L’accordo provvisorio raggiunto tra Parlamento e Consiglio europei sull’AI Act Omnibus sposta diverse scadenze e ridisegna alcuni obblighi. Per le aziende italiane significa più tempo per adeguarsi, ma anche regole più chiare su cosa rientra davvero nei sistemi ad alto rischio.
Il pacchetto fa parte del digital omnibus presentato dalla Commissione a novembre 2025 e mantiene l’impianto basato sul rischio dell’AI Act originale.
Quello che cambia non è la filosofia della norma, ma la sua applicazione operativa: tempistiche, perimetro degli obblighi, semplificazioni per PMI e small mid-cap. Vediamo i punti che impattano concretamente sulle scelte di chi sta integrando l’AI nei processi.
Le nuove scadenze sui sistemi ad alto rischio
Gli obblighi sui sistemi AI ad alto rischio non scattano più il 2 agosto 2026. La nuova data è il 2 dicembre 2027 per i casi d’uso classificati ad alto rischio: biometria, infrastrutture critiche, istruzione, lavoro, law enforcement, gestione delle frontiere.
Per i sistemi AI usati come componenti di sicurezza coperti da legislazione settoriale UE, il termine si sposta al 2 agosto 2028. Anche gli obblighi di watermarking sui contenuti generati dall’AI slittano: applicazione dal 2 dicembre 2026, non più dal febbraio 2027 come nella proposta iniziale.
Cosa significa per chi sta lavorando alla compliance
Il rinvio non è un condono. È una finestra per arrivare alle scadenze con standard tecnici, guidance della Commissione e infrastruttura di supporto effettivamente disponibili. Molte aziende stavano costruendo processi di compliance su documentazione ancora incompleta.
I cambiamenti operativi che incidono sulla pianificazione interna sono diversi e richiedono una rilettura del proprio piano di adeguamento.
Punti chiave del nuovo testo per le aziende:
- Restringimento del concetto di safety component: prodotti con funzioni AI che assistono l’utente o ottimizzano le performance non finiscono automaticamente nell’alto rischio, se un loro malfunzionamento non genera rischi per salute o sicurezza.
- Eliminazione delle sovrapposizioni per i prodotti macchina: si applica solo la normativa settoriale di sicurezza, non doppio binario AI Act più regole settoriali.
- Possibilità di trattare dati personali quando strettamente necessario per individuare e correggere bias, con garanzie adeguate, sia in sistemi ad alto rischio sia non ad alto rischio.
- Estensione delle esenzioni dalle PMI alle small mid-cap enterprises, per sostenere la crescita di realtà che oggi restano fuori dalle deroghe.
- Enforcement centralizzato sui sistemi AI di uso generale presso l’AI Office dell’UE.
Chi aveva impostato la mappatura interna seguendo la prima versione dell’AI Act dovrà rivedere alcune classificazioni. Diversi sistemi che sembravano destinati a obblighi pesanti potrebbero rientrare in un regime più leggero.
Il divieto sui nudifier e sui contenuti CSAM generati dall’AI
Una parte centrale dell’accordo introduce il divieto esplicito di sistemi AI che creano materiale di abuso sessuale su minori o che rappresentano parti intime di persone identificabili senza il loro consenso. Il divieto copre immagini, video e audio.
Le aziende che immettono sul mercato sistemi di questo tipo, o che li mettono a disposizione senza misure di sicurezza ragionevoli per impedirne l’uso, ricadono nel divieto. Anche i deployer che usano questi sistemi per generare tali contenuti sono coinvolti. Il termine per l’allineamento è il 2 dicembre 2026.
Cosa fare adesso, prima delle nuove scadenze
Il rinvio degli obblighi non significa rimandare il lavoro. Significa avere il tempo per farlo bene. La prima cosa da rivedere è la mappatura dei sistemi AI in uso o in sviluppo: classificazione del rischio, ruolo aziendale (provider o deployer), perimetro dei dati trattati.
Nel mio lavoro come AI Manager Esterno parto sempre dall’AI Assessment: capire dove l’AI è già presente, come viene usata, quali rischi normativi e operativi genera. Poi si costruisce un piano di adeguamento realistico, allineato alle nuove tempistiche e alle dimensioni dell’azienda.
Domande frequenti
Quando entrano effettivamente in vigore gli obblighi sui sistemi ad alto rischio?
Con l’accordo provvisorio dell’AI Act Omnibus, gli obblighi si applicano dal 2 dicembre 2027 per i sistemi AI con casi d’uso ad alto rischio (biometria, infrastrutture critiche, istruzione, lavoro, law enforcement, frontiere). Per i sistemi usati come componenti di sicurezza in ambiti coperti da normativa settoriale UE, il termine è il 2 agosto 2028. L’accordo deve ancora essere adottato formalmente da Parlamento e Consiglio.
La mia azienda è una PMI: quali semplificazioni mi riguardano?
L’Omnibus estende alle small mid-cap enterprises alcune esenzioni finora riservate alle PMI. In pratica, anche aziende di dimensioni intermedie possono accedere a regimi documentali alleggeriti su determinati obblighi. Resta da verificare la definizione esatta nella versione finale del testo, ma la direzione è quella di ridurre il carico di compliance per le realtà che non sono grandi provider.
Cosa significa il restringimento del concetto di safety component?
Significa che un prodotto con funzioni AI non finisce automaticamente tra i sistemi ad alto rischio solo perché contiene componenti AI. Se le funzioni AI assistono l’utente o ottimizzano performance, e un loro malfunzionamento non crea rischi per salute o sicurezza, gli obblighi pesanti dell’AI Act non si applicano. È una distinzione che incide molto sulla classificazione di prodotti industriali e software gestionali.
Devo aspettare l’adozione formale per iniziare ad adeguarmi?
No. L’accordo provvisorio indica con chiarezza la direzione del testo finale e le scadenze sono già pubbliche. Iniziare adesso la mappatura dei sistemi, la classificazione del rischio e la revisione dei contratti con fornitori AI permette di arrivare alle scadenze con margine. Aspettare l’adozione formale, prevista entro il 2 agosto 2026, riduce solo il tempo utile per implementare i processi.
Quanto costa avviare un percorso di compliance all’AI Act?
Dipende dal numero di sistemi AI in uso, dal loro livello di rischio e dalla maturità dei processi interni esistenti. Un’AI Assessment iniziale richiede poche settimane e produce una mappatura chiara degli obblighi applicabili. Da lì si costruisce un piano modulare: classificazione, documentazione tecnica, gestione dei rischi, formazione interna. I costi crescono in proporzione alla complessità, non in modo lineare.
Parliamone prima delle scadenze
Se in azienda state usando o sviluppando sistemi AI, l’Omnibus cambia diverse cose nel vostro piano di adeguamento. Alcuni obblighi si alleggeriscono, altre classificazioni vanno riviste, le tempistiche danno respiro ma non eliminano il lavoro da fare.
Lavoro con imprenditori, direttori operativi e responsabili HR che vogliono capire concretamente cosa fare, senza farsi spaventare dalla norma né sottovalutarla. Il primo confronto serve a capire se ha senso approfondire insieme.
Se vuoi un parere sul tuo caso specifico, scrivimi dalla pagina contatti e organizziamo una chiamata.