Agevolazioni e Iniziative
Partnership
Stay Connected

Learn Anything Anywhere

Omnibus digitale IA: cosa cambia nell’AI Act 2026
Lavoro futuristico con assistente AI

Omnibus digitale IA: cosa cambia nell’AI Act 2026

Omnibus digitale IA: cosa cambia nell’AI Act 2026

L’Omnibus digitale sull’IA è il regolamento europeo che riscrive parti dell’AI Act per renderlo più semplice da applicare, spostando in avanti alcune scadenze e alleggerendo gli obblighi per le imprese, senza però toccarne l’impianto di fondo. Non è una nuova legge sull’intelligenza artificiale: è un intervento di manutenzione su una legge che c’è già, il Regolamento (UE) 2024/1689, e che negli ultimi mesi aveva iniziato a mostrare le prime crepe applicative. Chi lavora con sistemi di IA, li sviluppa, li rivende o semplicemente li usa in azienda ha bisogno di capire una cosa sola, prima di ogni tecnicismo: cambiano le date, non le regole del gioco.

In questa guida ricostruisco per intero cosa prevede l’Omnibus, perché è nato, cosa modifica concretamente e quali conseguenze pratiche ha per chi opera in Europa. Il testo è pensato per chi parte da zero, ma i riferimenti normativi sono puntuali, così puoi usarlo anche come base per una prima verifica interna.

 

Tabella Contenuti

Che cos’è l’Omnibus digitale sull’IA

Partiamo dalla definizione più asciutta possibile. L’Omnibus digitale sull’IA (in inglese Digital Omnibus on AI) è una proposta legislativa presentata dalla Commissione europea il 19 novembre 2025 con la sigla ufficiale COM(2025) 836. Il suo scopo dichiarato è semplificare l’attuazione delle regole armonizzate sull’intelligenza artificiale già in vigore nell’Unione. In pratica, modifica tre regolamenti esistenti per eliminare sovrapposizioni, chiarire punti ambigui e concedere più tempo dove gli strumenti tecnici per rispettare la legge non erano ancora pronti.

Il nome “omnibus” non è un vezzo. Nel linguaggio delle istituzioni europee un atto omnibus è un provvedimento che interviene in un colpo solo su più norme diverse, di solito per razionalizzarle. Questo specifico omnibus fa parte di un pacchetto più ampio, il cosiddetto Omnibus VII o Digital Package, che tocca anche la protezione dei dati personali, la cybersicurezza, la condivisione dei dati e l’identità digitale. La parte dedicata all’IA viaggia però su un binario proprio, perché ha un’urgenza tutta sua: alcune scadenze dell’AI Act stavano per scattare.

 

Perché l’Europa ha deciso di intervenire

Qui serve un po’ di contesto, altrimenti l’operazione sembra un ripensamento improvviso. Non lo è. Da mesi la discussione pubblica europea ruota attorno a un tema: la competitività. Due rapporti hanno pesato più di altri, quello di Enrico Letta sul mercato unico e quello di Mario Draghi sul futuro della competitività europea. Entrambi, con toni diversi, arrivano a una conclusione simile: negli ultimi anni l’Unione ha prodotto una quantità enorme di regole digitali — dall’AI Act al Data Act, dal GDPR alla direttiva ePrivacy, passando per NIS2, DORA ed eIDAS — e questa stratificazione, per quanto ben intenzionata, rischia di soffocare le imprese sotto adempimenti che si sovrappongono e a volte si contraddicono.

Nel caso dell’AI Act il problema era ancora più concreto. Il regolamento era entrato in vigore il 1° agosto 2024 con un calendario di applicazione scaglionato negli anni. Ma ancora prima che gli obblighi più pesanti diventassero esigibili, ci si è accorti che mancavano i pezzi per rispettarli: gli standard armonizzati non erano pronti, le linee guida operative arrivavano a rilento e in molti Stati membri le autorità nazionali competenti non erano ancora state designate del tutto. Chiedere alle aziende di essere conformi a una regola senza fornire loro il metro con cui misurarsi era, di fatto, una trappola. L’Omnibus nasce per uscire da quella trappola.

 

I tre regolamenti che l’Omnibus modifica

L’atto interviene formalmente su tre regolamenti, e vale la pena elencarli con precisione perché non sono intercambiabili.

Il primo, il più importante, è il Regolamento (UE) 2024/1689, cioè l’AI Act vero e proprio, il primo quadro normativo organico al mondo dedicato all’intelligenza artificiale. Il secondo è il Regolamento (UE) 2018/1139, che disciplina la sicurezza dell’aviazione civile e istituisce l’Agenzia dell’Unione europea per la sicurezza aerea (EASA). Il terzo è il Regolamento (UE) 2023/1230, il cosiddetto Regolamento Macchine, che stabilisce i requisiti di sicurezza per i macchinari immessi sul mercato europeo. Il perché di questi due ultimi innesti diventerà chiaro più avanti: hanno a che fare con i sistemi di IA che vivono dentro altri prodotti, come un braccio robotico o l’avionica di un aeromobile. Il testo integrale dell’AI Act e delle sue modifiche resta consultabile sul portale ufficiale EUR-Lex, il registro giuridico dell’Unione europea.

 

Un ripasso veloce: come funziona l’AI Act

Non si capisce l’Omnibus senza avere in testa come è costruito l’AI Act. Se già lo conosci, salta pure al paragrafo successivo. Se invece è la prima volta che ci metti mano, questi due minuti ti risparmiano molta confusione.

L’AI Act si regge su un’idea semplice e, a mio parere, azzeccata: non tutti i sistemi di intelligenza artificiale sono uguali, quindi non devono essere regolati allo stesso modo. Un filtro antispam e un algoritmo che decide chi ottiene un mutuo non giocano nello stesso campionato. Da qui l’approccio basato sul rischio (risk-based approach), che classifica i sistemi in base al danno potenziale che possono causare a persone, diritti e sicurezza. Più alto è il rischio, più stringenti sono gli obblighi.

 

Le quattro categorie di rischio

Le fasce sono quattro. In cima ci sono le pratiche a rischio inaccettabile, semplicemente vietate: pensiamo al social scoring di tipo statale o alla manipolazione delle vulnerabilità delle persone. Poi vengono i sistemi ad alto rischio, il cuore pulsante del regolamento: sono quelli usati in ambiti dove un errore fa male sul serio — selezione del personale, credito, istruzione, sanità, infrastrutture critiche, applicazioni di polizia, gestione della migrazione. Per questi la legge impone documentazione tecnica, valutazione del rischio, sorveglianza umana, registrazione in una banca dati europea e obblighi di trasparenza.

Sotto ci sono i sistemi a rischio limitato, per cui contano soprattutto gli obblighi informativi: se parli con un chatbot devi sapere che è una macchina, se guardi un contenuto generato artificialmente devi poterlo riconoscere. Infine il rischio minimo, la fascia più affollata, che comprende la stragrande maggioranza delle applicazioni quotidiane — dai videogiochi ai filtri di posta — per cui il legislatore non ha ritenuto necessario imporre nulla di specifico.

 

Il calendario originario e il suo punto debole

L’AI Act non è mai entrato in vigore tutto insieme. Ha un’applicazione a tappe. I divieti sulle pratiche inaccettabili e le regole sull’alfabetizzazione in materia di IA sono operativi dal 2 febbraio 2025. Gli obblighi per i modelli di IA per finalità generali (i grandi modelli generativi) dal 2 agosto 2025. E poi c’era la data che ha fatto scattare tutto: il 2 agosto 2026, giorno in cui sarebbero dovuti diventare esigibili gli obblighi per i sistemi ad alto rischio elencati nell’Allegato III. Quella data, senza standard tecnici pronti, era diventata un problema politico oltre che pratico. L’Omnibus è la risposta a quel problema.

 

La modifica principale: le nuove scadenze per l’alto rischio

Se dovessi riassumere l’Omnibus in una riga, direi questo: sposta in avanti l’appuntamento più difficile, quello con i sistemi di IA ad alto rischio, per dare a tutti — imprese e autorità — il tempo di arrivarci preparati. È qui che si concentra il grosso dell’attenzione, ed è la parte che ha impatto immediato sulla pianificazione aziendale.

 

Sistemi standalone: si slitta al 2 dicembre 2027

I sistemi ad alto rischio “autonomi” o standalone sono quelli dell’Allegato III: funzionano da soli, non incorporati in un altro prodotto. Sono gli algoritmi che valutano l’affidabilità creditizia, selezionano i curriculum, gestiscono l’ammissione a un percorso formativo, supportano decisioni delle forze dell’ordine. Per questi la scadenza si sposta dal 2 agosto 2026 al 2 dicembre 2027, attraverso la modifica del terzo comma dell’articolo 113 dell’AI Act. Sedici mesi di respiro, in sostanza, per allineare i sistemi a requisiti che finora esistevano più sulla carta che negli strumenti pratici.

 

Sistemi integrati nei prodotti: fino al 2 agosto 2028

Discorso diverso, e scadenza ancora più lontana, per i sistemi ad alto rischio che vivono dentro un prodotto già regolato da normativa settoriale europea: un dispositivo medico, un giocattolo, un ascensore, un veicolo, un macchinario. Qui l’IA è un componente di sicurezza di qualcos’altro, e la valutazione di conformità richiede il coordinamento con regole di prodotto che hanno già una loro complessità. Per questi sistemi, elencati nell’Allegato I, il termine è fissato al 2 agosto 2028.

Il legame con gli standard armonizzati

Vale la pena capire la logica, non solo le date. La proposta iniziale della Commissione non fissava date rigide: legava l’entrata in vigore degli obblighi alla disponibilità effettiva degli strumenti di conformità (norme armonizzate, specifiche comuni, orientamenti). In pratica, gli obblighi sarebbero scattati solo dopo che la Commissione avesse dichiarato ufficialmente che il “kit di sopravvivenza” per le imprese era pronto. Il Parlamento europeo ha preferito la certezza del diritto e ha spinto per date fisse, quelle che ho appena citato, come tetto massimo. Il compromesso finale tiene insieme le due esigenze: se gli strumenti arrivano prima, gli obblighi possono scattare prima; se non arrivano, valgono comunque le scadenze del 2027 e del 2028. È un equilibrio ragionevole, anche se — lo vedremo — non tutti lo giudicano così.

 

Il nodo dei macchinari: il Regolamento (UE) 2023/1230 esce di scena

Questo è il passaggio più tecnico dell’intero Omnibus, ed è anche quello che ha fatto salire la temperatura politica dei negoziati. Provo a renderlo comprensibile senza banalizzarlo.

 

Dalla Sezione A alla Sezione B dell’Allegato I

L’Allegato I dell’AI Act contiene l’elenco della legislazione europea di prodotto con cui l’IA “ad alto rischio integrata” deve fare i conti. È diviso in due sezioni. La Sezione A raggruppa le normative che, se in gioco, fanno scattare direttamente gli obblighi dell’AI Act. La Sezione B raggruppa quelle che restano governate dalle proprie regole settoriali. L’Omnibus sposta il Regolamento Macchine dalla Sezione A alla Sezione B.

Cosa comporta, in concreto? Che i sistemi di IA integrati nei macchinari escono dall’applicazione diretta dell’AI Act. Non finiscono in un vuoto normativo, attenzione: continueranno a essere regolati dal Regolamento Macchine. La Commissione dovrà adottare atti di diritto derivato che, all’interno di quel regolamento, introducano requisiti di salute e sicurezza per i sistemi di IA classificabili come ad alto rischio, allineati a quelli dell’AI Act. In altre parole, la protezione resta equivalente, ma passa da un unico canale settoriale invece di sovrapporne due. Chi produce un macchinario intelligente dovrà guardare a una legge sola, non a due che dicono cose simili con parole diverse. Il testo del Regolamento Macchine è disponibile su EUR-Lex.

Sul piano politico questa deroga è stata tutt’altro che indolore. Il settore industriale la chiedeva da tempo, e l’intervento diretto di alcuni leader di governo europei è stato decisivo per plasmare il compromesso finale sull’Allegato I. Che una questione così tecnica sia finita sul tavolo dei capi di Stato dice molto su quanto pesi, per l’industria europea, il modo in cui l’IA verrà regolata dentro le macchine.

 

La definizione più chiara di “componente di sicurezza”

Collegata a questo nodo c’è una modifica alla definizione di componente di sicurezza, contenuta nell’articolo 3, punto 14), dell’AI Act. La versione originaria era abbastanza vaga da rischiare di trascinare nel perimetro “alto rischio” anche funzioni di IA piuttosto innocue. L’Omnibus chiarisce che un sistema svolge una funzione di sicurezza solo quando il suo scopo, così come definito dal fornitore, è prevenire o mitigare rischi per la salute e la sicurezza delle persone. Le funzioni che si limitano ad assistere l’utente, a ottimizzare le prestazioni o a migliorare l’efficienza non ricadono automaticamente tra i sistemi ad alto rischio, a patto che un loro guasto non generi rischi concreti. È una precisazione che sembra minima ma che, nella pratica di chi deve classificare il proprio prodotto, fa una differenza enorme.

 

Il settore aviazione e la competenza dell’EASA

Il terzo regolamento toccato, il (UE) 2018/1139 sulla sicurezza dell’aviazione civile, segue una logica gemella a quella dei macchinari. I sistemi di IA integrati nei prodotti aeronautici — l’avionica, i sistemi di bordo, gli strumenti di supporto al volo — restano sotto la disciplina settoriale dell’aviazione, gestita dall’EASA, e non ricadono sotto l’AI Act generale.

Anche qui la ratio è evitare doppioni. Il comparto aeronautico ha standard di sicurezza tra i più severi e consolidati al mondo, con un’agenzia dedicata che certifica ogni componente prima che voli. Sovrapporre a quel sistema un secondo binario di conformità avrebbe generato conflitti di competenza senza aggiungere sicurezza reale. L’Omnibus preferisce un unico framework certificativo, quello dell’EASA, e chiude la questione. La modifica passa per l’articolo 108 dell’AI Act, che aggiorna il Regolamento (UE) 2018/1139 tenendo conto delle specificità tecniche e normative dell’aviazione civile senza interferire con i meccanismi di governance già in vigore. Il regolamento di riferimento per l’aviazione civile è anch’esso consultabile su EUR-Lex.

 

Trasparenza e contenuti sintetici: watermarking e deepfake

Qui l’Omnibus tocca un tema che riguarda chiunque produca contenuti con l’IA, dalle agenzie di comunicazione ai singoli creator. Parliamo dell’articolo 50, paragrafo 2, dell’AI Act, quello sulla trasparenza dei contenuti sintetici.

Il principio non cambia: i contenuti generati o manipolati dall’intelligenza artificiale — immagini, video, audio, testi su temi di interesse pubblico — devono essere riconoscibili come tali, anche attraverso una marcatura leggibile dalle macchine, il cosiddetto watermarking digitale. Ciò che cambia è il tempo concesso per adeguarsi.

 

La nuova scadenza del 2 dicembre 2026

Per i fornitori di sistemi generativi che avevano già immesso i loro prodotti sul mercato prima del 2 agosto 2026, l’Omnibus fissa il termine di adeguamento agli obblighi di marcatura al 2 dicembre 2026. È utile notare un dettaglio che spesso sfugge: durante i negoziati il periodo di grazia concesso a questi fornitori è stato ridotto da sei a tre mesi. Non è quindi un rinvio generalizzato — su questo punto, anzi, il legislatore ha stretto i tempi rispetto alla proposta iniziale, segno di quanto il tema dei deepfake sia diventato politicamente sensibile.

A corredo, il 10 giugno 2026 la Commissione ha pubblicato un Codice di buone pratiche sulla marcatura e l’etichettatura dei contenuti generati dall’IA. È uno strumento volontario, quindi non impone nulla di per sé, ma serve da bussola operativa per fornitori e utilizzatori su come applicare concretamente gli obblighi di trasparenza, inclusi quelli su deepfake, testi generati e interazioni con chatbot. Per chi produce contenuti a scala industriale, iniziare a leggerlo ora è tempo ben speso. Gli aggiornamenti ufficiali sull’attuazione dell’AI Act sono raccolti dalla Commissione europea nel portale dedicato alla strategia digitale.

 

 

I nuovi divieti: nudificazione e materiale pedopornografico sintetico

Se in molti punti l’Omnibus alleggerisce, qui fa l’opposto: aggiunge divieti che prima non c’erano. E lo fa su un terreno che non ammette compromessi. Il testo introduce un divieto esplicito, inserito nell’articolo 5 dell’AI Act con i nuovi paragrafi 1 bis e 1 ter (e le lettere b bis e b ter del primo comma), per le applicazioni di nudificazione — i software che generano immagini di nudo di persone reali a partire da fotografie esistenti, senza consenso — e per i sistemi che producono materiale di abuso sessuale su minori.

Il divieto colpisce sia chi sviluppa questi sistemi sia chi li utilizza a tale scopo. La data di applicazione è il 2 dicembre 2026, la stessa degli obblighi di trasparenza sui contenuti sintetici. La scelta di irrigidire proprio mentre si semplifica altrove non è contraddittoria: racconta una precisa strategia europea, alleggerire l’onere burocratico per le imprese oneste e, allo stesso tempo, alzare il muro contro gli usi più tossici dell’IA generativa. Su questo fronte, francamente, era difficile aspettarsi diversamente.

 

 

Alfabetizzazione, bias e trattamento dei dati

Un blocco di modifiche riguarda le persone e i dati, ed è meno appariscente ma sostanziale.

 

 

AI literacy: un obbligo meno rigido

L’articolo 4 dell’AI Act impone a fornitori e utilizzatori di garantire un livello adeguato di alfabetizzazione in materia di IA (AI literacy) del proprio personale. L’esperienza dei primi mesi ha mostrato che un obbligo identico per tutti — dalla multinazionale alla microimpresa — non funzionava: troppo pesante per i piccoli, poco calibrato sulle reali esigenze. L’Omnibus rende l’approccio più flessibile, spostando l’accento dall’obbligo formale uniforme all’incoraggiamento di una formazione proporzionata. Restano invece fermi, e giustamente, gli obblighi formativi specifici per chi utilizza sistemi ad alto rischio, dove la competenza degli operatori è un presidio di sicurezza irrinunciabile.

Qui aggiungo un’osservazione da chi si occupa di certificazione delle competenze: ridurre l’obbligo formale non riduce l’importanza sostanziale della formazione. Un’organizzazione che vede l’AI literacy solo come una casella da spuntare sta guardando il problema dalla parte sbagliata. La competenza sull’IA è diventata un fattore competitivo, non un adempimento, e le imprese più avvedute la stanno trattando come tale a prescindere da cosa imponga la legge.

 

 

Rilevare e correggere i bias

L’altra modifica delicata è l’introduzione di una base giuridica — il nuovo articolo 4 bis — per trattare categorie particolari di dati personali (dati sensibili) quando servono a individuare e correggere le distorsioni, i cosiddetti bias, nei sistemi di IA. La novità è che questa possibilità viene estesa anche a sistemi diversi da quelli ad alto rischio. La ragione è tecnica ma importante: un bias può essere “ereditato” da un modello all’altro durante l’addestramento, e correggerlo solo nei sistemi ad alto rischio significa lasciare aperta la porta a monte. Il legislatore ha però circondato questa facoltà di paletti stringenti — stretta necessità e salvaguardie adeguate per i diritti degli interessati — proprio perché maneggiare dati sensibili è sempre una materia esplosiva.

 

 

Le semplificazioni per le imprese

Oltre alle scadenze, l’Omnibus contiene un pacchetto di alleggerimenti pensati soprattutto per chi non ha un ufficio legale dedicato. Sono meno noti ma per molte aziende contano quanto le date.

Il primo riguarda la platea dei beneficiari. Le agevolazioni finora riservate alle PMI — su documentazione tecnica e sistema di gestione della qualità — vengono estese anche alle small mid-cap (SMC), le imprese a media capitalizzazione che superano la soglia delle PMI ma affrontano difficoltà simili. È un modo per non punire la crescita: un’azienda che si ingrandisce non deve trovarsi di colpo travolta da adempimenti pensati per i colossi.

C’è poi la semplificazione della compliance documentale. La valutazione d’impatto sui diritti fondamentali (FRIA, articolo 27) potrà essere assorbita all’interno della valutazione d’impatto sulla protezione dei dati (DPIA) che molte organizzazioni già producono ai sensi dell’articolo 35 del GDPR, evitando un doppio lavoro; la Commissione sta preparando un template e uno strumento automatizzato per facilitarla. Anche la registrazione dei sistemi ad alto rischio nella banca dati europea (articolo 49 e allegato VIII) viene resa più snella, con la soppressione di alcune informazioni finora richieste. Va però segnalato un contrappeso: il testo conferma l’obbligo di registrazione anche per i fornitori che ritengono il proprio sistema esentato dalla classificazione ad alto rischio ai sensi dell’articolo 6, paragrafo 3, rafforzando la tracciabilità complessiva. Semplificazione, quindi, ma non a scapito della visibilità sul mercato.

Sul fronte dell’innovazione, l’Omnibus incarica l’ufficio per l’IA di istituire uno spazio di sperimentazione normativa (sandbox) a livello dell’Unione per i sistemi disciplinati dall’articolo 75, paragrafo 1, e conferma quelli nazionali, la cui operatività è fissata al 2 agosto 2027. Le sandbox sono ambienti protetti in cui testare sistemi di IA sotto la supervisione delle autorità, e sono uno degli strumenti più utili per le startup che vogliono innovare senza rischiare sanzioni durante la fase sperimentale.

 

 

La governance rafforzata: il ruolo dell’AI Office

Un capitolo a parte merita l’AI Office, l’ufficio della Commissione dedicato all’attuazione dell’AI Act e alla supervisione dei modelli per finalità generali. L’Omnibus ne ridisegna i poteri, chiarendo dove finisce la competenza nazionale e dove inizia quella europea.

In sintesi, l’AI Office ottiene competenza esclusiva sui sistemi basati su modelli di IA generici quando il modello e il sistema sono sviluppati dallo stesso fornitore, e sui sistemi integrati nelle piattaforme e nei motori di ricerca di dimensioni molto grandi (i VLOP e VLOSE già designati sotto il Digital Services Act). Questi poteri, articolati nell’articolo 75 e nelle disposizioni collegate, gli consentono anche di effettuare direttamente valutazioni di conformità prima dell’immissione sul mercato per i sistemi più complessi. Restano invece alle autorità nazionali competenze specifiche in ambiti particolarmente delicati — forze dell’ordine, gestione delle frontiere, autorità giudiziarie, istituti finanziari. L’obiettivo dichiarato è ridurre la frammentazione tra i ventisette Stati membri e offrire alle imprese un interlocutore più chiaro. Sulla carta è un passo verso la coerenza; nella pratica dipenderà da quante risorse l’AI Office riuscirà davvero a mettere in campo.

L’Omnibus aggiunge infine un obbligo in capo alla Commissione: fornire orientamenti operativi per aiutare gli operatori dei sistemi ad alto rischio già soggetti alla normativa settoriale a rispettare i requisiti dell’AI Act, riducendo al minimo l’onere di conformità. È il tipo di supporto che, se arriverà davvero e in tempo, potrebbe fare la differenza tra una legge applicabile e una legge subita.

 

 

Monitoraggio post-vendita e test in condizioni reali

Ci sono poi due modifiche più tecniche che meritano una menzione, perché toccano il modo in cui i sistemi vengono seguiti dopo l’immissione sul mercato e testati prima. La prima riguarda il monitoraggio post-commercializzazione dei sistemi ad alto rischio. Nella versione originaria dell’AI Act la Commissione avrebbe dovuto emanare un atto di esecuzione vincolante, con un modello obbligatorio e regole dettagliate su come strutturare il piano di sorveglianza dopo la vendita. L’Omnibus alleggerisce questo approccio, lasciando agli operatori più margine nel definire come monitorare i propri sistemi, senza però eliminare il principio: chi mette sul mercato un sistema ad alto rischio resta responsabile di tenerlo d’occhio nel tempo.

La seconda riguarda i test nel mondo reale (real-world testing), gli esperimenti condotti fuori dai laboratori, in condizioni operative effettive. L’Omnibus estende questa possibilità anche ai sistemi che rientrano nelle normative di prodotto dell’Allegato I — dalle macchine ai giocattoli, dagli ascensori ai dispositivi di protezione individuale. È una boccata d’ossigeno per chi sviluppa IA industriale e ha bisogno di validare i propri sistemi in scenari reali prima di portarli sul mercato, un passaggio che con le sole prove di laboratorio spesso non si riesce a coprire.

 

 

Cosa non cambia con l’Omnibus

A questo punto vale la pena fissare, per sottrazione, ciò che l’Omnibus lascia intatto — perché è qui che si annidano i malintesi più frequenti. Non cambia l’approccio basato sul rischio: le quattro categorie e la logica di proporzionalità restano il cuore del sistema. Non cambiano i divieti già in vigore dal 2 febbraio 2025 sulle pratiche a rischio inaccettabile. Non cambiano gli obblighi per i modelli di IA per finalità generali, operativi dal 2 agosto 2025. E non cambia il fatto che la maggior parte delle disposizioni dell’AI Act inizi comunque ad applicarsi dal 2 agosto 2026: l’Omnibus interviene su scadenze specifiche, non sull’intero calendario.

Soprattutto, non cambia la sostanza degli obblighi per i sistemi ad alto rischio. Valutazione preliminare, documentazione tecnica, registrazione, sorveglianza umana, trasparenza: tutto questo resta, con poteri di vigilanza e sanzioni potenzialmente pesanti alle spalle. Il rinvio delle scadenze non è uno sconto sui contenuti, è una dilazione sui tempi. Chi legge l’Omnibus come un ridimensionamento dell’AI Act sta leggendo male: le pretese di fondo dell’Europa sull’affidabilità dell’IA sono esattamente dov’erano.

 

 

A che punto è l’iter e quando entra in vigore

Ricostruiamo la cronologia, perché sapere a che punto siamo è decisivo per non pianificare sulla base di un testo che potrebbe ancora cambiare. La proposta della Commissione è del 19 novembre 2025. Il Consiglio dell’Unione europea ha concordato la propria posizione il 13 marzo 2026, il Parlamento europeo ha adottato la sua il 26 marzo 2026 con un voto largo (569 favorevoli). L’accordo politico in trilogo tra le istituzioni è arrivato il 7 maggio 2026. Le commissioni parlamentari competenti hanno confermato il compromesso il 2 giugno, e il 16 giugno 2026 la plenaria del Parlamento europeo ha approvato il testo con 423 voti favorevoli, 57 contrari e 174 astensioni — una maggioranza ampia ma meno compatta rispetto a marzo, segnale che il compromesso ha lasciato qualche malumore. Il resoconto ufficiale del voto è disponibile sul sito del Parlamento europeo.

L’ultimo tassello formale, l’adozione da parte del Consiglio, si è chiuso pochi giorni fa. Il testo consolidato, identificato dal codice PE-CONS 30/26 nell’ambito della procedura legislativa 2025/0359(COD), è ora nella fase finale: manca solo la firma dei presidenti delle due istituzioni e la pubblicazione nella Gazzetta ufficiale dell’Unione europea, dove comparirà come Regolamento (UE) 2026/… con il numero definitivo. Il regolamento entrerà in vigore il terzo giorno successivo a quella pubblicazione. La corsa contro il tempo aveva una ragione precisa — arrivare prima del 2 agosto 2026, la data in cui sarebbero altrimenti scattati gli obblighi vecchi sull’alto rischio. Fino alla pubblicazione, sul piano strettamente giuridico continua ad applicarsi l’AI Act nella versione del 2024: chi pianifica sulle nuove scadenze lo fa sulla base di un testo ormai definito, ma è bene esserne consapevoli.

 

 

Cosa devono fare adesso imprese e organizzazioni

Ecco la parte che interessa di più, e su cui voglio essere netto: il rinvio delle scadenze non è una pausa, è una finestra. Chi la interpreta come “abbiamo tempo, ci pensiamo dopo” sta commettendo l’errore più comune e più costoso. Le grandi organizzazioni lo hanno già capito e stanno usando questi mesi per fare il lavoro ordinato che prima non era possibile fare di corsa.

Il primo passo è la mappatura. Serve un inventario onesto di tutti i sistemi di IA in uso o in sviluppo: non solo i chatbot e gli assistenti di scrittura, ma anche gli scoring automatici, i sistemi di matching, le dashboard predittive che spesso girano in azienda senza che nessuno li chiami “IA”. Solo dopo aver messo in fila cosa si usa si può passare alla classificazione del rischio, verificando quali sistemi ricadono nelle categorie regolate e con quali obblighi.

Il secondo è la governance interna. La compliance in materia di IA non può essere “di tutti e di nessuno”. Anche in una struttura piccola serve qualcuno che segua il dossier, coordinandosi con l’IT, il legale, le risorse umane e la direzione. La conformità all’AI Act, come già accaduto col GDPR, non è un problema del solo ufficio legale: attraversa procurement, marketing, sicurezza informatica e vertici aziendali.

Il terzo, spesso sottovalutato, sono le competenze. Con l’obbligo di AI literacy che resta pienamente in vigore per chi usa sistemi ad alto rischio, e con il mercato che premia sempre di più chi sa maneggiare questi strumenti con cognizione, investire nella formazione del personale non è più rinviabile. Non a caso, in parallelo all’iter europeo, in Italia sono stati definiti standard tecnici che descrivono i profili professionali che operano nel settore dell’IA, offrendo un riferimento condiviso per valutare e certificare le competenze. Le organizzazioni che si muovono ora, mentre la finestra è aperta, arriveranno alle scadenze del 2027 e del 2028 con un vantaggio competitivo, non con l’affanno di chi rincorre.

 

 

Semplificazione o passo indietro? Il dibattito aperto

Sarei disonesto se chiudessi presentando l’Omnibus come un’operazione priva di controindicazioni. Non lo è, e il dibattito è tutt’altro che sopito.

Diverse organizzazioni della società civile e per la tutela dei diritti digitali hanno criticato l’impianto della semplificazione. La preoccupazione di fondo è che alleggerire, spostare scadenze e ritagliare deroghe possa, alla lunga, tradursi in un indebolimento delle garanzie a tutela dei diritti fondamentali. Anche il Comitato europeo per la protezione dei dati e il Garante europeo, nel loro parere congiunto, hanno espresso rilievi su alcuni profili della proposta, in particolare sul trattamento dei dati sensibili. I loro documenti sono consultabili sul sito dell’EDPB. Un timore ricorrente, sollevato quando la Commissione aveva proposto di legare l’entrata in vigore alla disponibilità degli standard, era che affidare le date alla velocità degli organismi di standardizzazione equivalesse a un rinvio a tempo indeterminato — motivo per cui il Parlamento ha insistito sulle date fisse come rete di sicurezza.

La mia lettura, da chi osserva questo settore da vicino, è più sfumata. L’Omnibus non tocca l’architettura sostanziale dell’AI Act né la logica di proporzionalità basata sul rischio: i requisiti di fondo — valutazione ex ante, documentazione tecnica, sorveglianza umana, trasparenza — restano quelli. Cambiano i termini, non le regole. Il rischio vero non è nel testo, ma nell’attuazione: la tenuta del sistema dipenderà dalla capacità delle autorità di dotarsi in tempi rapidi di competenze, strutture e standard. L’esperienza del GDPR insegna che una legge severa sulla carta non garantisce di per sé un’applicazione uniforme e capillare. Se questo tempo guadagnato verrà usato per costruire quegli strumenti, l’Omnibus sarà stato una scelta saggia. Se servirà solo a rimandare, allora i critici avranno avuto ragione. Lo sapremo tra il 2027 e il 2028.

 

 

Domande frequenti

 

L’Omnibus digitale sull’IA cancella l’AI Act?

No. L’Omnibus modifica alcune parti del Regolamento (UE) 2024/1689 ma ne conserva intatto l’impianto: l’approccio basato sul rischio, le quattro categorie e i requisiti sostanziali restano in vigore. Interviene su scadenze specifiche e su alcune sovrapposizioni normative, non sull’intero calendario del regolamento.

 

Quando entrano in vigore i nuovi obblighi per i sistemi ad alto rischio?

Gli obblighi per i sistemi ad alto rischio autonomi (Allegato III) si applicano dal 2 dicembre 2027, mentre quelli per i sistemi integrati come componenti di sicurezza in prodotti regolati (Allegato I) dal 2 agosto 2028. Se la Commissione confermerà prima la disponibilità degli standard, le date potranno essere anticipate.

 

Le imprese devono ancora etichettare i contenuti generati dall’IA?

Sì. L’obbligo di trasparenza sui contenuti sintetici resta, con marcatura leggibile dalle macchine. I fornitori di sistemi già sul mercato prima del 2 agosto 2026 devono adeguarsi entro il 2 dicembre 2026. Il periodo di grazia è stato ridotto da sei a tre mesi.

 

Cosa cambia per i macchinari e i prodotti industriali con IA?

Il Regolamento Macchine (UE) 2023/1230 esce dall’applicazione diretta dell’AI Act e viene spostato nella Sezione B dell’Allegato I. I sistemi di IA integrati nei macchinari resteranno regolati dal Regolamento Macchine, che la Commissione integrerà con requisiti di sicurezza equivalenti tramite atti di diritto derivato.

 

Quali nuovi divieti introduce l’Omnibus?

L’Omnibus introduce, dal 2 dicembre 2026, il divieto esplicito delle applicazioni di nudificazione — che generano immagini di nudo di persone reali senza consenso — e dei sistemi che producono materiale di abuso sessuale su minori. Il divieto vale sia per chi sviluppa questi sistemi sia per chi li utilizza.

 

Dove leggere il testo ufficiale

Chi vuole andare oltre la sintesi e consultare la fonte diretta trova tutto nel testo consolidato del regolamento, quello concordato dalle istituzioni e pronto per la pubblicazione in Gazzetta ufficiale. È il documento di riferimento per verificare articolo per articolo le modifiche descritte qui sopra, dalle nuove date dell’articolo 113 ai divieti dell’articolo 5.

 

Scarica il testo ufficiale del regolamento (PDF)

Per il testo vigente dell’AI Act e dei regolamenti collegati, il riferimento resta sempre il portale EUR-Lex dell’Unione europea.

Loading

Lascia un commento

Required fields are marked *