Nelle prime ore del 7 maggio 2026, dopo una notte di negoziato, Consiglio dell'UE e Parlamento europeo hanno raggiunto un accordo provvisorio sul pacchetto "Digital Omnibus" che modifica l'AI Act, il regolamento europeo sull'intelligenza artificiale. Il cuore della revisione e' un rinvio: gli obblighi per i sistemi di IA ad alto rischio elencati nell'Allegato III - quelli usati in ambiti come occupazione, istruzione, infrastrutture critiche, forze dell'ordine, biometria, gestione delle frontiere - slittano al 2 dicembre 2027 (erano attesi per l'estate del 2026). Gli obblighi per l'IA integrata in prodotti gia' regolati dall'UE (Allegato I, dai dispositivi medici ai macchinari) slittano al 2 agosto 2028.
Cosa slitta e cosa no
Non tutto e' stato spostato in avanti. La scadenza che resta vicina e' quella sul watermarking: gli obblighi di marcatura dei contenuti generati o manipolati dall'IA (immagini, audio, video, testo) sono posticipati di soli quattro mesi, al 2 dicembre 2026. Restano in vigore i divieti gia' applicabili da febbraio 2025 (social scoring, manipolazione subliminale, riconoscimento delle emozioni sul lavoro e a scuola, ecc.) e gli obblighi sui modelli di IA per finalita' generali (GPAI), entrati in applicazione nel 2025.
Il nuovo divieto: le app "nudifier" e i deepfake sessuali
L'accordo introduce anche un divieto nuovo, fortemente voluto dal Parlamento: i sistemi di IA progettati per generare contenuti sessualmente espliciti o intimi non consensuali - le cosiddette app "nudifier", che "spogliano" digitalmente una persona a partire da una sua foto vestita - e il materiale pedopornografico. Le aziende avranno tempo fino al 2 dicembre 2026 per adeguare i propri sistemi. E' una delle poche parti dell'Omnibus che aggiunge tutele invece di rinviarle, e arriva dopo mesi di cronache su abusi che hanno colpito soprattutto minori e donne.
Perche' l'UE ha frenato
Il rinvio nasce da una somma di pressioni. Da un lato l'industria - europea e americana - lamenta da mesi che gli obblighi sull'alto rischio sono complessi e costosi, e che mancano ancora gli standard tecnici armonizzati a cui le aziende dovrebbero conformarsi. Dall'altro c'e' il contesto geopolitico: l'amministrazione Trump ha scelto la deregolamentazione spinta sull'IA e ha criticato apertamente l'approccio europeo, e Bruxelles teme di mettere le proprie imprese in svantaggio competitivo. La Commissione presenta l'Omnibus come "semplificazione"; molte organizzazioni della societa' civile lo leggono come una ritirata, perche' rinvia tutele promesse ai cittadini senza un vero dibattito pubblico - lo stesso copione, dicono i critici, gia' visto con CSRD e CSDDD.
Cosa devono fare le aziende adesso
In concreto, il rinvio non e' un "liberi tutti": e' piu' tempo, non meno lavoro. Le organizzazioni che sviluppano o usano sistemi che ricadranno nell'alto rischio dovrebbero comunque, gia' da ora, fare l'inventario dei propri casi d'uso (quali sistemi, su quali dati, con quali impatti su persone e diritti), capire se rientrano nell'Allegato III, e iniziare a predisporre la documentazione tecnica, la gestione del rischio, la supervisione umana e i log richiesti dal regolamento - perche' quando arrivera' il 2 dicembre 2027 chi non ha fatto nulla si trovera' con due anni di lavoro da comprimere in pochi mesi. Per i fornitori di modelli e di strumenti generativi, invece, la scadenza vera e vicina e' quella del watermarking di fine 2026: chi genera immagini, audio, video o testo sintetici deve attrezzarsi per marcarli in modo leggibile dalle macchine, ed e' un lavoro non banale che conviene avviare subito. Il consiglio degli esperti di compliance e' lo stesso da mesi: trattare le date come un pavimento, non come un soffitto, e usare il tempo guadagnato per farsi trovare pronti, non per rimandare.
Cosa significa per l'Italia e per chi sviluppa IA
Per le imprese, il messaggio e' a doppio taglio: piu' tempo per prepararsi, ma anche piu' incertezza, perche' chi aveva pianificato budget e progetti di compliance sulle vecchie date deve ricalibrare. Per l'Italia c'e' un'ulteriore complicazione: la legge nazionale sull'intelligenza artificiale approvata nel 2025 ha introdotto obblighi propri - su deleghe al governo, sanzioni penali per i deepfake dannosi, supervisione affidata ad AgID e ACN - che in alcuni punti sono piu' stringenti o comunque ulteriori rispetto al regolamento UE, creando un doppio livello di regole per gli operatori italiani. Prossimo passo: l'accordo provvisorio dovra' essere adottato formalmente da Parlamento e Consiglio prima di entrare in vigore; salvo sorprese, il calendario aggiornato dell'AI Act e' quello uscito dal negoziato del 7 maggio.
Il calendario aggiornato, in sintesi
Per orientarsi, queste sono le date chiave dopo l'accordo del 7 maggio 2026:
| Cosa | Quando si applica |
|---|---|
| Pratiche vietate (social scoring, manipolazione, ecc.) e alfabetizzazione sull'IA | Gia' in vigore (dal 2 febbraio 2025) |
| Obblighi per i modelli di IA per finalita' generali (GPAI) | Gia' in vigore (dal 2 agosto 2025) |
| Divieto delle app "nudifier" e dei contenuti sessuali non consensuali generati dall'IA | Adeguamento entro il 2 dicembre 2026 |
| Watermarking dei contenuti generati o manipolati dall'IA | 2 dicembre 2026 |
| Obblighi per i sistemi ad alto rischio dell'Allegato III (lavoro, istruzione, biometria, ecc.) | 2 dicembre 2027 |
| Obblighi per l'IA integrata in prodotti gia' regolati (Allegato I) | 2 agosto 2028 |
Chi guadagna e chi perde dal rinvio
I beneficiari piu' evidenti sono le grandi aziende - americane e non - che ora hanno fino a due anni in piu' per consolidare la propria posizione sul mercato europeo senza il peso degli obblighi sull'alto rischio, e che hanno team legali in grado di assorbire l'incertezza. A pagare il conto rischiano di essere le PMI europee che avevano avviato per tempo i progetti di conformita' - spendendo soldi veri per prepararsi a regole che ora cambiano di nuovo - e i cittadini, che vedono slittare tutele gia' promesse. C'e' poi un costo meno tangibile ma reale: la credibilita' regolatoria dell'UE. L'AI Act era stato presentato come il primo grande quadro normativo al mondo sull'IA, un possibile standard globale ("effetto Bruxelles"); rinviarne i pezzi piu' impegnativi a ridosso dell'entrata in vigore manda il segnale opposto, e diversi eurodeputati e ong lo hanno detto a chiare lettere. La Commissione ribatte che semplificare non vuol dire deregolamentare, e che il nucleo del regolamento - i divieti, gli obblighi sui modelli generali, la trasparenza - resta in piedi. Quale delle due letture prevarra' lo dira', come sempre, l'applicazione concreta.
