Il 7 maggio 2026 Parlamento europeo e Consiglio hanno raggiunto un accordo politico provvisorio sul Digital Omnibus, che rinvia di sedici mesi l’applicazione delle norme dell’AI Act sui sistemi ad alto rischio. Gli obblighi relativi ai sistemi autonomi dell’Allegato III — selezione del personale, valutazione dei lavoratori, scoring del credito, accesso a servizi essenziali — slittano dal 2 agosto 2026 al 2 dicembre 2027. Quelli relativi ai sistemi incorporati in prodotti regolamentati slittano dal 2 agosto 2027 al 2 agosto 2028.
Nei consigli di amministrazione italiani la notizia è stata accolta, nella maggior parte dei casi, come un rinvio della responsabilità degli amministratori. Vale la pena correggere questa lettura prima che produca i suoi effetti. Il calendario che conta per la responsabilità degli organi di gestione segue una logica propria e corre da tempo, indipendente da quello di Bruxelles.
Indice degli argomenti
Il rinvio AI Act amministratori non sospende tutti gli obblighi
Una parte del Regolamento resta ferma al calendario originario. L’obbligo di alfabetizzazione del personale previsto dall’articolo 4 è in vigore dal 2 febbraio 2025 e l’Omnibus ne alleggerisce il contenuto senza toccarne la data. I divieti dell’articolo 5 sono operativi dalla stessa data del 2025. A questi si aggiunge ora, con un regime transitorio fino al 2 dicembre 2026, il divieto dei sistemi che generano materiale pedopornografico sintetico e immagini intime non consensuali. Gli obblighi di trasparenza dell’articolo 50 impongono di informare le persone esposte a contenuti generati o manipolati artificialmente e restano fissati al 2 agosto 2026, con una proroga di quattro mesi per la sola marcatura tecnica dei contenuti dei sistemi attualmente in commercio. I co-legislatori hanno descritto l’impianto del Regolamento come confermato nella sua interezza, dall’approccio basato sul rischio alla struttura di governance. A slittare è l’esigibilità di una parte degli obblighi; la loro esistenza resta quella di sempre.
A livello nazionale, la legge 23 settembre 2025, n. 132 ha designato l’Agenzia per l’Italia digitale e l’Agenzia per la cybersicurezza nazionale come autorità competenti per l’intelligenza artificiale, con l’ACN titolare di poteri di ispezione, vigilanza e sanzione sui sistemi utilizzati dalle imprese. I decreti attuativi sono attesi nei prossimi mesi e riguarderanno tra l’altro la governance interna e l’uso dell’intelligenza artificiale nelle attività di polizia predittiva. La legge 132/2025 prevede inoltre un obbligo di informazione sull’uso di sistemi di intelligenza artificiale nei rapporti con clienti e utenti e questo obbligo vale per le imprese italiane indipendentemente dal Digital Omnibus e dal calendario dell’Allegato III. Per un consiglio di amministrazione, l’autorità che potrebbe bussare alla porta nei prossimi mesi comprende anche l’ACN, con poteri propri e un calendario proprio, oltre a quella europea designata ai sensi dell’AI Act.
Articolo 2086 cc e responsabilità degli amministratori
C’è un punto che la lettura corrente del rinvio lascia fuori e riguarda l’articolo 2086 cc. La norma, frutto della riforma del Codice della crisi d’impresa, è in vigore dal 16 marzo 2019 e impone all’imprenditore di adottare un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell’impresa. Questo dovere ha una data di efficacia propria, anteriore e indipendente da quella del Regolamento europeo e vale per qualunque impresa che utilizzi un sistema di intelligenza artificiale per decidere chi assumere o a chi concedere credito e a quali condizioni. Il rinvio dell’AI Act sposta la data in cui questi obblighi diventeranno sanzionabili dall’autorità di vigilanza di settore. La data in cui un amministratore che ha approvato un sistema del genere senza un assetto pensato per governarlo risponde secondo l’articolo 2392 cc. resta quella di oggi.
Sistemi ad alto rischio e decisioni del consiglio
Facciamo un caso pratico, collocato in questo stesso mese di giugno 2026. Un consiglio di amministrazione approva l’adozione di un sistema di screening dei curricula per le assunzioni. Nella narrazione che circola dopo l’accordo sul Digital Omnibus, l’impresa avrebbe tempo fino al dicembre 2027 per strutturare il sistema di gestione del rischio previsto dall’articolo 9 dell’AI Act e la sorveglianza umana prevista dall’articolo 14. Questa narrazione vale per la sanzione amministrativa prevista dal Regolamento e si ferma lì.
Se il sistema produce una selezione sfavorevole per candidati di un determinato genere o origine, il candidato escluso può agire con gli strumenti che esistono da prima dell’AI Act. Questi si sostanziano nell’articolo 22 del GDPR riguarda le decisioni basate unicamente su trattamento automatizzato; nelle tutele antidiscriminatorie del diritto del lavoro che restano quelle di sempre e chiaramente nell’articolo 2087 cc. che tutela l’integrità del lavoratore. In quel giudizio, il magistrato chiederà agli amministratori se la decisione di adottare quel sistema sia stata presa con la diligenza richiesta dalla natura dell’incarico. Il giudice valuterà quella diligenza; il calendario di Bruxelles resterà fuori dall’aula.
Gli obblighi italiani sul lavoro restano già in vigore
C’è un secondo livello, meno visibile, che riguarda il diritto del lavoro italiano e che il dibattito sul rinvio dell’AI Act ha lasciato ai margini. L’articolo 1-bis del decreto legislativo 152/1997, inserito dal decreto trasparenza (D.Lgs. 104/2022), impone al datore di lavoro di informare il lavoratore, prima dell’inizio del rapporto o prima di una modifica significativa delle condizioni di lavoro, sull’uso di sistemi decisionali o di monitoraggio interamente automatizzati che incidono sulla gestione del rapporto.
L’articolo 4 dello Statuto dei lavoratori, nella versione riscritta dal Jobs Act, subordina l’installazione di strumenti che permettono il controllo a distanza dei lavoratori — categoria in cui rientrano molti sistemi di intelligenza artificiale per la gestione delle risorse umane — a un accordo sindacale o a un’autorizzazione dell’Ispettorato del lavoro. Questi obblighi sono italiani e sono in vigore da anni. Seguono un calendario proprio, separato da quello del Digital Omnibus. Un’impresa che ha rimandato la compliance AI al Regolamento europeo potrebbe trovare, ad attenderla, un fronte aperto da tempo sotto una norma nazionale che pochi avevano collegato all’intelligenza artificiale.
Il fascicolo per dimostrare la diligenza
Tradurre questo quadro in pratica vuol dire costruire, da subito, il fascicolo che servirà a dimostrare la diligenza, a prescindere dal fatto che l’AI Act lo richieda formalmente dal 2026 o dal 2027. Il punto di partenza è un inventario dei sistemi di intelligenza artificiale effettivamente in uso nei processi decisionali dell’impresa, con l’indicazione di chi li ha proposti, chi li ha approvati e su quali basi.
La classificazione preventiva di questi sistemi secondo le categorie dell’Allegato III dell’AI Act è il passo successivo, anche se l’obbligo formale di classificazione è rinviato. Quella classificazione è il presupposto logico di ogni valutazione che verrà dopo e arrivare al 2027 senza averla mai fatta significherebbe partire da zero proprio quando il margine di tempo si sarà esaurito.
Un’ultima componente riguarda le persone più che i documenti. Occorre identificare chi, all’interno dell’organizzazione, ha l’autorità e la competenza per sospendere o correggere l’output del sistema e occorre che questa persona abbia esercitato quel potere almeno una volta, lasciandone una traccia scritta.
Il calendario europeo e il dovere di diligenza dei Cda
Il rinvio del Digital Omnibus, letto correttamente, allunga il tempo per costruire le prove e lascia ferma, per la fase successiva, la sanzione amministrativa specifica prevista dal Regolamento. Le imprese che useranno questi sedici, o trentadue, mesi per rinegoziare i contratti con i fornitori di sistemi di intelligenza artificiale, inserendo diritti di audit, accesso ai log e clausole sulla sorveglianza umana, arriveranno al 2027 con un sistema di gestione del rischio rodato e con una catena di responsabilità contrattuale definita verso i fornitori. Le imprese che useranno lo stesso periodo per restare immobili, contando sul fatto che l’autorità di vigilanza non potrà intervenire prima di allora, si ritroveranno nella stessa posizione di chi, oggi, senza alcun rinvio, risponde a un dipendente, a un candidato o a un cliente che si rivolge al giudice ordinario con gli strumenti del diritto vigente. Il rinvio normativo sposta la data della sanzione amministrativa europea. La data in cui si misura il dovere di diligenza degli amministratori sulle decisioni che i consigli stanno prendendo in questi mesi è oggi, ed è quella data a dover orientare l’agenda dei prossimi consigli di amministrazione.
Partecipa alla community