Negli ultimi mesi è circolata una scadenza secca: il 2 agosto 2026, data in cui l’AI Act – il Regolamento (UE) 2024/1689 – diventa pienamente applicabile. La realtà è più sfumata, ed è importante conoscerla per non investire risorse nel momento sbagliato. Con il cosiddetto Digital Omnibus, su cui Parlamento europeo e Consiglio hanno raggiunto un accordo politico provvisorio il 7 maggio 2026, le regole più impegnative – quelle sui sistemi ad alto rischio – sono state rinviate.
Vediamo allora cosa cambia davvero nel 2026, cosa e già in vigore e cosa conviene fare adesso.
Partiamo da un equivoco diffuso. L’AI Act non riguarda soltanto chi sviluppa modelli di intelligenza artificiale: riguarda anche, e soprattutto, chi quei sistemi li utilizza. Un’impresa che adotta software di selezione del personale, un Comune che impiega strumenti automatizzati per servizi ai cittadini, un ente che usa piattaforme di IA per analisi o decisioni che incidono sulle persone: tutti rientrano nel perimetro. La qualifica di “alto rischio” dipende dall’uso del sistema (art. 6 e Allegato III), non dall’etichetta commerciale.
Le date che contano (e quelle che, al momento, sono slittate)
Il quadro temporale, aggiornato al Digital Omnibus, e il seguente:
| Data | Cosa si applica | Stato |
| 2 feb 2025 | Divieti delle pratiche di IA inaccettabili (art. 5) e obbligo di alfabetizzazione in materia di IA (art. 4) | In vigore |
| 2 ago 2025 | Obblighi per i modelli di IA per finalità generali (GPAI), governance e regime sanzionatorio (artt. 99 e 101) | In vigore |
| 2 ago 2026 | Applicabilità generale del Regolamento e poteri di vigilanza nazionali | In vigore (salvo rinvii sull’alto rischio) |
| 2 dic 2027 | Obblighi per i sistemi ad alto rischio dell’Allegato III (biometria, occupazione, istruzione, forze dell’ordine, giustizia) | Rinvio dal 2 ago 2026 (Digital Omnibus, in adozione) |
| 2 ago 2028 | Obblighi per i sistemi ad alto rischio dell’Allegato I (prodotti regolati: macchinari, dispositivi medici, giocattoli) | Rinvio dal 2 ago 2027 (Digital Omnibus, in adozione) |
Fonte: Regolamento (UE) 2024/1689, art. 113; modifiche da Digital Omnibus (accordo provvisorio 7 maggio 2026), in corso di adozione formale – date da confermare alla pubblicazione in Gazzetta Ufficiale dell’UE.
Due cose vanno sottolineate. La prima: i divieti sulle pratiche inaccettabili (art. 5) e l’obbligo di alfabetizzazione in materia di IA (art. 4) sono già pienamente in vigore dal 2 febbraio 2025; non sono rinviati e sono già sanzionabili. La seconda: il rinvio dell’alto rischio non e un “liberi tutti”, ma una finestra di tempo in più per arrivare preparati, considerato che mancano ancora standard armonizzati e strumenti di conformità.
Quanto si rischia: il regime sanzionatorio
L’impianto sanzionatorio aiuta a capire perché il tema va trattato come una priorità di governance. Gli importi sono parametrati al fatturato mondiale e differenziati per gravita:
| Violazione | Importo massimo | Riferimento |
| Pratiche di IA vietate (art. 5) | 35 mln € o 7% del fatturato mondiale annuo (il maggiore) | Art. 99 |
| Inosservanza di altri obblighi (fornitori, importatori, distributori, deployer, organismi notificati, obblighi di trasparenza) | 15 mln € o 3% del fatturato mondiale annuo (il maggiore) | Art. 99 |
| Informazioni inesatte, incomplete o fuorvianti alle autorita / organismi notificati | 7,5 mln € o 1% del fatturato mondiale annuo (il maggiore) | Art. 99 |
| PMI e start-up | Si applica l’importo o la percentuale inferiore tra i due | Art. 99 |
| Fornitori di modelli GPAI (sanzione irrogata dalla Commissione) | 15 mln € o 3% del fatturato mondiale annuo (il maggiore) | Art. 101 |
Fonte: Regolamento (UE) 2024/1689, artt. 99 e 101.
Per le pratiche vietate dell’art. 5 – già oggi applicabili – il massimo arriva a 35 milioni di euro o al 7% del fatturato mondiale annuo, se superiore. Per l’inosservanza degli altri obblighi (compresi quelli sui sistemi ad alto rischio, una volta efficaci) il tetto e di 15 milioni o il 3%. Per le PMI e le start-up si applica l’importo o la percentuale inferiore tra i due, in un’ottica di proporzionalità.
Cosa chiede l’alto rischio (per farsi trovare pronti)
Anche se l’efficacia degli obblighi e ora attesa per il 2 dicembre 2027 (Allegato III) e il 2 agosto 2028 (Allegato I), conviene conoscerne fin d’ora il contenuto, perche costruire questi presidi richiede tempo:
| Articolo | Requisito per i sistemi ad alto rischio |
| Art. 9 | Sistema di gestione del rischio, continuo e documentato, lungo l’intero ciclo di vita |
| Art. 10 | Dati e governance dei dati: set di addestramento, convalida e test pertinenti, rappresentativi e con controllo dei bias |
| Art. 11 | Documentazione tecnica completa, predisposta prima dell’immissione sul mercato |
| Art. 12 | Conservazione delle registrazioni (log) per la tracciabilita del funzionamento |
| Art. 13 | Trasparenza e informazioni adeguate agli utilizzatori (deployer) |
| Art. 14 | Sorveglianza umana effettiva sul sistema |
| Art. 15 | Accuratezza, robustezza e cibersicurezza adeguate |
Fonte: Regolamento (UE) 2024/1689, artt. 9-15 (requisiti per i sistemi ad alto rischio).
Cosa fare adesso
Il rinvio non sposta il lavoro utile, lo rende solo più sereno.
Da subito conviene:
- mappare i sistemi di IA effettivamente in uso nell’organizzazione, chi li ha introdotti e con quali dati;
- verificare con priorità di non utilizzare pratiche già vietate dall’art. 5, che sono sanzionabili oggi;
- assolvere all’obbligo di alfabetizzazione in materia di IA (art. 4), formando chi quei sistemi li usa; per i sistemi potenzialmente ad alto rischio, avviare per tempo la predisposizione di documentazione tecnica, gestione del rischio e misure di sorveglianza umana;
- aggiornare contratti e informative quando l’IA tratta dati personali, perché AI Act e GDPR vanno letti insieme.
Per chi ha già avviato un percorso verso la norma ISO/IEC 42001 sulla gestione dei sistemi di IA, gran parte di questo lavoro trova una cornice ordinata e verificabile.
In sintesi: nel 2026 non “scatta tutto”, ma diverse cose sono già operative e il conto alla rovescia sull’alto rischio e solo stato spostato in avanti. Il vantaggio competitivo resterà di chi usa questo tempo per governare consapevolmente strumenti che incidono sempre più sulle persone e sui servizi, invece di rincorrere le scadenze all’ultimo.
Enrico Capirone – Presidente iSimply srl, DPO
Fonti ufficiali: Regolamento (UE) 2024/1689 (AI Act); Consiglio dell’UE, comunicato del 7 maggio 2026 sull’accordo di semplificazione delle regole sull’IA (Digital Omnibus); Commissione europea – Shaping Europe’s digital future, https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai