AI Act Digital Omnibus 2026: Le Nuove Scadenze e Perché il Rinvio È una Trappola
Il 7 maggio 2026 l'UE ha spostato le scadenze AI Act al 2027-2028. Ma i divieti dell'Art. 5 sono già in vigore. Cosa cambia davvero per aziende e startup italiane.
Ordine degli Avvocati di Sciacca n. 747 · Avvocato & Sviluppatore · IT Law
Ultimo aggiornamento: 11 Maggio 2026
Il 7 maggio 2026, alle 4:30 del mattino, dopo mesi di negoziati serrati, il Consiglio dell'Unione Europea e il Parlamento Europeo hanno raggiunto un accordo politico sul cosiddetto Digital Omnibus sull'AI. Questa riforma ricalibra le tempistiche di applicazione del Regolamento (UE) 2024/1689, facendo slittare l'adeguamento per i sistemi di Intelligenza Artificiale ad alto rischio dal previsto agosto 2026 a un orizzonte compreso tra il dicembre 2027 e l'agosto 2028.
Nella mia esperienza di consulenza per scale-up e PMI tecnologiche, ho rilevato come le notizie di proroghe normative generino un immediato e pericoloso rilassamento. Molti founder e CTO stanno interpretando questo rinvio come un alibi perfetto per congelare i budget di compliance e rimandare l'adeguamento. Questa è una lettura superficiale che trascura le dinamiche reali del mercato B2B. Chi utilizza questi mesi extra per implementare un'architettura di privacy by design e conformarsi in anticipo, non sta sprecando risorse: sta costruendo un vantaggio competitivo reale. E il dettaglio più critico — quello che nessuno dovrebbe dimenticare — è che il rinvio non riguarda i divieti assoluti dell'Articolo 5, già pienamente in vigore dal febbraio 2025.
Cosa È Cambiato Esattamente: Le Nuove Scadenze
Il pacchetto Digital Omnibus nasce da una presa d'atto pragmatica: l'ecosistema industriale europeo, inclusa l'infrastruttura degli organismi notificati e gli standard tecnici del CEN/CENELEC, non era pronto per sostenere l'urto della scadenza dell'agosto 2026. La Commissione Europea ha quindi optato per una strategia di semplificazione per salvaguardare la competitività, legando l'entrata in vigore delle regole alla reale disponibilità degli strumenti di supporto.
Per i founder e i decision-maker italiani, la mappa temporale è stata completamente ridisegnata:
| Categoria di Obbligo Normativo | Scadenza Originale AI Act | Nuova Scadenza (Digital Omnibus, 7 maggio 2026) |
|---|---|---|
| Pratiche di IA Proibite (Art. 5) | 2 febbraio 2025 | 2 febbraio 2025 — Già in vigore |
| Obblighi Trasparenza/Watermarking (Art. 50) | 2 agosto 2026 | 2 agosto 2026 (sistemi già sul mercato: 2 dic. 2026) |
| Nuovi Divieti CSAM e NCII ("Nudifier Ban") | Non previsti esplicitamente | 2 dicembre 2026 |
| Sandbox Regolatorie Nazionali | 2 agosto 2026 | 2 agosto 2027 |
| Sistemi Alto Rischio Indipendenti (Allegato III) | 2 agosto 2026 | 2 dicembre 2027 |
| Sistemi Alto Rischio Integrati (Allegato I) | 2 agosto 2027 | 2 agosto 2028 |
Nota metodologica: L'accordo politico del 7 maggio 2026 è stato raggiunto in sede di trilogo, ma il regolamento di modifica deve ancora superare la revisione giuridico-formale, essere adottato formalmente e pubblicato nella Gazzetta Ufficiale dell'Unione Europea prima del 2 agosto 2026 per produrre effetti giuridici. Gli operatori devono monitorare l'iter di pubblicazione ufficiale.
L'Emergenza delle Small Mid-Cap: Un Vantaggio per l'Italia
Uno degli aspetti meno discussi, ma strategicamente più dirompenti del Digital Omnibus, è l'introduzione di una nuova categoria dimensionale: le Small Mid-Cap. Fino ad oggi, le esenzioni normative dell'Unione Europea erano rigidamente confinate alle PMI tradizionali (sotto i 250 dipendenti e 50 milioni di fatturato). Questo creava uno scalone punitivo per le scale-up SaaS e per le solide realtà tecnologiche italiane che superavano di poco tali soglie.
L'accordo del 7 maggio ha esteso i privileges normativi alle aziende che impiegano fino a 750 dipendenti e generano un fatturato annuo fino a 150 milioni di euro (o un totale di bilancio fino a 129 milioni di euro). Se la tua azienda rientra in questa fascia, otterrai benefici operativi concreti:
- Documentazione tecnica semplificata che gli enti notificati sono obbligati ad accettare.
- Canali preferenziali per l'accesso alle sandbox regolatorie nazionali ed europee gestite dal nuovo AI Office.
- Regime sanzionatorio calmierato in base al principio di proporzionalità.
Si tratta di uno scudo burocratico formidabile, che permette ai CTO di allocare il budget nello sviluppo del prodotto anziché in infinite consulenze di certificazione — a patto di avviare subito un registro dei trattamenti GDPR integrato con la mappatura dei sistemi AI interni.
Cosa NON È Cambiato: La Compliance Già Operativa
La trappola narrativa del "rinvio AI Act sistemi alto rischio" risiede nell'illusione che l'intero regolamento sia stato sospeso. Nella mia attività quotidiana al fianco di team di sviluppo, noto una pericolosa sovrapposizione concettuale tra sistemi ad alto rischio e sistemi proibiti. Mentre i primi sono stati rinviati, i divieti dell'Articolo 5 sono in vigore dal 2 febbraio 2025 e pienamente sanzionabili dall'agosto 2025.
Se la tua piattaforma integra funzionalità di social scoring, categorizzazione biometrica basata su dati sensibili (come l'inferenza di orientamento politico o sessuale), riconoscimento delle emozioni sul posto di lavoro o scraping non mirato di immagini facciali dal web, la tua azienda sta operando nell'illegalità oggi. Le sanzioni raggiungono i 35 milioni di euro o il 7% del fatturato globale (Art. 99, par. 3, Reg. UE 2024/1689). Nessun rinvio copre queste fattispecie.
Il Digital Omnibus ha inoltre introdotto nuovi obblighi a breve termine che richiedono interventi tecnici immediati:
- "Nudifier Ban" — 2 dicembre 2026: i provider di AI generativa dovranno impedire a livello architetturale la generazione di materiale pedopornografico (CSAM) e di immagini intime non consensuali (NCII) di soggetti identificabili senza consenso. L'impatto che ha accelerato l'iter: il caso Grok dell'inverno 2025-2026, con milioni di deepfake sessuali generati in massa, ha spinto Parlamento e Consiglio a intervenire direttamente a livello di modello.
- Watermarking obbligatorio (Art. 50) — 2 agosto 2026 / 2 dicembre 2026 per sistemi già in commercio: le filigrane crittografiche machine-readable nei metadati dei contenuti AI richiedono mesi di ingegnerizzazione. I CTO non possono posticipare questo effort.
- AI Literacy (Art. 4): l'accordo del 7 maggio ha alleggerito il requisito, trasformandolo da "obbligazione di risultato" a "obbligazione di mezzi", ma l'obbligo di formare il personale resta. Un data breach causato da un dipendente che inserisce dati personali dei clienti in un prompt LLM pubblico sarà imputato all'azienda per mancata formazione, configurando una violazione congiunta di GDPR e AI Act.
Chi È Davvero Impattato: I Deployer Italiani
La distinzione tra provider (chi sviluppa il sistema IA) e deployer (chi lo utilizza per scopi professionali) è vitale. L'ecosistema italiano è composto prevalentemente da deployer: aziende manifatturiere, banche, ospedali e startup SaaS che integrano tramite API i motori algoritmici sviluppati dalle Big Tech o da fornitori terzi. Per capire cosa cambia concretamente, occorre guardare ai settori dell'Allegato III.
1. HR Tech: Selezione e Gestione del Personale
I sistemi utilizzati per il reclutamento, lo screening automatico dei CV, l'assegnazione dei compiti o la valutazione delle prestazioni dei dipendenti sono classificati come alto rischio (Allegato III, punto 4). Una PMI italiana che sviluppa un SaaS per le agenzie interinali, utilizzando il Natural Language Processing per il matching candidati-offerte, non può permettersi algoritmi black-box. Se l'algoritmo sviluppa un bias cognitivo penalizzando candidati di un determinato genere o area geografica, il deployer risponde civilmente per discriminazione. Il rinvio al 2027 offre il tempo per mappare le metriche di equità algoritmica, ma i contratti B2B esigono garanzie fin da oggi.
2. Credit Scoring e Servizi Finanziari (Fintech)
Le piattaforme fintech che valutano l'affidabilità creditizia o stabiliscono i premi assicurativi tramite machine learning operano in regime di alto rischio (Allegato III, punto 5, lett. b). Come ha evidenziato la Banca d'Italia nel proprio studio sull'analisi strategica dei modelli ML, il passaggio dai modelli logistici tradizionali alle reti neurali migliora l'accuratezza ma amplifica il rischio di discriminazione indiretta basata sull'impronta digitale dell'utente. Se un sistema deduce il rischio di insolvenza dall'analisi delle abitudini di spesa tracciate su un'app, e non da logiche finanziarie dirette, rischia di sconfinare nel divieto di social scoring dell'Art. 5.
3. Ed-Tech e Formazione Digitale
Le università telematiche e le piattaforme di e-learning italiane fanno ampio uso di sistemi per determinare l'ammissione, valutare gli esiti dell'apprendimento e monitorare gli studenti durante gli esami tramite software di proctoring (analisi dei movimenti oculari, postura, rilevamento frodi). Questi strumenti incrociano dati estremamente delicati, spesso di minori, rendendo l'intersezione tra AI Act e GDPR una polveriera legale. La minimizzazione dei dati deve essere programmata nel codice sorgente: qui la privacy by design non è un'opzione, è un obbligo strutturale.
I 5 Adempimenti da Fare Ora (Non nel 2027)
Come si traduce questo dedalo normativo in requisiti tecnici comprensibili? Ecco la roadmap operativa per trasformare l'attesa del 2027 in valore tangibile.
1. Classificazione del Rischio (Allegato I e III) Il primo passo tecnico è l'inventario: mappare ogni modello AI, API esterna o libreria open-source in uso. Ogni elemento deve essere sottoposto a triage: ricade nell'Art. 5 (divieto assoluto, già sanzionabile), nell'Allegato III (alto rischio indipendente — scadenza dicembre 2027), o nell'Allegato I (alto rischio integrato — scadenza agosto 2028)? L'uso di GitHub Copilot per generare codice è tipicamente classificato come GPAI a rischio limitato; se invece si usa per scansionare i CV dei dipendenti, la classificazione si impenna verso l'alto rischio.
2. FRIA (Fundamental Rights Impact Assessment) L'Art. 27 sull'obbligo di eseguire la FRIA scatterà a ridosso del 2027, ma le organizzazioni più mature la stanno già integrando. La FRIA non è un modulo legale da spuntare: è una revisione architetturale da integrare con la DPIA già richiesta dall'Art. 35 GDPR. Il legislatore consente espressamente di condurre le due valutazioni in un unico processo (Art. 27.4 AI Act). Anticipare l'analisi ti salva dal dover riscrivere il codice a ridosso della deadline.
3. Sfruttare la "Sanatoria Algoritmica" sui Dati Sensibili Il Digital Omnibus ha esteso la base giuridica per trattare dati sensibili (Art. 9 GDPR) al solo fine di rilevare e correggere i bias algoritmici, sia per provider che per deployer. Il trattamento è consentito sotto garanzie ferree: pseudonimizzazione obbligatoria, crittografia, controlli di accesso restrittivi, divieto di condivisione ulteriore e cancellazione immediata dopo la ricalibrazione del modello. Fai testare i tuoi modelli adesso, usando questo scudo normativo mentre è disponibile.
4. Governance Interna e il Ruolo del DPO Esterno Non è possibile gestire l'impatto dell'AI con fogli Excel. Serve una struttura di accountability: nella mia pratica, raccomando l'estensione del mandato del DPO esterno per coprire la supervisione congiunta di GDPR e AI Act. La convergenza è inevitabile: un malfunzionamento in un sistema AI ad alto rischio comporterà quasi sempre un data breach o un trattamento illecito. Istituire una governance integrata oggi dimostra diligenza ai partner commerciali e agli investitori.
5. Blindare i Contratti con i Provider AI Se sei un deployer, il tuo rischio maggiore risiede nell'opacità dei tuoi fornitori. Modifica immediatamente i Terms of Service, i contratti SaaS e i DPA (Art. 28 GDPR). Inserisci clausole che obblighino il provider a fornirti tempestivamente la documentazione tecnica necessaria ex Art. 13 AI Act per compilare FRIA e DPIA. Se il fornitore si rifiuta, è un campanello d'allarme: pianifica la compliance SaaS e la strategia di vendor lock-in exit.
FAQ: Le Domande dei CTO e dei Founder
Il rinvio vale anche per chi usa ChatGPT Enterprise in azienda? No, ma per un motivo preciso. L'uso di modelli GPAI come ChatGPT per compiti generali non rientra nei sistemi ad alto rischio dell'Allegato III: non sei soggetto alla scadenza del 2027 per l'alto rischio. Tuttavia, rimani soggetto agli obblighi di trasparenza (Art. 50) e, se elabori dati personali, sei pienamente soggetto al GDPR.
Siamo una PMI con 300 dipendenti che sviluppa software per il credit scoring. Rientriamo nel rinvio? Sì. In quanto provider di sistemi di credit scoring (Allegato III), la scadenza per la conformità ad alto rischio slitta al 2 dicembre 2027. Grazie alla nuova classificazione Small Mid-Cap (aziende fino a 750 dipendenti e 150 milioni di fatturato), potrete avvalervi di documentazione tecnica semplificata e sanzioni proporzionate.
Cosa succede se violiamo i divieti dell'Art. 5 oggi? Le sanzioni sono già attive dall'agosto 2025. Se il vostro software utilizza tecniche di manipolazione subliminale, categorizzazione biometrica vietata o scraping facciale massivo non mirato, siete passibili di sanzioni fino a 35 milioni di euro o al 7% del fatturato annuo globale (Art. 99, par. 3, Reg. UE 2024/1689). Il rinvio al 2027 non copre in alcun modo le pratiche proibite.
Il mio DPO esterno deve occuparsi anche dell'AI Act? Formalmente l'AI Act non richiede la nomina di un "AI Officer" specifico. Tuttavia, a causa delle massicce sovrapposizioni tra protezione dei dati (DPIA, data breach, basi giuridiche) e compliance IA (FRIA, bias detection su dati sensibili), affidare la supervisione strategica al DPO esterno con competenze tech-legal è la scelta organizzativa più solida e adottata dal mercato.
Nota informativa ai sensi dell'Art. 13 GDPR: il presente articolo ha finalità esclusivamente informativa e non costituisce parere legale personalizzato. L'accordo politico del 7 maggio 2026 non ha ancora completato l'iter formale di pubblicazione nella GUUE: le scadenze indicate potrebbero subire aggiustamenti tecnici. Per l'implementazione di una strategia di compliance AI Act specifica è necessario il supporto di un professionista abilitato che valuti il caso concreto. Ultimo aggiornamento: maggio 2026.
Fonti primarie e Citazioni Tecniche:
- Regolamento (UE) 2024/1689 — EUR-Lex
- Orrick, "EU's Digital Omnibus on AI: 7 Key Changes", 7 maggio 2026
- TechPolicy Press, "What the EU AI Omnibus Deal Changes", 8 maggio 2026
- Hogan Lovells, "EU legislators agree to delay for high-risk AI rules"
- Commissione Europea, Comunicato Stampa IP/26/1024
- Legge 23 settembre 2025, n. 132 — Gazzetta Ufficiale
- Artificialintelligenceact.eu, Analisi Articolo 27
Anticipare l'adeguamento normativo rappresenta non solo un obbligo di legge, ma un solido vantaggio strategico. Presentarsi a investitori e clienti corporate come vendor affidabili e conformi all'AI Act è oggi fondamentale. Richiedi una sessione di AI Risk Classification per mappare l'impatto tecnico sui tuoi software SaaS e pianificare una roadmap di compliance con scadenze chiare.
Autore: Avv. Antonino Ingoglia Avvocato. Si occupa prevalentemente di Diritto IT, Privacy (GDPR) e Intelligenza Artificiale. Consulente legale per startup SaaS e PMI tecnologiche italiane.
Autore
Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.
Profilo completo e competenze