Il 7 maggio 2026 i negoziatori di Consiglio dell'Unione europea, Parlamento e Commissione hanno raggiunto un accordo provvisorio sul cosiddetto Digital Omnibus sull'IA: le prime modifiche all'AI Act da quando il regolamento e' stato adottato, a giugno 2024. Il messaggio politico e' chiaro: Bruxelles fa un passo indietro sui tempi, rinviando di mesi (in alcuni casi di oltre un anno) gli obblighi piu' pesanti per i sistemi ad alto rischio, ma stringe su un fronte preciso, introducendo due nuovi divieti assoluti legati agli abusi dell'IA generativa.
Quali scadenze slittano e di quanto
Il cuore dell'accordo e' il rinvio delle scadenze. Per i sistemi ad alto rischio dell'Allegato III (quelli classificati in base all'uso, ad esempio nel lavoro, nell'istruzione o nei servizi essenziali) gli obblighi slittano dal 2 agosto 2026 al 2 dicembre 2027: un rinvio di 16 mesi. Per i sistemi dell'Allegato I (prodotti gia' regolati da altre normative, come dispositivi medici, ascensori e apparecchiature radio) il termine passa dal 2 agosto 2027 al 2 agosto 2028. Anche l'obbligo per gli Stati membri di istituire i «sandbox» normativi — ambienti protetti per sperimentare l'IA sotto la supervisione delle autorita' — e' rinviato al 2 agosto 2027.
La motivazione ufficiale e' pragmatica: molte imprese e autorita' nazionali hanno segnalato difficolta' concrete nell'applicare le regole, soprattutto per i sistemi ad alto rischio che richiedono test, documentazione e valutazioni di terze parti. Le norme tecniche armonizzate, in parte, non sono ancora pronte, e far scattare gli obblighi senza gli strumenti per rispettarli avrebbe creato incertezza giuridica.
Etichette sui contenuti generati dall'IA: tempi piu' stretti
Su un punto, pero', la UE accelera. Per i contenuti sintetici — immagini, audio e video generati o manipolati dall'IA — resta l'obbligo per i fornitori di marcare gli output in un formato leggibile dalle macchine e riconoscibile come artificiale. Il periodo di adeguamento per i sistemi gia' sul mercato viene perfino ridotto, passando da sei a tre mesi, con nuova scadenza fissata al 2 dicembre 2026. E' la risposta europea al problema dei deepfake e dei contenuti falsi indistinguibili dal reale.
I due nuovi divieti: deepfake intimi e materiale pedopornografico
La novita' piu' netta e' l'introduzione di due pratiche vietate in assoluto, in vigore dal 2 dicembre 2026. Il primo divieto riguarda i sistemi di IA destinati a generare o manipolare immagini intime non consensuali, ossia senza il consenso «libero, specifico, informato ed esplicito» della persona ritratta. Il secondo vieta i sistemi pensati per produrre materiale pedopornografico. Si tratta dei casi in cui la generazione di quel contenuto e' lo scopo dichiarato dello strumento o una conseguenza ragionevolmente prevedibile in assenza di adeguate misure di sicurezza.
Cosa cambia per imprese e cittadini
Per le aziende che sviluppano o adottano sistemi ad alto rischio, il rinvio significa piu' tempo per mettersi in regola, ma anche il rischio di un «liberi tutti» temporaneo proprio mentre l'IA si diffonde a velocita' record. Le associazioni dei diritti digitali hanno gia' criticato lo slittamento, leggendolo come una concessione alla pressione dell'industria e dell'amministrazione statunitense, che da mesi accusa l'Europa di soffocare l'innovazione con troppe regole. Sul fronte opposto, l'introduzione dei divieti sui contenuti abusivi viene salutata come un segnale concreto di tutela.
L'accordo del 7 maggio resta provvisorio: dovra' essere formalmente approvato da Parlamento e Consiglio prima di diventare legge. Ma la direzione e' tracciata: meno fretta sugli adempimenti burocratici, tolleranza zero sugli usi piu' odiosi dell'IA generativa. Per l'Italia, dove molte PMI e pubbliche amministrazioni stanno solo ora avvicinandosi a questi sistemi, il rinvio offre una finestra di respiro per prepararsi senza correre.
Cosa devono fare adesso le aziende che usano l'IA
Il rinvio non equivale a un «condono»: le imprese che sviluppano o impiegano sistemi ad alto rischio farebbero un errore a rimandare ogni adempimento al 2027. La parte piu' impegnativa — mappare i propri sistemi, classificarli per livello di rischio, predisporre la documentazione tecnica e i registri — richiede mesi di lavoro e va avviata per tempo. Chi opera in settori come selezione del personale, credito, sanita' o servizi pubblici dovrebbe gia' oggi censire quali strumenti di IA utilizza e con quali dati, perche' quando gli obblighi scatteranno l'onere della prova sara' a carico del fornitore.
Sul versante dei contenuti generati, invece, la scadenza e' vicina: dal 2 dicembre 2026 chi mette sul mercato strumenti che creano immagini, audio o video sintetici dovra' marcarli in modo riconoscibile dalle macchine. Per le agenzie di comunicazione, le software house e i creatori che usano l'IA generativa, e' il momento di verificare che i propri strumenti supportino il watermarking e i metadati di provenienza, standard come il C2PA inclusi. In sintesi: meno fretta sulla burocrazia dei sistemi ad alto rischio, ma tempi stretti sulla trasparenza dei contenuti artificiali.
Resta poi il capitolo dei modelli di IA per finalita' generali, come i grandi modelli linguistici alla base di chatbot e assistenti: l'accordo chiarisce le competenze dell'AI Office europeo nella loro supervisione, elencando le eccezioni in cui restano competenti le autorita' nazionali, ad esempio per ordine pubblico, gestione delle frontiere, autorita' giudiziarie e istituzioni finanziarie. E' un dettaglio tecnico che avra' conseguenze pratiche enormi su chi controllera' davvero i sistemi piu' diffusi, e che conferma quanto l'applicazione concreta dell'AI Act sara' un cantiere aperto ancora per anni.
