L’articolo in breve

  • L’AI Act prevede obblighi progressivi, con alcune regole già operative e nuove scadenze dal 2026.
  • Dal 2 agosto 2026 entrano in gioco trasparenza, presidi interni e piena applicazione delle sanzioni.
  • Il Digital Omnibus rinvia alcune scadenze per i sistemi AI ad alto rischio, ma il quadro resta da monitorare.
  • Le aziende devono partire da inventario, classificazione dei sistemi, formazione e definizione delle responsabilità.
  • AI compliance e GDPR vanno gestiti insieme, soprattutto in presenza di dati personali.

Il Regolamento (UE) 2024/1689 — l’AI Act — prevede un calendario di applicazione progressivo. Conoscere cosa è già operativo, cosa entrerà in applicazione dal 2 agosto 2026 e quali scadenze sono state ridefinite dal Digital Omnibus è il primo passaggio per costruire un percorso di AI governance ordinato, sostenibile e coerente con i processi aziendali.

Quali sono gli obblighi dell’AI Act già in vigore

Dal 2 febbraio 2025 sono già applicabili le disposizioni generali, l’obbligo di promuovere un livello adeguato di competenza sull’AI per il personale coinvolto nell’uso o nella gestione dei sistemi e i divieti relativi alle pratiche considerate inaccettabili.

Tra le pratiche vietate rientrano, secondo le condizioni previste dall’articolo 5 del Regolamento:

  • l’uso di tecniche manipolative o ingannevoli capaci di distorcere il comportamento di una persona;
  • lo sfruttamento di vulnerabilità legate, ad esempio, ad età, disabilità o specifiche condizioni sociali ed economiche;
  • i sistemi di social scoring che producono trattamenti dannosi o sfavorevoli;
  • il riconoscimento delle emozioni in ambito lavorativo e scolastico, salvo eccezioni specifiche;
  • gli altri utilizzi espressamente elencati dall’articolo 5.

A partire dall’agosto 2025 si applicano gli obblighi per i fornitori di modelli AI per uso generale — i cosiddetti GPAI — con requisiti di trasparenza e documentazione tecnica.

2 agosto 2026: obblighi di trasparenza e avvio delle sanzioni

La scadenza del 2 agosto 2026 amplia il perimetro delle regole applicabili e rende più concreta la necessità di un presidio interno sugli strumenti di Intelligenza Artificiale utilizzati in azienda.

Il primo riguarda gli obblighi di trasparenza previsti dall’articolo 50 del Regolamento, che coinvolgono i sistemi che interagiscono direttamente con le persone — come i chatbot e gli assistenti automatici — e quelli che generano contenuti sintetici: testi, immagini o audio prodotti con il supporto di AI.

Il secondo concerne l’operatività dell’impianto sanzionatorio: da agosto le autorità nazionali di vigilanza sono pienamente attive e le sanzioni previste dal Regolamento possono essere applicate. In Italia la supervisione sui modelli GPAI è affidata all’Agenzia per la Cybersicurezza Nazionale, nel quadro della Legge 132/2025.

Digital Omnibus e AI Act: le nuove scadenze per i sistemi ad alto rischio

Il 29 giugno 2026 il Consiglio dell’Unione europea ha approvato il Digital Omnibus, il pacchetto di modifiche all’AI Act che ridisegna le scadenze per i sistemi classificati ad alto rischio. Il testo è in attesa di pubblicazione in Gazzetta Ufficiale UE, dopo la quale entrerà in vigore tre giorni più tardi. Le nuove date previste per i sistemi ad alto rischio sono:

  • il 2 dicembre 2027 per i sistemi autonomi (Allegato III);
  • il 2 agosto 2028 per quelli integrati in prodotti già disciplinati da normativa settoriale (Allegato I).

Su questo punto è utile essere precisi. Finché il Digital Omnibus non verrà pubblicato in Gazzetta Ufficiale, restano formalmente in vigore le date originarie. La pubblicazione è attesa prima di agosto 2026, con l’obiettivo dichiarato di evitare che la scadenza originaria maturi prima del completamento dell’iter. È un’aspettativa fondata, ma non ancora una certezza giuridica: chi gestisce la compliance in un’organizzazione deve tenerlo presente nella propria pianificazione, continuando a prepararsi come se valesse la scadenza originaria e considerando il rinvio un margine aggiuntivo.

Come avviare l’AI governance in azienda

I rinvii introdotti dal Digital Omnibus ridistribuiscono il lavoro di governance nel tempo, senza ridurne il perimetro. Il lavoro di mappatura, classificazione e organizzazione interna va avviato il prima possibile, perché la qualità del percorso dipende anche dalla continuità con cui viene costruito.

Tale percorso si può strutturare in alcuni passaggi: vediamoli nel dettaglio.

Inventario

Il punto di partenza è avere chiarezza su cosa gira effettivamente nell’organizzazione. Molte aziende utilizzano strumenti AI senza un censimento strutturato:

  • assistenti alla scrittura,
  • sistemi di classificazione documentale,
  • strumenti di analisi predittiva,
  • componenti AI integrati in software di terze parti.

Il Regolamento distingue tra fornitori, deployer, importatori e distributori e lo stesso soggetto può ricoprire ruoli diversi a seconda del sistema considerato. Identificare i sistemi in uso e chiarire il ruolo dell’organizzazione rispetto a ciascuno di essi è il prerequisito di qualsiasi percorso di adeguamento serio.

Classificazione

Il secondo passaggio riguarda la classificazione del livello di rischio, che si basa sull’impatto potenziale su persone, diritti, sicurezza e servizi essenziali: un filtro antispam e un algoritmo utilizzato in un processo di selezione del personale non hanno lo stesso profilo normativo e quindi non richiedono lo stesso livello di presidio.

Un’operazione di classificazione tecnica-organizzativa, senza necessariamente avviare subito una valutazione legale formale, consente di stabilire priorità e dimensionare il lavoro in modo razionale.

Formazione

Sul versante formativo, l’obbligo di garantire un livello adeguato di competenza relativa all’Intelligenza Artificiale per chi lavora con questi strumenti è già operativo. La formazione richiesta deve garantire che chi usa un sistema AI conosca lo strumento utilizzato, ne conosca i limiti e sappia quando è necessario il controllo umano. Per molte organizzazioni questo passaggio è anche il più immediato da avviare e produce effetti positivi sull’utilizzo quotidiano degli strumenti, indipendentemente dalle scadenze normative.

Compliance e GDPR

Chi gestisce dati personali all’interno dei propri sistemi AI deve infine considerare AI compliance e GDPR come un unico percorso. La valutazione della base giuridica, la minimizzazione dei dati, la limitazione della finalità e, ove necessario, la valutazione d’impatto sulla protezione dei dati fanno parte dello stesso disegno organizzativo. Affrontarli separatamente genera ridondanze e, molto spesso, lacune.

AI Act compliance: perché conviene costruire adesso il percorso

Le organizzazioni che avanzano il percorso di compliance in base alle urgenze difficilmente riescono a costruire un assetto di governance AI sostenibile nel tempo. Al contrario, avviare il processo il prima possibile significa poter costruire un inventario accurato, definire ruoli e responsabilità con la giusta attenzione e affrontare le scadenze future con un sistema già rodato.

La complessità normativa dell’AI Act è reale, ma è possibile gestirla con metodo. Sapere quali strumenti si stanno utilizzano in azienda e muoversi con consapevolezza è il percorso per costruire un assetto solido e affidabile.

*Questo articolo ha finalità informative e non sostituisce una valutazione legale o di compliance specifica. Il quadro normativo è in evoluzione: per gli adempimenti formali si raccomanda il confronto con un consulente qualificato.*

Ti interessa questo tema? Iscriviti alla nostra newsletter mensile! Riceverai aggiornamenti su AI, innovazione e trasformazione digitale. VAI!