EN Contattaci

AI Act: il Digital Omnibus verso l'adozione formale — cosa fanno le aziende ora

Il Digital Omnibus on AI è in dirittura d'arrivo verso l'adozione formale, ma non è ancora legge: finché manca la pubblicazione in Gazzetta Ufficiale UE le nuove date non sono vincolanti e la soglia di agosto 2026 resta formalmente in piedi. Cosa fanno le aziende ora.

AIComplianceGovernance
AIComplianceGovernance EU AI ActAI GovernanceComplianceDigital OmnibusGovernanceAI
Intelligenza Artificiale

Intelligenza Artificiale

Consulenza EU AI Act: classificazione dei sistemi, policy, governance AI, formazione.

Scopri →

Dove siamo

Nel nostro precedente articolo abbiamo descritto l’accordo politico provvisorio raggiunto in trilogo tra Parlamento europeo e Consiglio sul Digital Omnibus on AI: il primo pacchetto di emendamenti mirati al Regolamento (UE) 2024/1689 — l’AI Act — dalla sua adozione del 2024.

In questi giorni l’iter è in dirittura d’arrivo, ma con una precisazione che conta più di quanto sembri: il Digital Omnibus non è ancora legge. Esiste un accordo provvisorio, non un testo in vigore. Mancano ancora tre passaggi: il voto finale in plenaria del Parlamento europeo, atteso nel corso di giugno, l’adozione formale da parte del Consiglio e la pubblicazione in Gazzetta Ufficiale UE.

Provvisorio non significa vigente

La distinzione è il cuore operativo di questo aggiornamento. Un accordo politico provvisorio fissa i contenuti negoziati, ma non produce alcun effetto giuridico. Le date posticipate concordate nell’Omnibus diventano vincolanti solo dopo l’adozione formale e la pubblicazione in Gazzetta Ufficiale, con entrata in vigore secondo il calendario standard.

Finché quel passaggio non avviene, la conseguenza pratica è netta: la scadenza originaria del 2 agosto 2026 per i sistemi AI ad alto rischio resta formalmente in piedi. Un’impresa che oggi rallentasse o smobilitasse il proprio programma di conformità contando sul differimento si esporrebbe a un rischio reale, perché sta scommettendo su un testo che non esiste ancora come norma.

L’adozione formale è attesa prima di agosto 2026, proprio per non lasciare scoperta la soglia originaria. È un’aspettativa fondata, non una certezza: il margine tra l’iter legislativo e la deadline è stretto, e va trattato come tale.

Le scadenze concordate, da confermare

Le nuove date negoziate nell’Omnibus — che diventeranno operative solo a pubblicazione avvenuta — restano quelle già illustrate:

  • 2 dicembre 2027 — sistemi AI high-risk stand-alone (Allegato III).
  • 2 agosto 2028 — sistemi high-risk embedded in prodotti già regolati (Allegato I, ad esempio i dispositivi medici).
  • 2 agosto 2027 — istituzione dei regulatory sandboxes nazionali.
  • 2 dicembre 2026trasparenza sui contenuti generati artificialmente, con periodo di adeguamento ridotto da 6 a 3 mesi.

A queste si aggiunge il nuovo divieto (articolo 5 dell’AI Act) per le immagini intime non consensuali generate dall’AI e per il CSAM artificiale, con periodo transitorio fino a dicembre 2026.

Restano date di contenuto normativo concordato: le riportiamo perché orientano la pianificazione, ma vanno verificate sul testo definitivo quando sarà pubblicato.

La vera prossima scadenza operativa

C’è un punto che il dibattito sul posticipo dell’high-risk rischia di mettere in ombra. La scadenza più vicina, e quella che impatta il maggior numero di imprese, non è quella sull’alto rischio: è la trasparenza sui contenuti AI-generated, fissata al 2 dicembre 2026.

Riguarda chiunque produca o distribuisca contenuti generati dall’AI — testo, immagini, audio, video — e impone soluzioni di marcatura e provenienza (filigrane, metadati come C2PA o equivalenti). Con il periodo di adeguamento ridotto a 3 mesi, è la prima vera prova operativa del nuovo assetto. Per molte aziende è anche la più semplice da sottovalutare, perché tocca pipeline di contenuti che spesso non rientrano nei programmi di compliance AI tradizionali.

Cosa significa in pratica

Per chi ha sistemi AI in produzione o in roadmap, il messaggio di questo aggiornamento è di non confondere l’aspettativa con il diritto vigente:

  • Non smobilitare i programmi di compliance. Finché manca la pubblicazione in Gazzetta, la deadline di agosto 2026 è formalmente quella di riferimento. Procedere come pianificato è la postura prudente.
  • Trattare il differimento come un’ipotesi, non un dato. Aggiornare la roadmap sulle nuove date va bene; costruirci sopra l’unica linea d’azione, no.
  • Spostare attenzione sulla trasparenza dei contenuti AI-generated (2 dicembre 2026): è la prossima scadenza realmente imminente e va affrontata ora, indipendentemente dall’esito dell’Omnibus.
  • Monitorare l’iter fino alla pubblicazione: è quello — non l’accordo provvisorio — il momento in cui le date diventano vincolanti.

Per un inquadramento generale degli obblighi resta utile la nostra panoramica su cosa cambia con l’AI Act; sul versante organizzativo, l’integrazione tra GDPR e AI Act e il ruolo del DPO sono trattati in compliance automatizzata per il DPO. La gap analysis incrociata tra le normative e il presidio dell’iter regolatorio sono pratiche che noze mantiene attive in tutti i progetti di compliance.

Link: Press release Consiglio UE — 7 maggio 2026 · Parlamento UE — Legislative Train, Digital Omnibus on AI

Vuoi supporto? Sei sotto attacco? Stato dei servizi
Vuoi supporto? Sei sotto attacco? Stato dei servizi