Il 16 giugno 2026, il Parlamento europeo ha approvato il Digital Omnibus AI, il pacchetto di modifica dell’AI Act inserito nel più ampio settimo pacchetto di semplificazione proposto dalla Commissione europea il 19 novembre 2025. Prima dell’entrata in vigore definitiva manca ancora l’adozione formale da parte del Consiglio dell’UE, ma il testo approvato ridisegna in modo significativo il calendario e alcune regole fondamentali del Regolamento (UE) 2024/1689.
Le nuove scadenze: pausa o ritiro strategico?
Il punto più rilevante dal punto di vista della compliance aziendale riguarda il rinvio degli obblighi per i sistemi di IA ad alto rischio. Gli obblighi per i sistemi standalone ad alto rischio – quelli disciplinati dall’Allegato III dell’AI Act – slittano al 2 dicembre 2027, mentre per i sistemi IA incorporati come componenti di sicurezza in prodotti già coperti da legislazione settoriale europea (macchinari, dispositivi medici, veicoli) il termine viene fissato al 2 agosto 2028.
Si tratta di un rinvio di circa un anno rispetto al calendario originario. Il legislatore europeo ha motivato questa scelta con la necessità di attendere la definizione degli standard tecnici armonizzati e di dotare le imprese degli strumenti interpretativi necessari. Una giustificazione comprensibile: imporre obblighi di conformità senza avere ancora le norme tecniche di riferimento avrebbe esposto gli operatori a una condizione di incertezza giuridica insostenibile.
Il watermarking dei contenuti AI: una data che si avvicina
Un aspetto che merita attenzione è l’obbligo di etichettatura machine-readable dei contenuti generati dall’intelligenza artificiale, che entrerà in vigore già dal 2 dicembre 2026, senza rinvii. Si tratta di un obbligo di trasparenza fondamentale: chi produce o distribuisce contenuti sintetici – testi, immagini, audio, video – dovrà garantire che questi rechino un marcatore leggibile da macchina che ne segnali l’origine artificiale. L’obiettivo è contrastare la disinformazione e tutelare l’integrità del discorso pubblico. Per le imprese attive nel settore dei media, della comunicazione e del marketing, si tratta di una scadenza operativa concreta e imminente che non può essere ignorata.
Il divieto delle app nudifier: finalmente una norma di civiltà
Tra le novità più significative sul piano dei diritti fondamentali figura il divieto esplicito dei sistemi di IA che generano materiale pedopornografico o che producono immagini, video e contenuti audio raffiguranti le parti intime di una persona identificabile o attività sessualmente esplicite senza il consenso dell’interessato. Questo divieto si estende sia ai fornitori, che non potranno immettere tali sistemi sul mercato UE, sia ai deployer che li utilizzassero per tali finalità.
I fornitori avranno tempo fino al 2 dicembre 2026 per adeguarsi.
La ridefinizione del “componente di sicurezza”: implicazioni per le PMI
Un’altra modifica di rilievo pratico riguarda la ridefinizione di “componente di sicurezza”. Il nuovo testo chiarisce che i sistemi IA che si limitano ad assistere l’utente o a ottimizzare le prestazioni non ricadono automaticamente nella categoria ad alto rischio, purché il loro malfunzionamento non comporti rischi per la salute o la sicurezza. Questa precisazione risponde a una preoccupazione legittima del tessuto produttivo europeo, dove molte PMI temevano di vedersi assoggettate a obblighi sproporzionati rispetto all’effettivo impatto dei loro prodotti.
Sul piano giuridico, tuttavia, la definizione apre nuovi spazi di interpretazione che richiederanno orientamenti chiari da parte delle autorità nazionali e dell’AI Office europeo.
Cosa fare adesso
Dal punto di vista della compliance, le imprese non dovrebbero interpretare questi rinvii come un’autorizzazione ad abbassare la guardia. Le scadenze si avvicinano comunque, e costruire un sistema di governance dell’IA richiede tempo. Chi inizia oggi ad analizzare i propri sistemi, a classificarli per livello di rischio e a strutturare la documentazione richiesta arriverà preparato.
