You are here
AI Act e Digital Omnibus: le scadenze cambiano, gli obblighi restano.

THE INTEGRITY TIMES

ANALISI  ·  NORMATIVA  ·  GOVERNANCE

Norme & Compliance  ·  Analisi Normativa

AI Act e Digital Omnibus: le scadenze cambiano, gli obblighi restano.

Il 26 marzo 2026 il Parlamento europeo ha approvato il Digital Omnibus: le scadenze per i sistemi AI ad alto rischio slittano dal 2 agosto 2026 al 2 dicembre 2027 (Allegato III) e al 2 agosto 2028 (Allegato I). Ma il testo non è ancora definitivo — i triloghi con il Consiglio UE sono aperti — e intanto i divieti, gli obblighi di trasparenza, l’AI Literacy e la Legge italiana 132/2025 restano pienamente operativi. Chi interpreta il rinvio come un via libera sta commettendo un errore che potrebbe costare caro.

The Integrity Times  ·  Norme & Compliance  ·  Aprile 2026  ·  Fonti: GU UE L 2024/1689 del 12.07.2024 · Reg. (UE) 2024/1689 · Digital Omnibus COM(2025) 836 · PE 26 marzo 2026 · L. 23 settembre 2025, n. 132 · Commissione Europea · EUR-Lex · ISTAT

Fino al 2 febbraio 2025, l’AI Act era per molti una norma sul futuro. Da quella data i divieti per i sistemi a rischio inaccettabile sono operativi. Dal 2 agosto 2025 si applicano le regole per i modelli AI di uso generale. Il 2 agosto 2026 era la terza ondata — quella che avrebbe reso obbligatoria la conformità per i sistemi ad alto rischio dell’Allegato III. Il 26 marzo 2026 quella data è stata rimessa in discussione: il Parlamento europeo ha approvato, con 569 voti favorevoli, la propria posizione sul Digital Omnibus, che sposta le scadenze per i sistemi ad alto rischio al 2027 e al 2028. Il testo, tuttavia, non è ancora legge: i triloghi con il Consiglio dell’UE sono aperti e fino a un accordo definitivo le scadenze originali dell’AI Act rimangono formalmente in vigore. Nel frattempo, gli obblighi già operativi — divieti, trasparenza, AI Literacy, Legge 132/2025 — non sono toccati da alcun rinvio. Chi interpreta il Digital Omnibus come un’amnistia normativa sta leggendo un testo che non esiste ancora come tale.

1. Il Digital Omnibus: cosa è stato approvato, cosa non lo è ancora

Il 19 novembre 2025 la Commissione europea ha avanzato la proposta COM(2025) 836 — il Digital Omnibus — un pacchetto di semplificazione normativa che include, tra l’altro, una modifica all’art. 113 del Regolamento AI Act (Entrata in vigore e applicazione). La motivazione dichiarata è pragmatica: gli standard armonizzati CEN-CENELEC sono in ritardo, molti Stati membri non hanno ancora designato le proprie autorità competenti, e il quadro di supporto alla conformità non è ancora disponibile nella misura necessaria perché le imprese possano adeguarsi con certezza giuridica.

Il 26 marzo 2026, il Parlamento europeo ha adottato la propria posizione sul Digital Omnibus con 569 voti favorevoli, 45 contrari e 23 astensioni — una maggioranza molto ampia. La posizione del Parlamento supera il meccanismo condizionale proposto dalla Commissione e introduce scadenze fisse e certe:

Digital Omnibus — Posizione PE del 26 marzo 2026 (in attesa di accordo con il Consiglio UE)

  • 2 dicembre 2027 — nuova scadenza per i sistemi ad alto rischio dell’Allegato III (biometria, infrastrutture critiche, istruzione, occupazione, servizi essenziali, gestione delle frontiere, giustizia)
  • 2 agosto 2028 — nuova scadenza per i sistemi ad alto rischio dell’Allegato I (sistemi AI integrati in prodotti regolamentati: dispositivi medici, macchinari, veicoli)
  • 2 novembre 2026 — scadenza per il watermarking (filigrana digitale) dei contenuti generati da AI — audio, immagini, video, testi — per i sistemi già immessi sul mercato prima del 2 agosto 2026
  • Non rinviati: obblighi di trasparenza (Art. 50) dal 2 agosto 2026, AI Literacy (Art. 4) già in vigore, divieti pratiche inaccettabili già in vigore, obblighi per la PA non differiti, Legge 132/2025 pienamente operativa
  • Nuove pratiche vietate introdotte dal Digital Omnibus: divieto esplicito di AI per la generazione non consensuale di materiale intimo (nudificazione) e di materiale pedopornografico

Il Digital Omnibus non è ancora testo definitivo. La posizione approvata dal Parlamento europeo il 26 marzo 2026 è il mandato negoziale europeo. Prima di diventare legge, il testo deve essere concordato in trilogo con il Consiglio dell’Unione europea. Fino a quel momento, le scadenze originali dell’AI Act — compreso il 2 agosto 2026 per i sistemi ad alto rischio dell’Allegato III — rimangono formalmente vigenti. Pianificare la compliance sul presupposto del rinvio, senza che l’accordo sia concluso, è una scelta di rischio che la funzione legale e la funzione compliance di qualsiasi organizzazione devono valutare consapevolmente.

— Osservazione editoriale, The Integrity Times

Indipendentemente dall’esito del trilogo, il Digital Omnibus ha già prodotto un effetto concreto: ha reso visibile il problema. Le autorità di enforcement di diversi Stati membri hanno segnalato di non essere pronte ad applicare le norme sui sistemi ad alto rischio. La Commissione europea non ha rispettato la propria scadenza del 2 febbraio 2026 per la pubblicazione degli orientamenti pratici sull’art. 6. Gli standard armonizzati non sono disponibili. Questo non è un argomento per non adeguarsi: è un argomento per adeguarsi con metodo, partendo dalle basi che non dipendono da nessun trilogo.

1. L’architettura del Regolamento: quattro livelli di rischio, obblighi proporzionali

Il Regolamento (UE) 2024/1689, pubblicato nella Gazzetta Ufficiale dell’Unione Europea del 12 luglio 2024 ed entrato in vigore il 1° agosto 2024, è il primo quadro normativo organico al mondo dedicato all’intelligenza artificiale. Il suo principio architettonico è il risk-based approach: più alto è il potenziale impatto di un sistema AI sui diritti fondamentali, sulla salute, sulla sicurezza o sulle opportunità delle persone, più stringenti sono gli obblighi per chi lo sviluppa e per chi lo utilizza.

Il Regolamento individua quattro categorie:

Le quattro categorie di rischio del Reg. (UE) 2024/1689

  • Rischio inaccettabile (vietato): sistemi che manipolano il comportamento umano, implementano social scoring governativo, utilizzano biometria in tempo reale in spazi pubblici. In vigore dal 2 febbraio 2025.
  • Alto rischio (Allegato III e Allegato I): sistemi impiegati in settori critici che incidono su diritti, salute, sicurezza, accesso a opportunità. Obblighi di documentazione tecnica, gestione del rischio, supervisione umana, registrazione nel database UE. Scadenza originale AI Act (ancora formalmente vigente): 2 agosto 2026 per Allegato III; 2 agosto 2027 per Allegato I. Posizione PE approvata il 26 marzo 2026 (Digital Omnibus, in attesa di accordo definitivo con il Consiglio): 2 dicembre 2027 per Allegato III; 2 agosto 2028 per Allegato I.
  • Rischio limitato (trasparenza): sistemi che interagiscono con utenti umani — chatbot, sistemi di generazione di contenuti, deepfake. Obbligo principale: informare l’utente che sta interagendo con un sistema AI. Dal 2 agosto 2026 (non soggetto al rinvio del Digital Omnibus).
  • Rischio minimo o nullo: la maggior parte dei sistemi AI attualmente in uso (filtri antispam, strumenti di produttività generica). Nessun obbligo specifico aggiuntivo oltre alla normativa di settore applicabile.

Il cuore dell’adeguamento al 2 agosto 2026 riguarda la categoria ad alto rischio. Non si tratta di un numero esiguo di sistemi specializzati: l’Allegato III del Regolamento copre otto domini applicativi che toccano direttamente l’attività quotidiana di molte organizzazioni italiane, comprese quelle che non si considerano “aziende tecnologiche”.

2. I sistemi ad alto rischio che non sapevi di avere: l’Allegato III

L’Allegato III del Regolamento elenca gli otto domini nei quali un sistema AI è presunto ad alto rischio — salvo che il fornitore non documenti formalmente, prima dell’immissione sul mercato, le ragioni per cui il sistema non rientra in tale classificazione. Un’esenzione documentale che è essa stessa un obbligo di conformità.

Allegato III — Categorie di sistemi AI ad alto rischio (Reg. UE 2024/1689)

  • 1. Identificazione biometrica remota: sistemi di riconoscimento facciale, identificazione biometrica, categorizzazione biometrica in spazi accessibili al pubblico
  • 2. Infrastrutture critiche: sistemi AI per la gestione di reti di distribuzione dell’energia, acqua, gas, trasporti — inclusi sistemi industriali connessi
  • 3. Istruzione e formazione professionale: sistemi per determinare l’accesso o l’assegnazione a percorsi formativi, valutare i risultati di apprendimento, monitorare comportamenti durante esami
  • 4. Occupazione e gestione dei lavoratori: ATTENZIONE sistemi per il reclutamento, la selezione del personale (screening CV, ranking candidati), la gestione delle performance, l’assegnazione di compiti tramite sistemi di monitoraggio del comportamento
  • 5. Accesso a servizi essenziali privati e pubblici: ATTENZIONE sistemi di credit scoring per la valutazione dell’affidabilità creditizia, scoring assicurativo, accesso a prestazioni sociali e servizi sanitari
  • 6. Law enforcement: sistemi usati dalle autorità di polizia per la valutazione del rischio individuale, la poligrafia, il rilevamento di stati emotivi in indagini
  • 7. Migrazione, asilo, controllo delle frontiere: sistemi per la valutazione del rischio di persone che attraversano le frontiere, verifica dell’autenticità di documenti, decisioni sulle domande di asilo
  • 8. Amministrazione della giustizia e processi democratici: sistemi per l’interpretazione dei fatti o della legge in procedimenti giudiziali, sistemi usati per influenzare l’esito di elezioni

Due domini meritano attenzione specifica per il pubblico professionale di questa rivista. Il dominio 4 — occupazione e gestione dei lavoratori — colpisce qualsiasi organizzazione che utilizzi software HR con funzionalità predittive o di scoring. Il dominio 5 — accesso ai servizi essenziali — colpisce direttamente banche, assicurazioni e intermediari finanziari che utilizzano sistemi automatizzati per la valutazione del merito creditizio o del profilo di rischio. Entrambi i casi interessano milioni di aziende italiane che non si sono mai considerate “operatori AI”.

La classificazione ad alto rischio non dipende dalla denominazione commerciale del software. Dipende dalla funzione che quel sistema svolge nel processo decisionale. Un software gestionale che include un modulo di scoring del personale, un CRM che incorpora funzionalità predittive sull’affidabilità dei clienti, una piattaforma di recruitment che ordina automaticamente i candidati: sono tutti sistemi ad alto rischio ai sensi dell’Allegato III — indipendentemente da come il fornitore li ha etichettati.

— Osservazione editoriale, The Integrity Times

3. Provider o deployer? La distinzione che cambia tutto

Il Regolamento introduce una distinzione fondamentale, che costituisce probabilmente il punto più critico — e più sottovalutato — dell’intero framework: la differenza tra fornitore (provider) e utilizzatore (deployer).

Provider vs Deployer — Reg. (UE) 2024/1689, Art. 3

  • Provider (fornitore): chi progetta, sviluppa e immette sul mercato o in servizio un sistema AI — con il proprio nome o marchio. Ha gli obblighi più gravosi: documentazione tecnica completa, valutazione di conformità, registrazione nel database EU, sorveglianza post-market. Se un’organizzazione personalizza un modello di AI attraverso il fine-tuning per un caso d’uso specifico, può essere qualificata come provider — anche se non ha sviluppato il modello di base.
  • Deployer (utilizzatore): chi utilizza un sistema AI già sviluppato da terzi nel proprio contesto operativo. Obblighi meno estesi ma concreti e non delegabili: supervisione umana effettiva, formazione del personale, gestione del rischio operativo, trasparenza verso gli utenti finali, valutazione d’impatto sui diritti fondamentali per i sistemi ad alto rischio.

Il punto critico è questo: essere deployer non significa essere esenti dal Regolamento. Significa avere obblighi propri, distinti da quelli del fornitore del software, che non possono essere trasferiti contrattualmente al provider. Un’organizzazione che acquista una piattaforma SaaS con funzionalità AI per la selezione del personale non può limitarsi a richiedere al fornitore una dichiarazione di conformità e considerarsi a posto. Quella dichiarazione riguarda il fornitore. I propri obblighi come deployer — supervisione umana, formazione, gestione del rischio, trasparenza verso i candidati — devono essere adempiuti autonomamente.

La stima ISTAT del dicembre 2025 — il 16,4% delle imprese italiane con almeno 10 addetti utilizza almeno una tecnologia di intelligenza artificiale, raddoppiato dall’8,2% del 2024 — suggerisce che il numero di organizzazioni che si trovano, spesso inconsapevolmente, nella posizione di deployer di sistemi potenzialmente ad alto rischio è in rapida crescita. La crescita dell’adozione non è stata accompagnata da una parallela crescita della consapevolezza normativa.

4. Gli obblighi per i sistemi ad alto rischio: cosa prevede il Regolamento

Per i sistemi classificati ad alto rischio ai sensi dell’Allegato III, il Regolamento impone un corpus di obblighi articolato e verificabile. Gli obblighi variano in funzione del ruolo — provider o deployer — ma nessun operatore è esente.

Obblighi principali per i sistemi ad alto rischio — Reg. (UE) 2024/1689, Artt. 9-27

  • Sistema di gestione del rischio (Art. 9): processo iterativo e continuo per identificare, analizzare e mitigare i rischi del sistema AI durante l’intero ciclo di vita — non una valutazione una tantum
  • Governance dei dati (Art. 10): i dati di addestramento, validazione e test devono soddisfare criteri di qualità, pertinenza e rappresentatività; devono essere esenti da bias che possano generare discriminazioni
  • Documentazione tecnica (Art. 11): da predisporre prima dell’immissione sul mercato e da tenere costantemente aggiornata; deve dimostrare la conformità ai requisiti del Regolamento
  • Registrazione automatica (Art. 12): i sistemi ad alto rischio devono essere in grado di registrare automaticamente gli eventi rilevanti durante il funzionamento — audit trail obbligatorio per la tracciabilità delle decisioni
  • Trasparenza e informazione agli utenti (Art. 13): gli utilizzatori devono ricevere istruzioni d’uso chiare sulle capacità e i limiti del sistema, sul tipo di dati in ingresso, sull’interpretazione degli output
  • Supervisione umana (Art. 14): OBBLIGO DEPLOYER misure organizzative che garantiscano che una persona fisica possa comprendere, sorvegliare e — se necessario — ignorare o sospendere l’output del sistema
  • Accuratezza, robustezza e cybersicurezza (Art. 15): il sistema deve essere resiliente agli errori, ai guasti e alle manipolazioni, con livelli di accuratezza dichiarati nella documentazione tecnica
  • Valutazione d’impatto sui diritti fondamentali (Art. 27): OBBLIGO DEPLOYER obbligatoria per i deployer del settore pubblico e per quelli privati che forniscono servizi di pubblica utilità (banche, assicurazioni, istruzione, sanità)
  • Registrazione nel database UE (Art. 49): i sistemi ad alto rischio devono essere registrati nel database europeo pubblico prima dell’immissione sul mercato o della messa in servizio

L’obbligo di supervisione umana effettiva merita un’attenzione speciale. Il Regolamento non chiede una supervisione formale o documentale: chiede che la persona fisica incaricata della sorveglianza sia in grado di comprendere realmente le capacità e i limiti del sistema, di interpretare i suoi output, e di non applicare il risultato del sistema quando ritiene che la decisione automatizzata non sia appropriata. Questo significa che l’obbligo di formazione del personale non è separabile dall’obbligo di supervisione: un supervisore che non comprende come funziona il sistema non esercita supervisione — esercita ratifica automatica, che è esattamente quello che il Regolamento vuole prevenire.

5. Il doppio livello normativo: AI Act + Legge 132/2025

A differenza di DORA — che richiedeva un decreto di adeguamento nazionale — l’AI Act è un regolamento europeo direttamente applicabile. Non necessita di recepimento. Tuttavia, il Regolamento lascia agli Stati membri specifici spazi di discrezionalità: la designazione delle autorità nazionali competenti, la definizione del quadro sanzionatorio per alcune violazioni, la creazione delle regulatory sandbox, la disciplina delle professioni regolamentate.

L’Italia ha riempito questi spazi con la Legge 23 settembre 2025, n. 132, entrata in vigore il 10 ottobre 2025. È il primo quadro normativo nazionale organico dedicato all’intelligenza artificiale, e introduce elementi che il Regolamento europeo non contemplava direttamente.

Elementi principali della Legge 132/2025 — il livello italiano

  • Autorità nazionali designate: AgID (Agenzia per l’Italia Digitale) è l’autorità di notifica per gli organismi di valutazione della conformità; ACN (Agenzia per la Cybersicurezza Nazionale) è l’autorità di sorveglianza del mercato AI, con poteri ispettivi e sanzionatori. Per i sistemi AI ad alto rischio usati da istituti finanziari, l’autorità di sorveglianza del mercato è l’autorità di vigilanza finanziaria competente (Banca d’Italia, Consob, IVASS) — creando un raccordo esplicito con il perimetro DORA
  • Principio antropocentrico vincolante: l’AI è definita strumento di supporto — la decisione finale deve restare in capo a una persona fisica con supervisione effettiva, in particolare nelle professioni intellettuali regolamentate e nella pubblica amministrazione
  • Professioni regolamentate: software AI per ambito legale, medico, ingegneristico e altre professioni ordinistiche deve prevedere la supervisione e la responsabilità finale del professionista iscritto all’albo. Impatto diretto su legaltech, healthtech, engineeringtech
  • Tutela penale rafforzata per i deepfake: nuova fattispecie per la diffusione illecita di contenuti deepfake lesivi dell’onore o della reputazione (reclusione da 1 a 5 anni); aggravante per reati commessi tramite AI
  • Trasparenza algoritmica nel lavoro: rafforza l’art. 1-bis D.Lgs. 152/1997 — chi usa AI nel recruiting e nella gestione del personale deve fornire ai lavoratori informativa rafforzata su logica, finalità, dati utilizzati, impatti previsti
  • Modelli organizzativi (D.Lgs. 231/2001): l’entrata in vigore della L. 132/2025 impone a tutti i soggetti tenuti all’adozione di modelli 231 l’aggiornamento del sistema di prevenzione per includere i rischi correlati all’impiego di sistemi AI e la nuova aggravante comune per reati commessi tramite AI
  • Regulatory sandbox: AgID e ACN possono istituire congiuntamente spazi di sperimentazione controllata per testare sistemi AI innovativi con supervisione delle autorità; l’accesso è riservato a progetti con piani di gestione del rischio documentati
  • Decreti attuativi attesi: la L. 132/2025 è una legge-quadro che rimanda a decreti attuativi, da emanarsi entro 12 mesi dalla sua entrata in vigore, la definizione di aspetti operativi cruciali. Questo significa che il quadro normativo è tuttora in evoluzione e richiede monitoraggio attivo

Per le imprese italiane la compliance all’AI Act non è un esercizio a livello unico. È una compliance su due piani sovrapposti: il Regolamento europeo, direttamente applicabile e immutabile, e la Legge 132/2025, che aggiunge vincoli nazionali, introduce nuove fattispecie penali e ridisegna le responsabilità nelle professioni regolamentate. Chi affronta solo il livello europeo sta adempiendo in modo parziale. Chi non affronta né l’uno né l’altro sta accumulando violazioni su due fronti simultaneamente.

— Osservazione editoriale, The Integrity Times

6. La mappa delle scadenze

Data Milestone
1 agosto 2024 Entrata in vigore del Reg. (UE) 2024/1689 — AI Act
2 febbraio 2025 SCADUTOApplicabilità pratiche vietate (rischio inaccettabile) e AI Literacy (Art. 4)
2 agosto 2025 SCADUTOObblighi per i modelli GPAI (General Purpose AI), governance nazionale, regime sanzionatorio
10 ottobre 2025 SCADUTOEntrata in vigore Legge 132/2025 — quadro normativo nazionale AI: AgID e ACN designate autorità competenti
26 marzo 2026 NOVITÀPE approva Digital Omnibus (569 sì, 45 no, 23 ast.) — posizione negoziale per slittamento scadenze alto rischio. Testo non ancora definitivo: triloghi con Consiglio UE in corso.
2 agosto 2026 SCADENZA ATTUALEPiena applicabilità AI Act secondo il testo vigente — obblighi per sistemi alto rischio Allegato III, obblighi di trasparenza (Art. 50), governance documentale. Se il Digital Omnibus non sarà legge definitiva entro questa data, la scadenza originale si applica automaticamente.
2 novembre 2026 Watermarking contenuti AI (filigrana digitale audio, immagini, video, testi) per sistemi già sul mercato prima del 2 agosto 2026 — scadenza introdotta dal Digital Omnibus, confermata da entrambi PE e Consiglio
Entro ottobre 2026 Pubblicazione decreti attuativi della L. 132/2025 (termine di 12 mesi dall’entrata in vigore)
2 dicembre 2027 SE DIGITAL OMNIBUSScadenza alto rischio Allegato III secondo la posizione PE — se e quando il testo sarà legge definitiva
2 agosto 2028 SE DIGITAL OMNIBUSScadenza alto rischio Allegato I (prodotti regolamentati) secondo la posizione PE

7. Il quadro sanzionatorio: Reg. (UE) 2024/1689 e Legge 132/2025

Il regime sanzionatorio dell’AI Act è articolato su tre livelli, in funzione della gravità della violazione. Le sanzioni si applicano sia ai provider che ai deployer, in proporzione alla rispettiva responsabilità nella catena del valore AI.

Regime sanzionatorio — Reg. (UE) 2024/1689, Art. 99 + Legge 132/2025

  • Violazione dei divieti (sistemi a rischio inaccettabile): sanzione fino a 35 milioni di euro o 7% del fatturato mondiale annuo — si applica il maggiore tra i due importi. Per le PMI, si applica sempre l’importo minore
  • Violazione degli obblighi per sistemi ad alto rischio: sanzione fino a 15 milioni di euro o 3% del fatturato mondiale annuo
  • Informazioni false o incomplete alle autorità: sanzione fino a 7,5 milioni di euro o 1% del fatturato mondiale annuo
  • Misure accessorie: le autorità possono ordinare il ritiro dal mercato o la sospensione del sistema non conforme — con impatti operativi potenzialmente più devastanti della sanzione pecuniaria
  • Legge 132/2025 — profili penali: diffusione illecita di deepfake lesivi dell’onore o della reputazione: reclusione da 1 a 5 anni. Aggravante per qualsiasi reato commesso tramite AI (art. 61, comma 11-decies, c.p.)
  • D.Lgs. 231/2001: la L. 132/2025 impone l’aggiornamento dei modelli organizzativi per includervi i rischi AI — la mancata revisione espone l’ente alla responsabilità amministrativa per i reati commessi tramite AI nell’interesse o a vantaggio dell’organizzazione

In Italia, l’autorità con i poteri ispettivi e sanzionatori più ampi è l’ACN. Per i sistemi AI ad alto rischio nel settore finanziario, la vigilanza è esercitata dalle autorità di settore già competenti (Banca d’Italia, Consob, IVASS), creando una sovrapposizione con il perimetro DORA che richiede un’analisi integrata. L’AgID gestisce la notifica degli organismi di valutazione della conformità. Il Garante Privacy mantiene competenza sui profili di trattamento dei dati personali.

8. Agenda operativa: cosa fare entro il 2 agosto 2026

Mancano meno di quattro mesi alla scadenza più rilevante dell’intero ciclo applicativo dell’AI Act. Non è più il momento di valutare se e come adeguarsi: è il momento di verificare lo stato di avanzamento dell’adeguamento e accelerare sugli elementi ancora mancanti.

Agenda operativa prioritaria — provider e deployer di sistemi AI

  • INVENTARIO: Censire tutti i sistemi AI in uso o in sviluppo — inclusi software SaaS acquistati da terzi con funzionalità AI integrate. Non limitarsi ai sistemi etichettati “AI”: verificare se i software gestionali, HR, CRM e scoring in uso incorporano componenti di apprendimento automatico
  • CLASSIFICAZIONE: Per ciascun sistema censito, determinare il livello di rischio ai sensi dell’Allegato III e verificare il proprio ruolo (provider o deployer). La classificazione deve essere documentata — anche per i sistemi che si ritiene non siano ad alto rischio
  • GAP ANALYSIS: Per i sistemi ad alto rischio, verificare quali obblighi (documentazione tecnica, gestione del rischio, supervisione umana, registro automatico, trasparenza) sono già soddisfatti e quali richiedono intervento
  • SUPERVISIONE UMANA: Verificare che siano in atto misure organizzative concrete — non solo formali — che garantiscano la sorveglianza umana effettiva. Nominare i responsabili, definire i criteri di override, formare il personale incaricato
  • CONTRATTUALISTICA FORNITORI: Riesaminare i contratti con i fornitori di sistemi AI — verificare che includano dichiarazioni di conformità, obblighi di documentazione tecnica, diritti di audit, e che disciplinino la ripartizione degli obblighi tra provider e deployer
  • VALUTAZIONE D’IMPATTO (FRIA): Per i deployer del settore pubblico e per i deployer privati che forniscono servizi di pubblica utilità (banche, assicurazioni, sanità, istruzione): avviare la valutazione d’impatto sui diritti fondamentali per i sistemi ad alto rischio in uso
  • MODELLI 231: Aggiornare il Modello di Organizzazione, Gestione e Controllo ai sensi del D.Lgs. 231/2001 per includere l’analisi dei rischi correlati all’uso di sistemi AI e la nuova aggravante penale introdotta dalla L. 132/2025
  • AI LITERACY: Verificare la continuità del programma di formazione sull’AI literacy già obbligatorio dal 2 febbraio 2025 (Art. 4) — la formazione deve includere il personale che utilizza o supervisiona sistemi ad alto rischio con contenuti commisurati al livello di rischio gestito
  • MONITORAGGIO DECRETI ATTUATIVI: Seguire l’iter di pubblicazione dei decreti attuativi della L. 132/2025 attesi entro ottobre 2026 — potranno introdurre requisiti operativi aggiuntivi che renderanno necessari ulteriori adeguamenti

Un avvertimento specifico per gli studi professionali — legali, commercialisti, notai, ingegneri — che stanno adottando strumenti di AI generativa per la produzione di documenti, l’analisi di contratti o la gestione dei fascicoli: la Legge 132/2025 stabilisce che nelle professioni regolamentate l’AI non può sostituire la valutazione autonoma e responsabile del professionista iscritto all’albo. Questo non vieta l’uso dell’AI — lo subordina a una supervisione professionale autentica e documentata. Il professionista che firma un atto prodotto con il supporto di un sistema AI è e rimane responsabile di quel contenuto. La conformità al Regolamento è, in questo caso, anche una questione di deontologia professionale.

Conclusione: Il rinvio non è un permesso

Il Digital Omnibus ha introdotto nella conversazione europea una distinzione necessaria: non tutte le organizzazioni erano nelle condizioni oggettive di adeguarsi entro il 2 agosto 2026, non perché non volessero, ma perché gli standard armonizzati non erano disponibili, le autorità nazionali non erano operative, le linee guida della Commissione sull’art. 6 non erano state pubblicate. Il rinvio, se confermato in trilogo, è una risposta pragmatica a un problema reale.

Ma c’è una differenza sostanziale tra “il sistema non era pronto per applicare la norma” e “la norma non esiste”. AI Act, DORA, NIS2 e CS3D convergono su un principio che nessun trilogo può rimuovere: la responsabilità delle scelte tecnologiche e delle loro conseguenze appartiene alle organizzazioni che le adottano. I divieti sono in vigore. L’AI Literacy è in vigore. La Legge 132/2025 è in vigore. Gli obblighi di trasparenza si applicano dal 2 agosto 2026 indipendentemente dall’esito del Digital Omnibus. Chi attende l’accordo definitivo per cominciare a muoversi non si sta tutelando: si sta esponendo.

Articoli correlati — Norme & Compliance

Fonti e riferimenti normativi

  • Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio, 13 giugno 2024 — GU UE L 2024/1689 del 12.07.2024 (ELI: eur-lex.europa.eu/eli/reg/2024/1689/oj)
  • Art. 2, Reg. (UE) 2024/1689 — Ambito di applicazione: provider e deployer
  • Art. 3, Reg. (UE) 2024/1689 — Definizioni: sistema AI, fornitore, utilizzatore (deployer)
  • Art. 4, Reg. (UE) 2024/1689 — Alfabetizzazione in materia di AI (AI Literacy)
  • Art. 6, Reg. (UE) 2024/1689 — Classificazione dei sistemi AI ad alto rischio (parr. 1 e 2)
  • Art. 6, par. 5, Reg. (UE) 2024/1689 — Orientamenti pratici della Commissione (scadenza 2 febbraio 2026, non rispettata)
  • Artt. 9-15, Reg. (UE) 2024/1689 — Requisiti per i sistemi AI ad alto rischio
  • Art. 14, Reg. (UE) 2024/1689 — Supervisione umana
  • Art. 27, Reg. (UE) 2024/1689 — Valutazione d’impatto sui diritti fondamentali
  • Art. 49, Reg. (UE) 2024/1689 — Registrazione nel database UE
  • Art. 50, Reg. (UE) 2024/1689 — Obblighi di trasparenza (non soggetti al rinvio Digital Omnibus)
  • Art. 99 e Art. 113, Reg. (UE) 2024/1689 — Sanzioni e calendario di applicazione
  • Allegato III, Reg. (UE) 2024/1689 — Sistemi AI ad alto rischio: categorie di applicazioni
  • Commissione Europea, Proposta COM(2025) 836, 19 novembre 2025 — Digital Omnibus, modifica AI Act (Digital Omnibus sull’AI)
  • Parlamento Europeo, Posizione adottata in plenaria, 26 marzo 2026 — Digital Omnibus AI Act (569 voti favorevoli, 45 contrari, 23 astensioni)
  • Consiglio UE, Bozza di report sul Digital Omnibus AI Act, 13 marzo 2026
  • EDPB-EDPS, Parere congiunto 1/2026, 20 gennaio 2026 — Digital Omnibus e protezione dei dati
  • Commissione Europea, Digital Strategy — AI Act: implementation timeline (digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai)
  • Legge 23 settembre 2025, n. 132 — GU n. 228 del 29 settembre 2025, in vigore dal 10 ottobre 2025
  • L. 132/2025, Art. 20 — Designazione AgID e ACN come autorità nazionali competenti AI
  • D.Lgs. 152/1997, Art. 1-bis — Trasparenza algoritmica nel lavoro (come modificato dalla L. 132/2025)
  • ISTAT, Indagine sull’uso dell’intelligenza artificiale nelle imprese italiane, dicembre 2025

© The Integrity Times  ·  Riproduzione Riservata  ·  www.theintegritytimes.com