AI Act, dove siamo davvero ad aprile 2026: cosa cambia con il Digital Omnibus e cosa devono fare le aziende ora | Blog A4G

AI Act, dove siamo davvero ad aprile 2026: cosa cambia con il Digital Omnibus e cosa devono fare le aziende ora

L'AI Act è in vigore. Le scadenze stanno cambiando. Ecco cosa è davvero applicabile oggi, cosa modifica il Digital Omnibus e le azioni concrete che le aziende devono avviare ora.

AI
25 aprile 2026
AI
Normativa
AI Act
Compliance
AI Act aprile 2026: Digital Omnibus e nuove scadenze per le aziende

L’AI Act è in vigore. Le scadenze stanno cambiando. La maggior parte delle aziende non sa più a cosa stare dietro.

Non è un’opinione. È quello che vediamo ogni volta che parliamo con direttori IT, responsabili compliance e direzioni operations nel manifatturiero. Sanno che la legge esiste. Hanno sentito parlare di “rinvii”. Non hanno chiaro cosa è davvero in vigore oggi e cosa devono fare prima del 2 agosto 2026.

Questo articolo fa ordine.

Il punto di partenza: cosa è (e cosa fa) il Regolamento 2024/1689

L’AI Act è il Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024. È entrato in vigore il 1° agosto 2024 ed è la prima legge al mondo che disciplina in modo organico lo sviluppo, l’immissione sul mercato e l’uso dei sistemi di intelligenza artificiale.

Una premessa che cambia la prospettiva: l’AI Act non regola le aziende che producono AI. Regola chiunque la usi, la importi, la distribuisca o la integri in un prodotto destinato al mercato europeo. Una software house americana che vende uno strumento di selezione del personale a un’azienda tedesca rientra. Un’azienda manifatturiera lombarda che usa un sistema di manutenzione predittiva acquistato da un fornitore extra-UE rientra. La geografia non conta. Conta l’impatto sul territorio europeo.

Su questa base, il Regolamento costruisce una logica fondata su tre concetti che ogni azienda dovrebbe avere chiari prima ancora di leggere un singolo articolo della legge.

Ruolo. Dove ti collochi nella catena del valore? Il Regolamento distingue tra provider (chi sviluppa o fa sviluppare un sistema AI e lo immette sul mercato a proprio nome), deployer (chi lo utilizza nell’attività professionale), importatore, distributore e rappresentante autorizzato. Lo stesso soggetto può rivestire più ruoli contemporaneamente. Gli obblighi cambiano radicalmente in base a dove ti trovi.

Rischio. Il Regolamento classifica l’AI in base al rischio che pone per la salute, la sicurezza e i diritti fondamentali. Quattro livelli: inaccettabile (vietato), alto (obblighi stringenti), limitato (obblighi di trasparenza), minimo (nessun obbligo formale).

Tracciabilità. Quali misure di governance, documentazione e monitoraggio servono per dimostrare la conformità e gestire la responsabilità nel tempo? Senza questo, anche un sistema progettato bene resta non conforme.

Questa è la struttura su cui poggia tutto. Le scadenze che stiamo per vedere si applicano sopra a queste tre dimensioni, non al posto loro.

Cosa è già in vigore oggi (aprile 2026)

Due delle quattro grandi finestre di applicazione sono già operative.

Dal 2 febbraio 2025 sono pienamente applicabili i Capi I e II. Significa due cose concrete. Primo: i divieti dell’Articolo 5 sui sistemi a rischio inaccettabile. Sistemi di scoring sociale, manipolazione subliminale, sfruttamento di vulnerabilità di età, disabilità o condizione socio-economica, riconoscimento delle emozioni sul posto di lavoro e in ambito scolastico (con eccezioni mediche e di sicurezza), categorizzazione biometrica basata su dati sensibili. Niente di tutto questo può essere immesso sul mercato, messo in servizio o utilizzato in UE. Punto.

Secondo: l’obbligo di “alfabetizzazione AI” (Articolo 4). Provider e deployer devono garantire un livello sufficiente di AI literacy al personale che opera con sistemi AI per loro conto. Questo è un obbligo già in vigore oggi, ed è quello che molte aziende stanno sottovalutando. Su questo punto specifico, però, le cose stanno cambiando, ci torneremo subito sotto.

Dal 2 agosto 2025 sono applicabili le regole sui modelli di AI per finalità generali (GPAI), il regime sanzionatorio e gran parte dell’architettura di governance europea (AI Office, Comitato europeo per l’AI, autorità nazionali competenti).

Cosa cambia con il Digital Omnibus on AI

Il 19 novembre 2025 la Commissione europea ha pubblicato la proposta di “Digital Omnibus on AI”, un pacchetto di modifiche mirate al Regolamento 2024/1689. Da allora il dossier ha viaggiato veloce: il Consiglio ha adottato la propria posizione negoziale il 13 marzo 2026, il Parlamento europeo il 26 marzo 2026. Il secondo trilogo politico è previsto per il 28 aprile 2026.

Cosa significa per le aziende? Tre cambiamenti sostanziali su cui c’è già convergenza tra Consiglio e Parlamento, che con ogni probabilità entreranno nel testo finale.

1. Rinvio dell’applicazione delle regole sui sistemi ad alto rischio

È la modifica più rilevante. La data del 2 agosto 2026 prevista originariamente non sparisce, viene “disaggregata”:

  • 2 dicembre 2027 per i sistemi ad alto rischio classificati ai sensi dell’Allegato III (sistemi stand-alone in ambiti come occupazione, istruzione, accesso a servizi essenziali, applicazione della legge, biometria);
  • 2 agosto 2028 per i sistemi ad alto rischio integrati in prodotti regolamentati ai sensi dell’Allegato I (sicurezza dei prodotti, dispositivi medici, macchinari, veicoli, ecc.).

Il motivo del rinvio è reale: gli standard armonizzati, gli organismi di valutazione della conformità e le linee guida operative non sono pronti. Senza di essi, gli obblighi sarebbero diventati operativi senza strumenti per rispettarli.

2. Trasformazione dell’obbligo di AI Literacy in promozione

L’Articolo 4 viene riscritto. Da obbligo diretto su provider e deployer, si trasforma in un dovere di Commissione e Stati membri di “incoraggiare” provider e deployer a garantire un livello adeguato di AI literacy. Restano però gli obblighi specifici di formazione e competenza connessi ai sistemi ad alto rischio (Articoli 17 e 26). In altre parole: l’AI Literacy generalizzata diventa raccomandata, quella specifica per chi gestisce sistemi ad alto rischio resta obbligatoria.

3. Nuovo divieto sui deepfake intimi non consensuali

Sia Consiglio sia Parlamento introducono un nuovo divieto all’Articolo 5 sui sistemi capaci di generare immagini o video sessualmente espliciti di persone identificabili senza il loro consenso, quando privi di salvaguardie tecniche adeguate.

A questi si aggiungono altri aggiustamenti tecnici: regime sanzionatorio più proporzionato per PMI e small mid-caps, semplificazione di alcuni obblighi documentali, nuove scadenze per il watermarking dei contenuti sintetici (l’obbligo di marcatura di immagini, audio, video e testo generati artificialmente, art. 50 par. 2).

Il punto critico che molti stanno ignorando

Il Digital Omnibus non è ancora legge. È una proposta in fase di trilogo. L’accordo politico è atteso per fine aprile, l’adozione formale entro luglio 2026, la pubblicazione in Gazzetta Ufficiale poco prima del 2 agosto.

Se il trilogo si blocca o se l’adozione formale slitta oltre il 2 agosto 2026, gli obblighi originari sui sistemi ad alto rischio entrano in vigore come scritti nel testo del 2024. Senza rinvii.

“Il 2 agosto 2026 va trattato come scadenza operativa fino a quando la pubblicazione in GU non confermerà altrimenti. Costruire una strategia di compliance basata sul presupposto che il rinvio passi è un rischio che nessun board dovrebbe accettare.”

— A4G

Cosa devono fare le aziende manifatturiere nei prossimi mesi

Se hai 50-500 dipendenti, usi un ERP, hai introdotto almeno uno strumento AI in azienda, anche solo un copilot per la redazione di documenti, sei nel perimetro. Quattro azioni concrete da impostare ora.

1. Mappare l’inventario AI. Quali sistemi AI sono effettivamente in uso in azienda? Il problema vero, in quasi tutte le organizzazioni che incontriamo, è che nessuno lo sa con precisione. L’AI è entrata dal basso: marketing ha sottoscritto un tool di copywriting, HR ha attivato uno screening dei CV, produzione ha iniziato a usare un sistema di visione artificiale. Senza un inventario completo non si applica nulla del Regolamento. La mappatura è il primo passo, sempre.

2. Identificare il proprio ruolo per ciascun sistema. Per ogni sistema mappato: l’azienda è provider, deployer, importatore o distributore? Nella manifattura il caso più frequente è quello del deployer (si usa un sistema AI di terzi). Ma attenzione: se si personalizza significativamente un sistema AI, se lo si rebranda con il proprio nome, o se lo si integra in un prodotto destinato al mercato, il ruolo può cambiare in provider — con obblighi molto più pesanti.

3. Classificare il rischio. Per ciascun sistema, valutare se ricade nelle categorie di rischio inaccettabile (Art. 5), alto rischio (Art. 6 e Allegato III) o rischio limitato con obblighi di trasparenza (Art. 50). Particolare attenzione a tre aree tipiche del manifatturiero: HR e gestione lavoratori (selezione, valutazione, gestione delle prestazioni — Allegato III, punto 4), accesso a servizi essenziali se l’azienda gestisce credito/finanziamenti, sistemi AI integrati in macchinari o prodotti che rientrano nella legislazione di armonizzazione UE (Allegato I).

4. Avviare l’AI Literacy del personale. Anche con la trasformazione dell’Art. 4 in dovere di “incoraggiamento”, per chi opera con sistemi ad alto rischio l’obbligo di competenza adeguata resta. E indipendentemente dalla legge, in un’azienda che usa AI è ormai una questione di gestione del rischio operativo.

Le sanzioni

Il Regolamento mantiene un regime sanzionatorio significativo:

  • Per la violazione dei divieti dell’Articolo 5: fino a 35 milioni di euro o il 7% del fatturato annuo mondiale.
  • Per la violazione degli obblighi sui sistemi ad alto rischio o sulla trasparenza: fino a 15 milioni di euro o il 3% del fatturato.
  • Per informazioni false o fuorvianti alle autorità: fino a 7,5 milioni o l’1,5%.

Il Digital Omnibus introduce un correttivo importante per le PMI e le small mid-caps: per queste aziende le sanzioni saranno calcolate sul valore più basso tra percentuale e importo fisso, non sul più alto come per le grandi imprese. Una correzione di proporzionalità che è bene conoscere.

In sintesi

L’AI Act non è un problema futuro. I divieti dell’Articolo 5 sono in vigore dal febbraio 2025. Le regole sui modelli GPAI dall’agosto 2025. Le scadenze sui sistemi ad alto rischio sono in fase di rinvio formale a dicembre 2027 e agosto 2028, ma il rinvio non è ancora legge. Il 2 agosto 2026 va trattato come operativo fino alla pubblicazione del Digital Omnibus in Gazzetta.

Le aziende che oggi stanno solo aspettando di capire come si chiude il trilogo arriveranno alla conformità in ritardo, qualunque sia l’esito. Quelle che iniziano adesso a mappare, classificare e formare avranno un sistema di gestione AI operativo entro l’estate, indipendentemente da come finirà la negoziazione di Bruxelles.

E saranno anche le uniche in grado di usare l’AI come leva competitiva, invece che come fonte di rischio.

Hai bisogno di capire dove si colloca la tua azienda rispetto all'AI Act?

Abbiamo realizzato un assessment gratuito di 10 minuti che restituisce una prima fotografia della tua esposizione: quali sistemi rientrano, in quale livello di rischio, quali obblighi si applicano. È costruito sui requisiti del Regolamento 2024/1689 e tiene conto degli ultimi aggiornamenti normativi.

Fai l'assessment gratuito

Per un’analisi più approfondita o per discutere di un percorso di compliance strutturato, scrivi a info@a4g.it.

A4G Team

A4G Team

Il team di sviluppo A4G è composto da esperti appassionati di tecnologie emergenti. Con anni di esperienza nell'implementazione di soluzioni AI e di trasformazione digitale per PMI, condividiamo le nostre conoscenze per aiutare le aziende a crescere in modo sostenibile.