Omnibus AI 2026: Nuove Scadenze di Conformità Spiegate

Il Digital Omnibus 2026 sull'IA ha prorogato due scadenze critiche del Regolamento sull'IA: i sistemi autonomi ad alto rischio dell'Allegato III al 2 dicembre 2027 e i sistemi integrati dell'Allegato I al 2 agosto 2028. Ecco cosa è cambiato, perché e cosa deve fare adesso il vostro programma di conformità.

Cosa modifica il Digital Omnibus 2026 sull'IA

Il Digital Omnibus sull'IA ha modificato due date di applicazione centrali del Regolamento UE 2024/1689 (il Regolamento UE sull'IA):

Obbligo	Scadenza originale	Nuova scadenza	Modifica
IA ad alto rischio — Allegato III (sistemi autonomi)	2 agosto 2026	2 dicembre 2027	+16 mesi
IA ad alto rischio — Allegato I (integrato in prodotti regolamentati)	2 agosto 2026	2 agosto 2028	+24 mesi

Nessun'altra scadenza principale è stata modificata. Le pratiche vietate (2 febbraio 2025), le norme GPAI (2 agosto 2025) e gli obblighi di trasparenza per la marcatura dei contenuti GPAI (2 agosto 2025) rimangono in vigore alle date originali.

Perché l'omnibus ha differito le scadenze per l'IA ad alto rischio

La Commissione europea ha citato tre motivi:

Allineamento con gli atti di esecuzione — le norme tecniche e le norme armonizzate per la valutazione dell'IA ad alto rischio (programma di lavoro CEN/CENELEC) non erano state finalizzate in tempo per agosto 2026. Le valutazioni della conformità richiedono queste norme.
Gap nell'infrastruttura di conformità — gli organismi notificati, le autorità nazionali competenti e l'Ufficio AI dell'UE avevano bisogno di tempo aggiuntivo per la configurazione. Senza un'infrastruttura di applicazione operativa, una scadenza all'agosto 2026 sarebbe stata inapplicabile nella pratica.
Prontezza delle PMI — i fornitori più piccoli, in particolare nel settore medtech, tecnologia HR e servizi finanziari, hanno segnalato tempo insufficiente per completare l'implementazione del SGQ e la documentazione tecnica insieme agli obblighi paralleli di DORA e NIS2.

La proroga è un periodo di grazia, non una riduzione dell'ambito. Tutti gli obblighi rimangono; solo la loro cronologia cambia.

Allegato III — IA ad alto rischio autonoma (scadenza: 2 dicembre 2027)

L'Allegato III autonomo copre i sistemi AI che sono essi stessi immessi sul mercato o messi in servizio come sistemi ad alto rischio, senza essere un componente di sicurezza di un altro prodotto. Esempi:

IA per il reclutamento e lo screening HR (classificazione dei curricula, analisi dei colloqui)
IA per lo scoring creditizio e la valutazione del merito creditizio
Categorizzazione biometrica (non l'identificazione in tempo reale, che è vietata)
IA utilizzata nella gestione delle infrastrutture critiche
IA nella valutazione dell'istruzione e della formazione professionale
IA utilizzata dalle forze dell'ordine e dalle autorità di migrazione

Obblighi del fornitore entro il 2 dicembre 2027:

Completare una valutazione della conformità ai sensi dell'Art. 43
Implementare un sistema di gestione della qualità (Art. 17)
Compilare la documentazione tecnica (Art. 11 + Allegato IV)
Registrare il sistema nella banca dati AI dell'UE (Art. 71)
Apporre la marcatura CE (Art. 48)
Nominare un rappresentante UE se stabiliti al di fuori dell'UE

Obblighi del deployer (anche entro il 2 dicembre 2027):

Condurre una Valutazione dell'Impatto sui Diritti Fondamentali (FRIA) per i deployer enti pubblici
Attuare misure di supervisione umana (Art. 26)
Documentare gli input e gli output (Art. 26(6))
Informare i dipendenti dove le decisioni assistite dall'IA li riguardano

Allegato I — IA ad alto rischio integrata (scadenza: 2 agosto 2028)

L'Allegato I integrato copre le IA che formano un componente di sicurezza di un prodotto già regolamentato ai sensi della normativa UE esistente in materia di sicurezza dei prodotti. La conformità al Regolamento sull'IA è integrata nella procedura di valutazione della conformità esistente per quel prodotto. Esempi:

Componenti AI nei dispositivi medici (MDR/IVDR)
IA nei sistemi automobilistici (quadri di omologazione)
IA nei macchinari (Regolamento Macchinari)
IA nei componenti aeronautici
IA nei giocattoli e nei prodotti di consumo (bassa tensione/EMC)

L'ulteriore estensione di due anni (rispetto ai 16 mesi per l'Allegato III) riflette la complessità a strati della valutazione della conformità in due regimi normativi simultaneamente.

Ciò che è cambiato è la scadenza — non gli obblighi

Una lettura errata comune dell'omnibus: la proroga della scadenza significa che gli obblighi vengono ammorbiditi. Non è così.

La valutazione della conformità, il SGQ, la documentazione tecnica, la marcatura CE e i requisiti di registrazione sono identici a quelli richiesti prima dell'agosto 2026. L'omnibus non riduce l'ambito, crea esenzioni o aggiunge deroghe transitorie. Sposta il traguardo.

Implicazione pratica: le organizzazioni che utilizzano la proroga come pretesto per sospendere i programmi di conformità si troveranno ad affrontare una stretta più difficile alla fine del 2027. L'uso più produttivo del tempo aggiuntivo è completare l'implementazione del SGQ, testare la documentazione tecnica rispetto alle bozze di norme armonizzate e impegnarsi con gli organismi notificati in anticipo — la loro capacità sarà vincolata con l'avvicinarsi della scadenza di dicembre 2027.

Pratiche vietate già in vigore

Questi divieti ai sensi dell'Art. 5 si applicano dal 2 febbraio 2025 e non sono stati toccati dall'omnibus:

Manipolazione subliminale — tecniche AI che sfruttano le vulnerabilità subconscie per alterare il comportamento contro gli interessi degli utenti
Sfruttamento delle vulnerabilità — prendere di mira bambini, anziani o gruppi svantaggiati
Social scoring — punteggio generale basato sull'IA delle persone fisiche da parte delle autorità pubbliche
Identificazione biometrica remota in tempo reale in spazi accessibili al pubblico da parte delle forze dell'ordine (con strette eccezioni)
Riconoscimento delle emozioni sul posto di lavoro e negli istituti scolastici
Sistemi di categorizzazione biometrica che deducono caratteristiche sensibili (razza, opinioni politiche, appartenenza sindacale, orientamento sessuale, religione) — salvo per legittime finalità di contrasto con autorizzazione giudiziaria
NCII/CSAM — la generazione o manipolazione di immagini intime non consensuali o materiale pedopornografico mediante IA è vietata

La non conformità ai divieti dell'Art. 5 dal 2 febbraio 2025 comporta sanzioni fino a €35 milioni o 7% del fatturato annuo mondiale, a seconda di quale sia il maggiore.

Norme sui modelli GPAI: già applicabili

Gli obblighi GPAI del Capitolo 5 si applicano dal 2 agosto 2025:

Tutti i fornitori GPAI devono rispettare gli obblighi di trasparenza (Art. 53)
I fornitori di modelli GPAI con rischio sistemico (sopra i 10²⁵ FLOPs di calcolo di addestramento) affrontano obblighi aggiuntivi inclusi test avversariali e segnalazione degli incidenti
La marcatura dei contenuti generati dall'IA (watermarking) per i media sintetici si applica ai sistemi GPAI generativi

Convergenza con DORA e NIS2

Le organizzazioni nei servizi finanziari affrontano il triplo onere degli obblighi AI Act, DORA e NIS2 con cronologie sovrapposte. Intersezioni chiave:

La gestione del rischio ICT ai sensi di DORA (Art. 5–16) deve coprire i sistemi ICT basati sull'IA — DORA non esonera gli strumenti AI dal suo quadro di rischio ICT
La segnalazione degli incidenti ai sensi di DORA (Art. 19–23) si applica agli incidenti causati da o che coinvolgono sistemi AI
Le misure di sicurezza NIS2 (Art. 21) includono i rischi informatici legati all'IA nell'ambito di applicazione
La gestione del rischio dell'Art. 9 del Regolamento sull'IA per l'IA ad alto rischio si sovrappone significativamente alla gestione del rischio ICT di DORA — la doppia mappatura è possibile e raccomandata per evitare documentazione duplicata

Consultate la nostra analisi di convergenza completa → o il nostro sito gemello regulation-dora.eu per una copertura specifica di DORA.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-19 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Quando si applicano gli obblighi ad alto rischio del Regolamento sull'IA ora ai sensi dell'omnibus?

Per i sistemi autonomi dell'Allegato III (ad es. IA per il reclutamento, scoring creditizio, categorizzazione biometrica): 2 dicembre 2027. Per i sistemi AI integrati nei prodotti regolamentati dell'Allegato I (ad es. dispositivi medici, macchinari): 2 agosto 2028.

Cos'è il Digital Omnibus sull'IA?

Il Digital Omnibus sull'IA è un emendamento legislativo UE, formalmente adottato a metà 2026, che ha rivisto diverse scadenze e obblighi del Regolamento (UE) 2024/1689 (il Regolamento sull'IA). Il suo scopo principale era dare ai fornitori e ai deployer più tempo per costruire quadri di governance AI conformi, in particolare per le categorie ad alto rischio.

Anche le scadenze delle pratiche vietate (Art. 5) sono state differite dall'omnibus?

No. I divieti sull'IA a rischio inaccettabile — inclusa la manipolazione subliminale, il social scoring, l'identificazione biometrica in tempo reale in spazi pubblici (con eccezioni) e la generazione di NCII/CSAM — si applicano dal 2 febbraio 2025 e non sono stati modificati dall'omnibus.

Le norme sui modelli GPAI cambiano ai sensi dell'omnibus?

Gli obblighi GPAI (Capitolo 5 del Regolamento sull'IA) rimangono anch'essi al 2 agosto 2025. L'omnibus ha mirato solo agli obblighi ad alto rischio dell'Allegato III e dell'Allegato I.

Cosa devono fare le organizzazioni prima del 2 dicembre 2027 per l'IA dell'Allegato III?

I fornitori devono: completare una valutazione della conformità, implementare un sistema di gestione della qualità (SGQ), registrarsi nella banca dati UE, apporre la marcatura CE e preparare la documentazione tecnica. I deployer devono: condurre valutazioni d'impatto sui diritti fondamentali, attuare la supervisione umana e documentare tutti gli usi di IA ad alto rischio.

La proroga della scadenza modifica gli obblighi — o solo la loro cronologia?

La proroga è puramente temporale: nessun obbligo viene rimosso. Gli stessi requisiti di valutazione della conformità, documentazione tecnica, SGQ, marcatura CE, registrazione e trasparenza si applicano — devono semplicemente essere rispettati entro le nuove date.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.