Cosa è successo
Il Parlamento UE (26 marzo 2026, 569 voti a favore) e il Consiglio (13 marzo) hanno adottato le rispettive posizioni sul Digital Omnibus on AI, che modifica l’AI Act posticipando le scadenze per i sistemi AI ad alto rischio. I triloghi sono in corso per raggiungere il testo finale.
In breve: le scadenze per i sistemi AI ad alto rischio slittano di 16 mesi. Ma non tutto è rinviato, e aspettare non è una strategia.
Timeline: prima vs dopo
| Obbligo | Scadenza originale | Nuova scadenza proposta |
|---|---|---|
| Divieti (pratiche proibite) | 2 feb 2025 | Invariato |
| Obblighi GPAI | 2 ago 2025 | Invariato |
| Sistemi alto rischio Annex III | 2 ago 2026 | 2 dicembre 2027 (+16 mesi) |
| Sistemi alto rischio Annex I (in prodotti regolati) | 2 ago 2027 | 2 agosto 2028 (+12 mesi) |
Backstop: Se il Digital Omnibus non viene adottato prima di agosto 2026, le scadenze originali restano in vigore automaticamente.
Perché il rinvio
Non è una decisione politica. È un’ammissione che l’ecosistema non era pronto:
- Standard in ritardo: CEN-CENELEC JTC21 ha chiuso la fase di inquiry solo a gennaio 2026. Il pacchetto completo di standard armonizzati è atteso per Q4 2026. Senza standard, le aziende non sanno a cosa conformarsi.
- Organismi notificati non pronti: i notified body hanno già agende piene. Non c’è capacità di mercato per le conformity assessment.
- Autorità nazionali assenti: molti Stati membri non hanno ancora designato la propria autorità nazionale AI.
Cosa resta invariato
Tre blocchi di obblighi sono già in vigore e non cambiano:
- Pratiche proibite (art. 5): social scoring, manipolazione subliminale, sorveglianza biometrica real-time. In vigore dal 2 febbraio 2025.
- Obblighi GPAI (art. 51-55): documentazione tecnica, policy copyright, trasparenza per i provider di modelli general-purpose. In vigore dal 2 agosto 2025.
- Trasparenza base (art. 50): obbligo di dichiarare che un contenuto è generato da AI (deepfake, chatbot).
Se usate un sistema AI che rientra nelle pratiche proibite, il delay non vi protegge. Se siete provider GPAI, i vostri obblighi sono già attivi.
Le 8 categorie ad alto rischio che slittano
Tutte le categorie Annex III slittano a dicembre 2027:
- Biometria — identificazione, categorizzazione, riconoscimento emotivo
- Infrastrutture critiche — gestione traffico, reti, acqua, gas, energia
- Istruzione — ammissioni, valutazioni, monitoraggio studenti
- Lavoro e occupazione — screening CV, selezione, valutazione performance
- Servizi essenziali — credit scoring, assicurazioni, accesso a welfare
- Law enforcement — valutazione rischio, profiling
- Migrazione e confini — verifica documenti, valutazione rischio asilo
- Giustizia — ricerca giurisprudenza, analisi fatti
Impatto per settore
| Settore | Sistemi tipici | Nuova deadline | Cosa fare |
|---|---|---|---|
| Banche/Finanza | Credit scoring, antifrode, KYC | Dic 2027 | Integrare compliance AI Act nel framework DORA esistente |
| HR/Recruiting | Screening CV, assessment, performance | Dic 2027 | Iniziare bias audit e documentazione — tempo extra prezioso |
| Sanità | Diagnostica AI, triage | Ago 2028 | Verificare se il sistema è Annex III o Annex I — deadline diverse |
| Assicurazioni | Pricing AI, risk assessment, claims | Dic 2027 | Integrare con framework assicurativo esistente |
| PA/Giustizia | Welfare scoring, sentencing support | Dic 2027 | Alto impatto reputazionale — non ritardare |
Cosa fare adesso
Se avete già iniziato la compliance
Il lavoro non è perso. Le obbligazioni fondamentali non cambiano, solo la deadline di enforcement. Chi ha già avviato risk assessment, documentazione tecnica e governance interna è in vantaggio competitivo. Usate il tempo extra per:
- Attendere gli standard armonizzati finali (Q4 2026)
- Calibrare la conformity assessment sugli standard definitivi
- Testare i sistemi di monitoraggio post-deployment
Se non avete ancora iniziato
Il delay dà 16 mesi in più, ma un percorso completo di compliance AI Act richiede 8-14 mesi. I notified body hanno già agende piene. E il backstop è reale: se il Digital Omnibus non passa, le scadenze originali (agosto 2026) restano.
Minimo indispensabile entro Q3 2026: classificazione dei vostri sistemi AI e gap analysis.
Il messaggio
Il delay non è un’esenzione. È un’ammissione che l’ecosistema non era pronto. Le regole restano le stesse — solo la data di enforcement cambia. Chi inizia ora avrà 16 mesi extra per fare le cose bene. Chi aspetta rischia di trovarsi in coda ai notified body quando tutti si muoveranno insieme.
La consulenza AI Act specializzata vi permette di partire con la classificazione e la gap analysis adesso, senza aspettare gli standard definitivi. Il vantaggio competitivo si costruisce prima della scadenza, non dopo.
Fonti: Consiglio UE | Taylor Wessing | OneTrust | Addleshaw Goddard