivata dal ritardo delle norme tecniche armonizzate elaborate dal CEN-CENELEC JTC21, il primo standard sui sistemi di gestione della qualità ha chiuso la fase di consultazione solo a gennaio 2026, e dalla mancata designazione, in diversi Stati membri, delle autorità nazionali competenti alla vigilanza sul regolamento.

Nuove scadenze dopo l’accordo Parlamento-Consiglio

Dopo l’intesa politica provvisoria raggiunta il 7 maggio 2026 e l’approvazione definitiva del Parlamento europeo il 16 giugno 2026 (423 voti favorevoli, 57 contrari, 174 astenuti), il Consiglio UE ha adottato in via definitiva il regolamento che modifica l’AI Act.

Il testo, in attesa di pubblicazione in Gazzetta ufficiale UE, entrerà in vigore il terzo giorno successivo alla pubblicazione.

Il nuovo quadro temporale prevede:

  • 2 agosto 2026: resta il termine da cui continua ad applicarsi la maggior parte del regolamento, comprese le disposizioni non toccate dalla riforma.
  • 2 dicembre 2026: diventano obbligatori la marcatura leggibile da macchina (watermarking) dei contenuti generati o manipolati dall’IA e due nuovi divieti aggiunti all’articolo 5,  sistemi che generano materiale di abuso sessuale su minori e sistemi “nudifier” che producono immagini, video o audio a contenuto sessuale non consensuale di persone identificabili.
  • 2 dicembre 2027: termine ultimo per gli obblighi sui sistemi ad alto rischio autonomi elencati nell’allegato III (selezione del personale, scoring creditizio, accesso a servizi pubblici, istruzione, infrastrutture critiche, amministrazione della giustizia), salvo anticipo a 6 mesi dalla conferma, da parte della Commissione, della disponibilità di norme armonizzate o linee guida adeguate.
  • 2 agosto 2028: termine ultimo per i sistemi ad alto rischio integrati come componenti di sicurezza in prodotti già regolati da normativa settoriale (dispositivi medici, macchinari, giocattoli), con lo stesso meccanismo di anticipo condizionato a 12 mesi.
  • 2 agosto 2027: rinviata anche l’istituzione degli spazi di sperimentazione normativa (regulatory sandbox), inizialmente prevista prima.

Cosa non è stato rinviato

Il rinvio riguarda esclusivamente gli obblighi sui sistemi ad alto rischio.

Restano invariati e già pienamente vigenti: il divieto delle pratiche a rischio inaccettabile dal 2 febbraio 2025, l’impianto sanzionatorio, gli obblighi per i modelli di IA per finalità generale e l’obbligo di alfabetizzazione all’IA (AI literacy), il cui verbo è stato attenuato da “garantire” a “promuovere” senza però eliminare la responsabilità in capo alle organizzazioni.

Ulteriori semplificazioni introdotte dal Digital Omnibus

Oltre al rinvio delle scadenze, il pacchetto interviene su alcuni profili applicativi:

  • Estensione delle semplificazioni documentali già previste per le PMI anche alle “piccole imprese a media capitalizzazione” (small mid-cap).
  • Chiarimento della nozione di componente di sicurezza e riduzione delle sovrapposizioni con la normativa di prodotto (i sistemi coperti dal regolamento macchine escono dall’applicabilità diretta dell’AI Act).
  • Alleggerimento della registrazione nella banca dati UE per i sistemi non ad alto rischio.
  • Attribuzione all’Ufficio per l’IA della competenza esclusiva sul monitoraggio dei sistemi basati su modelli GPAI dello stesso fornitore e dei sistemi integrati in piattaforme VLOP/VLOSE ai sensi del Digital Services Act, con possibilità di valutazioni di conformità dirette.

Reazioni, tra semplificazione e timori di arretramento

Il 20 gennaio 2026 il parere congiunto EDPB-EDPS 1/2026 ha segnalato che la semplificazione normativa non deve tradursi in un abbassamento delle tutele per le persone.

Una parte degli osservatori legge la riforma come un possibile arretramento sul fronte dei diritti fondamentali, in un contesto segnato dalla pressione competitiva internazionale sullo sviluppo dell’intelligenza artificiale; la Commissione e la maggioranza parlamentare che ha votato il pacchetto sostengono, invece, che l’obiettivo resta la certezza giuridica e la gradualità dell’attuazione, senza modificare l’impianto sostanziale basato sul rischio.

Cosa devono fare imprese e PA

Il rinvio delle scadenze non equivale a una sospensione del lavoro di adeguamento.

Un iter completo di conformità per i sistemi ad alto rischio (sistema di gestione del rischio, data governance ai sensi dell’articolo 10, supervisione umana, documentazione tecnica, valutazione di conformità) richiede mediamente tra 8 e 14 mesi, con organismi notificati che segnalano agende già sature.

Le organizzazioni che utilizzano o sviluppano sistemi di intelligenza artificiale sono quindi chiamate a:

  • Mappare i sistemi di IA in uso o in fase di sviluppo e classificarli per livello di rischio.
  • Verificare da subito la conformità agli obblighi già vigenti (divieti dell’articolo 5, trasparenza dell’articolo 50, AI literacy).
  • Prepararsi per tempo agli obblighi sui sistemi ad alto rischio, senza attendere le nuove scadenze del 2027-2028.
  • Monitorare la pubblicazione in Gazzetta ufficiale UE del testo definitivo del Digital Omnibus, da cui decorreranno i termini di entrata in vigore ufficiali.