Home · Blog

AI Act Omnibus: proroga al 2027 e regole più leggere per le PMI

28 giugno 2026 · AI Act · Compliance

A maggio 2026 l'Unione Europea ha raggiunto l'accordo politico sul cosiddetto "AI Act Omnibus": un pacchetto di modifiche che sposta in avanti le scadenze più temute e alleggerisce la burocrazia per le piccole e medie imprese. Per chi sta adottando l'AI, è una boccata d'ossigeno, ma non un invito a rimandare.

Cosa è cambiato, in concreto

Fino a poche settimane fa il calendario era chiaro e stretto: dal 2 agosto 2026 sarebbero scattati gli obblighi pieni per i sistemi di AI ad alto rischio (artt. 9-17 per i fornitori, art. 26 per chi li utilizza). L'accordo del 7 maggio 2026 ha ridisegnato la tabella di marcia:

• Alto rischio rinviato a dicembre 2027: gli obblighi sui sistemi usati in ambiti come selezione del personale, biometria, infrastrutture critiche, istruzione, migrazione e controllo delle frontiere slittano al 2 dicembre 2027, 16 mesi in più rispetto alla scadenza precedente.
• Componenti di sicurezza fino al 2028: per i sistemi AI che sono prodotti regolamentati o componenti di sicurezza, il termine arriva al 2 agosto 2028.
• Trasparenza confermata ad agosto 2026: gli obblighi di trasparenza (etichettare i contenuti generati dall'AI, dichiarare quando si parla con un chatbot) restano in vigore dal 2 agosto 2026. Su questo non c'è proroga.

In altre parole: le regole più pesanti hanno più tempo, ma quelle "di buon senso" verso gli utenti sono già realtà.

La novità più importante per le PMI

Il pacchetto estende il regime di compliance semplificata alle imprese fino a 750 dipendenti e 150 milioni di euro di fatturato, una soglia molto più alta della definizione classica di PMI. Per queste aziende sono previsti: linee guida semplificate, sanzioni ridotte, accesso ai regulatory sandbox e modelli standardizzati di documentazione.

Tradotto: la stragrande maggioranza delle aziende italiane rientra nel perimetro "alleggerito". La conformità resta obbligatoria, ma il carico documentale e il rischio sanzionatorio sono calibrati sulla dimensione reale dell'impresa.

"Più tempo" non significa "nessun lavoro"

L'errore più costoso che vediamo in questi mesi è interpretare la proroga come un rinvio del problema. Non lo è, per tre motivi:

• La trasparenza è già obbligatoria. Se hai un chatbot, un assistente vocale o pubblichi contenuti generati con l'AI, le regole di disclosure valgono da agosto 2026. È il primo controllo da fare, subito.
• La classificazione del rischio richiede tempo. Capire se un tuo sistema è ad alto rischio, a rischio limitato o minimo non è una checkbox: dipende dalla finalità d'uso. Arrivare al 2027 senza aver mappato i sistemi significa rincorrere.
• La documentazione si costruisce mentre sviluppi, non dopo. Logging, valutazione dei dati, supervisione umana, gestione del rischio: integrarli a posteriori costa molto di più che progettarli fin dall'inizio.

Come affrontiamo la conformità in Latentia

In ogni progetto di AI partiamo da una valutazione di conformità all'AI Act prima di scrivere codice. Classifichiamo il sistema per livello di rischio, individuiamo gli obblighi applicabili e definiamo la documentazione necessaria, così la compliance non è un costo aggiunto alla fine, ma una caratteristica del prodotto fin dal primo giorno.

Lo stesso principio che applichiamo quando portiamo in produzione un copilot RAG sui dati aziendali: dati ospitati in UE, controllo degli accessi, tracciabilità delle fonti. La conformità normativa e la qualità tecnica, per noi, sono la stessa cosa vista da due angolazioni.

Cosa fare adesso

Il nostro consiglio operativo per i prossimi mesi è semplice:

• Inventario dei sistemi AI già in uso o in arrivo, con la loro finalità.
• Verifica immediata della trasparenza su chatbot e contenuti generati.
• Classificazione del rischio per ciascun sistema, per sapere quali scadenze ti riguardano davvero.
• Roadmap documentale spalmata sul tempo guadagnato, non concentrata a ridosso del 2027.

Articoli correlati

← Tutti gli articoli