EN Contattaci

AI Act: il Digital Omnibus posticipa l'applicazione delle regole high-risk e introduce nuovi divieti

Il 7 maggio 2026 Parlamento e Consiglio UE raggiungono un accordo politico provvisorio sul Digital Omnibus: posticipo al 2 dicembre 2027 per i sistemi AI high-risk stand-alone, esenzioni estese alle small mid-caps (fino a 500 dipendenti), nuovo divieto su deepfake sessuali non consensuali e CSAM.

AIComplianceGovernance
AIComplianceGovernance EU AI ActAI GovernanceComplianceDeepfakeCSAMSMEDigital Omnibus
Intelligenza Artificiale

Intelligenza Artificiale

Consulenza EU AI Act: classificazione dei sistemi, policy, governance AI, formazione.

Scopri → Cybersecurity

Cybersecurity

Consulenza CISO-as-a-service: postura, roadmap di remediation, supporto continuativo.

Scopri →

Cosa è successo

Il 7 maggio 2026, dopo un negoziato durato tutta la notte, il Parlamento europeo e il Consiglio dell’UE hanno raggiunto un accordo politico provvisorio sul cosiddetto Digital Omnibus on AI: un pacchetto di emendamenti mirati al Regolamento (UE) 2024/1689 — l’AI Act — che modifica le scadenze più stringenti previste per agosto 2026 e introduce nuovi divieti.

L’accordo arriva a meno di tre mesi dalla data originaria di applicazione delle regole sui sistemi AI ad alto rischio (2 agosto 2026), sotto la pressione di industria, autorità nazionali e associazioni di consumatori che avevano segnalato l’impossibilità di completare in tempo i percorsi di conformità.

Non si tratta ancora di un testo definitivo: la formalizzazione richiede il voto in Parlamento e l’adozione formale da parte del Consiglio. Le modifiche sostanziali, salvo correzioni tecniche di legal scrubbing, sono però quelle annunciate.

Le nuove scadenze

L’Omnibus introduce una timeline fissa e differenziata per l’applicazione delle regole sui sistemi AI ad alto rischio:

  • 2 dicembre 2027 — sistemi AI high-risk stand-alone (allegato III del Regolamento: biometria, infrastrutture critiche, istruzione, occupazione, accesso a servizi essenziali, applicazioni di law enforcement, gestione migratoria, amministrazione della giustizia, processi democratici).
  • 2 agosto 2028 — sistemi AI high-risk embedded in prodotti già soggetti a normativa europea di sicurezza (allegato I: dispositivi medici, macchinari, automotive, giocattoli, attrezzature radio, ascensori, dispositivi di protezione individuale, eccetera).
  • 2 agosto 2027 — termine per l’istituzione dei regulatory sandboxes a livello nazionale da parte delle autorità competenti.
  • 2 dicembre 2026 — termine per i provider di implementare le soluzioni di trasparenza sui contenuti generati dall’AI (filigrane, metadati di provenienza). Il periodo di adeguamento è stato ridotto da 6 a 3 mesi rispetto alla proposta iniziale.

Per molte aziende europee — soprattutto PMI con applicazioni AI in ambito sanitario, infrastrutturale o di pubblica amministrazione — il differimento offre 16-18 mesi aggiuntivi per costruire la documentazione tecnica, completare il risk management secondo ISO 14971 e ISO/IEC 23894, e implementare i controlli organizzativi richiesti.

I nuovi divieti

Tra le novità più rilevanti, l’introduzione di un nuovo divieto esplicito per la generazione di contenuti AI che ricadono in due categorie:

  1. Contenuti sessuali e intimi non consensuali — i cosiddetti deepfake pornografici realizzati senza il consenso della persona ritratta. La norma colma una lacuna del testo originario, che vietava solo specifici usi manipolatori senza coprire esplicitamente questo abuso.
  2. CSAM (Child Sexual Abuse Material) generato artificialmente — anche quando l’immagine non corrisponda a una persona reale esistente, la generazione mediante AI è proibita in modo assoluto.

Entrambi i divieti rientrano nella categoria di pratiche AI vietate (articolo 5 dell’AI Act), e sono accompagnati dalle sanzioni più alte previste dal Regolamento — fino a 35 milioni di euro o il 7% del fatturato annuo mondiale, a seconda di quale sia il maggiore.

Esenzioni estese alle small mid-caps

Il pacchetto Omnibus introduce un nuovo concetto giuridico: la small mid-cap (SMC), definita come impresa fino a 500 dipendenti. Si tratta di un’estensione del perimetro PMI tradizionale, finalizzata a includere le imprese italiane ed europee in fase di scale-up che, pur non rientrando più nella definizione di PMI (250 dipendenti), non hanno ancora le risorse di compliance di una grande multinazionale.

Per le SMC, le esenzioni di compliance già previste per le PMI vengono estese, in particolare:

  • Documentazione tecnica semplificata — possibilità di adottare format ridotti e proporzionati alla dimensione dell’organizzazione, mantenendo i contenuti essenziali richiesti dall’allegato IV.
  • Tariffe ridotte per la partecipazione ai regulatory sandboxes nazionali.
  • Procedure accelerate per il dialogo con le autorità di vigilanza.

La definizione di SMC è coerente con quanto previsto dal Digital Services Act per le “very large online platforms” e dalla nuova Industrial Strategy della Commissione, che mira a sostenere la crescita delle imprese europee oltre la soglia PMI senza appesantirle prematuramente con oneri pensati per le big tech.

L’obbligo di registrazione reinstaurato

Una delle modifiche più discusse nei mesi precedenti era la proposta di eliminare l’obbligo di registrazione nel database UE per i sistemi AI che il provider ritiene esenti dalla classificazione high-risk (articolo 6.3 dell’AI Act).

L’Omnibus conferma l’obbligo di registrazione: anche per i sistemi che il provider valuta non ad alto rischio, è necessario registrare il sistema nel database europeo motivando l’esenzione. Una scelta favorevole alla trasparenza e all’accountability, sostenuta in particolare dal Parlamento contro le posizioni più deregolamentatorie di alcuni Stati membri.

Cosa significa per le aziende

Per aziende italiane ed europee con sistemi AI in produzione o in roadmap, il quadro post-Omnibus richiede di:

  • Riconsiderare la roadmap di compliance considerando le nuove date — la deadline 2 agosto 2026 era stata vissuta come pressione massima; con il differimento, c’è spazio per impostare programmi più sostanziali e meno emergenziali.
  • Verificare la propria dimensione rispetto alla nuova soglia SMC (500 dipendenti) — molte aziende italiane di medio livello rientrano in questa categoria e possono accedere alle esenzioni.
  • Aggiornare le policy interne sui contenuti generati per recepire i nuovi divieti su deepfake non consensuali e CSAM, anche in scenari di moderazione automatica.
  • Mantenere la registrazione dei sistemi nel database UE come pianificato — il pre-screening del high-risk non rimuove l’obbligo di trasparenza verso le autorità.
  • Implementare le soluzioni di trasparenza sui contenuti AI-generated entro 2 dicembre 2026 (filigrane, metadati di provenienza C2PA o equivalenti).

Per chi opera in settori soggetti a NIS2 (energia, sanità, trasporti, pubblica amministrazione, infrastrutture digitali), l’integrazione tra AI Act e NIS2 resta un’area in cui i requisiti di sicurezza e quelli di governance dell’AI vanno coordinati: la gap analysis incrociata tra le due normative è una pratica che noze adotta in tutti i progetti di compliance attivi.

Prossimi passi

L’accordo provvisorio del 7 maggio sarà sottoposto a:

  1. Voto in Parlamento (in plenaria) previsto entro l’estate 2026.
  2. Adozione formale da parte del Consiglio.
  3. Pubblicazione in Gazzetta Ufficiale UE ed entrata in vigore secondo il calendario standard (20 giorni dalla pubblicazione).

Le scadenze tecniche di applicazione restano quelle annunciate dall’Omnibus: 2 dicembre 2026 per trasparenza, 2 agosto 2027 per sandbox, 2 dicembre 2027 e 2 agosto 2028 per high-risk.

Riferimenti

Vuoi supporto? Sei sotto attacco? Stato dei servizi
Vuoi supporto? Sei sotto attacco? Stato dei servizi