Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

normativa

Digital Omnibus e AI Act: cosa può slittare e cosa va fatto prima di agosto 2026

Home Industry 4.0/Innovazione in azienda
Partecipa al dibattito
Indirizzo copiato

L’AI Act è già legge e alcune regole sono operative, ma la timeline dei sistemi ad alto rischio è in discussione. Il Digital Omnibus ipotizza un rinvio fino a 16 mesi, mentre EDPB ed EDPS avvertono sui rischi di deregolazione. Azioni immediate: inventario, governance integrata, design for compliance

Pubblicato il 25 feb 2026
Adriano Bertolino

Esperto in Privacy e Cybersecurity

New Delhi Declaration on AI Impact (1); ai act
iperammortamento software industriale

L’AI Act è legge, ma la timeline per i sistemi ad alto rischio è in discussione. Il Digital Omnibus propone un rinvio fino a 16 mesi, EDPB ed EDPS avvertono che semplificare non significa deregolare, il Parlamento europeo ha aperto i lavori. Ecco come orientarsi tra ciò che è già in vigore, ciò che potrebbe slittare e le azioni che non ammettono attesa.

AI Act nel limbo del Digital Omnibus: chi paga il costo dell’incertezza

C’è un paradosso che nessuno in Europa sembra voler ammettere ad alta voce: abbiamo la prima legge al mondo sull’intelligenza artificiale, ma non sappiamo ancora quando entrerà davvero in vigore nella sua parte più rilevante.

L’AI Act è diritto cogente, le scadenze esistono. Ma il terreno sotto i piedi delle imprese si muove, e chi aspetta certezze prima di agire rischia di trovarsi senza tempo e senza scuse.

Obblighi AI Act già in vigore: cosa è operativo e cosa no

Il Regolamento UE 2024/1689, in vigore dal 1° agosto 2024, ha già prodotto effetti concreti. Dal 2 febbraio 2025 sono operative le pratiche AI vietatescoring sociale, manipolazione subliminale, categorizzazione biometrica su base razziale — e l’obbligo di AI literacy per chiunque operi un sistema di AI.

La Commissione ha pubblicato nello stesso mese le linee guida sui divieti e sulla definizione di sistema AI, offrendo per la prima volta criteri interpretativi operativi. Dal 2 agosto 2025 sono in vigore le regole sui modelli GPAI, la governance istituzionale e il regime sanzionatorio: fino a 35 milioni di euro o il 7% del fatturato globale.

Sistemi ad alto rischio: dove l’impianto è più ambizioso e incerto

Il nodo critico resta quello dei sistemi ad alto rischio: credit scoring, selezione del personale, valutazione scolastica, identificazione biometrica, giustizia.

È qui che l’AI Act concentra il suo impianto più ambizioso — e dove l’incertezza è diventata strutturale.

Scadenze AI Act e Digital Omnibus: cosa prevede la proposta

Il 19 novembre 2025 la Commissione ha proposto un meccanismo di rinvio condizionato: gli obblighi high-risk non scatterebbero più a data fissa, ma sei o dodici mesi dopo la conferma di “misure adeguate a supporto della conformità” — standard armonizzati, specifiche comuni, linee guida.

Date limite invalicabili: 2 dicembre 2027 per i sistemi dell’Allegato III, 2 agosto 2028 per quelli dell’Allegato I.

Standard in ritardo e autorità non designate: cosa sta rallentando

La motivazione è pragmatica: gli standard del CEN-CENELEC JTC21 sono in ritardo — il primo (prEN 18286, sistema di gestione qualità) ha chiuso l’enquiry solo a gennaio 2026, il pacchetto completo è atteso per il Q4 2026.

Molti Stati membri non hanno ancora designato le autorità competenti.

Scadenze AI Act e rischio politico: l’avvertimento di EDPB e EDPS

Ma il quadro politico si è complicato. Il 20 gennaio 2026, il Parere congiunto EDPB-EDPS 1/2026 ha lanciato un avvertimento netto: alleggerire le regole non può tradursi in un arretramento delle tutele.

I Garanti si oppongono alla cancellazione dell’obbligo di registrazione per i sistemi auto-esclusi dall’art. 6(3), chiedono di mantenere lo standard di “stretta necessità” per i dati sensibili nella bias detection, e insistono sul coinvolgimento delle DPA nei nuovi sandbox europei.

Al Parlamento europeo il dossier AI è affidato all’eurodeputato Michael McNamara; i triloghi sono previsti per la primavera 2026, con l’obiettivo di chiudere entro metà anno.

Se il rinvio non arriva: cosa succede alle scadenze AI Act

Se il Digital Omnibus non viene adottato prima di agosto 2026, gli obblighi originari si applicano così come sono.

Pianificare sul presupposto del rinvio è una scommessa, non una strategia.

Compliance high-risk: perché la finestra operativa è già stretta

Il dilemma operativo: aspettare o costruire?

Tra i due scenari ci sono fino a 16 mesi che, in termini di progetto, significano la differenza tra un percorso gestibile e una corsa contro il tempo.

E la compliance high-risk non è un adempimento documentale: richiede risk management systems, data governance conforme all’art. 10, supervisione umana, audit trail, documentazione tecnica, valutazioni di conformità.

I notified bodies segnalano agende sature verso il Q2 2026. Un percorso completo di adeguamento richiede tra 8 e 14 mesi.

Chi non ha iniziato è già in ritardo in entrambi gli scenari.

Trasparenza art. 50: scadenze AI Act che non slittano

C’è poi ciò che il rinvio non tocca: le disposizioni di trasparenza dell’art. 50 si applicano dal 2 agosto 2026, con grace period limitata alla marcatura dei contenuti AI-generated (par. 2) per i sistemi già sul mercato, estesa a febbraio 2027.

Non sono differiti gli obblighi per le PA.

Legge 132/2025 e 231: un calendario che resta operativo

E resta pienamente operativa la Legge 132/2025, che ha recepito l’AI Act nell’ordinamento italiano introducendo il reato di deepfake (art. 613-quater c.p.) e rafforzando il nesso con il Modello 231.

Il quadro non è un monolite che si sposta in blocco: è un mosaico dove ogni tessera ha il suo calendario.

Azioni non negoziabili sulle scadenze AI Act: costruire per strati

In un contesto dove la timeline è mobile ma la direzione è certa, la risposta razionale è costruire per strati.

Inventario: mappare sistemi, ruoli e livelli di rischio

La prima azione è l’inventario: mappare ogni sistema AI in uso, in sviluppo o in acquisizione, classificandolo per ruolo (provider, deployer, importatore) e livello di rischio.

Quattro-otto settimane per un esercizio che genera una consapevolezza organizzativa che da sola vale l’investimento.

Governance integrata: intersezione tra AI Act e regole correlate

La seconda è la governance integrata: un framework che intersechi GDPR, NIS2, Cyber Resilience Act, Regolamento Macchine e D.Lgs. 231/2001.

Nel 2026 sei normative convergono nella fase applicativa: gestire la compliance per compartimenti stagni moltiplica costi e rischi.

Design for compliance: evitare debito tecnico e retrofit costosi

La terza è il design for compliance: ogni nuovo progetto AI deve nascere by design conforme ai requisiti high-risk, anche se oggi non rientra in quella classificazione.

Il costo di integrare tracciabilità e supervisione umana in fase progettuale è una frazione del retrofit. Chi progetta senza considerare l’AI Act sta creando debito tecnico che domani presenterà il conto con gli interessi.

Vantaggio competitivo: perché muoversi sulle scadenze AI Act conviene

L’AI act della Commissione ha superato le 230 adesioniAllianz, Lenovo, Reply, Kaspersky tra i nomi più recenti. Se queste organizzazioni si muovono adesso, qual è il costo reale dell’attesa?

Chi costruisce oggi un sistema di gestione dell’AI robusto non sta solo riducendo il rischio sanzionatorio: sta acquisendo una competenza che diventerà barriera all’ingresso e fattore di fiducia verso clienti, investitori e regolatori.

Chi aspetta la certezza perfetta non riduce il rischio: lo concentra nell’ultimo miglio, dove il tempo è scarso e gli errori costano di più.

La regolazione dell’AI non chiede alle imprese di prevedere il futuro. Chiede qualcosa di più difficile: decidere nel presente senza il lusso della certezza.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

B
Adriano Bertolino
Esperto in Privacy e Cybersecurity
Adriano Bertolino ricopre ruoli di DPO, CyberLegal Officer e Compliance Manager per diverse organizzazioni. Specializzato in casi complessi di data breach e compliance. Ha collaborato con enti pubblici e multinazionali per l’adozione dei processi di conformità al GPDR e Framework di Cybersecurity. Tiene sessioni di formazione sulla compliance normativa e cyber-security presso enti, associazioni di categoria e in master e corsi di perfezionamento presso l’Università Statale di Milano. Lo studio della protezione dei dati personali e della sicurezza delle informazioni nella sua vita rappresenta l’incontro perfetto tra professione e passione per l’innovazione. Inoltre, insieme ad altri colleghi, è impegnato in incontri con i giovani e meno giovani presso scuole e associazione senza scopo di lucro, per divulgare la cultura della sicurezza.
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • Robotic,Cyborg,Hand,Pressing,A,Keyboard,On,A,Laptop,3d

  • vademecum

    Automazione industriale, cos’è: ecco le tecnologie all’avanguardia

    12 Mar 2025

    di Maurizio Carmignani

    Condividi
  • dazi trump sovranità europea

  • lo scenario

    Dazi Trump, così l'Europa può sopravvivere e innovare

    04 Apr 2025

    di Stefano da Empoli

    Condividi
  • robotica a sciame (1)

  • scenari

    Sciami di robot al nostro servizio: ecco le nuove frontiere

    27 Nov 2025

    di Domenico Marino

    Condividi
0
Lascia un commento, la tua opinione conta.x