Un mese fa abbiamo pubblicato una guida all'AI Act per le PMI italiane con una data in grassetto in ogni paragrafo: 2 agosto 2026. Era la data in cui scattavano gli obblighi operativi sui sistemi ad alto rischio. Quella data, oggi, non vale più. Ed è giusto raccontarvi perché — e perché questo non significa quello che il vostro istinto vi sta dicendo.
Il 7 maggio 2026 il Consiglio dell'UE e il Parlamento europeo hanno raggiunto un accordo provvisorio sul pacchetto noto come Digital Omnibus, l'iniziativa di semplificazione lanciata dalla Commissione a fine 2025. Tra le modifiche, la più rumorosa: il rinvio degli obblighi sull'alto rischio. Le aziende avranno più di un anno in più. Ma "più tempo" e "niente da fare" sono due cose diverse, e confonderle costa caro.
1. Le nuove date, in chiaro
Il rinvio non è uniforme. L'AI Act distingue due famiglie di sistemi ad alto rischio, e ognuna ha ora la sua scadenza.
- Sistemi alto rischio "stand-alone" (Annex III) → 2 dicembre 2027. Sono i sistemi elencati nell'allegato III: recruiting e gestione dei lavoratori, credit scoring, biometria, istruzione, accesso a servizi essenziali. Era la categoria che colpiva più PMI, e quella con la vecchia scadenza di agosto 2026. Ora ha 16 mesi in più.
- AI integrata in prodotti regolati (Annex I) → 2 agosto 2028. Dispositivi medici, macchinari, veicoli e altri prodotti già soggetti a normativa di sicurezza europea. La scadenza originale era agosto 2027: slitta di un anno.
2. Cosa non è stato rinviato (e che si applica già adesso)
Qui sta l'errore che vediamo fare in queste settimane. "AI Act rinviato" è diventato un titolo che molti hanno letto come "AI Act sospeso". Falso. Due blocchi di obblighi sono già in vigore e il Digital Omnibus non li tocca.
Le pratiche vietate (Art. 5) valgono dal 2 febbraio 2025. Riconoscimento delle emozioni sul posto di lavoro, social scoring, categorizzazione biometrica su dati sensibili, manipolazione subliminale: vietati, oggi, senza periodo di grazia. La sanzione massima resta 35 milioni di euro o il 7% del fatturato mondiale annuo. Se un tuo sistema HR o di videosorveglianza ricade qui, il rinvio del 2027 non ti riguarda: sei già esposto.
L'obbligo di alfabetizzazione AI (Art. 4) vale anch'esso dal febbraio 2025. Il personale che opera sistemi di AI deve avere una formazione adeguata e documentata. Non è stato spostato. È il tipo di adempimento che costa poco e che, in caso di incidente, fa la differenza tra "ci stavamo attrezzando" e "non ce ne siamo curati".
Il Digital Omnibus tocca anche altri punti — regole sul watermarking dei contenuti generati, nuove formulazioni su alcuni divieti, semplificazioni documentali per le imprese più piccole — ma il messaggio di fondo per un'azienda italiana è netto: è cambiata la scadenza degli obblighi alto rischio, non l'esistenza degli obblighi.
3. Perché il rinvio è un regalo solo per chi lo usa
La motivazione ufficiale del rinvio è onesta: gli standard tecnici armonizzati che dovevano guidare la compliance non erano pronti, e chiedere alle aziende di conformarsi a regole senza il manuale d'istruzioni era irrealistico. Bene. Ma nel comunicato che accompagna l'accordo c'è una frase che vale la pena leggere due volte: ci si aspetta che la preparazione sia già in corso.
Tradotto dal linguaggio delle istituzioni: il regolatore vi sta dando tempo, non assoluzione. Il 2 dicembre 2027 arriverà, e arriverà per tutti nello stesso giorno. Le aziende che useranno questi 16 mesi per mappare i propri sistemi, costruire il registro, impostare la supervisione umana, ci arriveranno camminando. Quelle che hanno archiviato il dossier il giorno dell'annuncio ci arriveranno di corsa, a pagare consulenti a tariffa d'emergenza, come è successo con il GDPR nella primavera del 2018.
Ogni proroga normativa produce due tipi di aziende: quelle che la usano per prepararsi con calma e quelle che la usano per dimenticarsene. Solo le prime risparmiano davvero.
4. Cosa farebbe oggi un'azienda accorta
Il rinvio cambia il quando, non il cosa. La lista delle cose utili da fare adesso è identica a quella di un mese fa — solo, senza l'ansia della scadenza addosso. Che è esattamente la condizione migliore per farle bene.
- Inventario dei sistemi AI. Quali strumenti AI sono in uso in azienda, anche quelli arrivati "di straforo" dentro a un gestionale o a un tool HR. Senza questa mappa non sai nemmeno se ricadi nell'alto rischio.
- Classificazione del rischio. Per ciascun sistema: pratica vietata, alto rischio (Annex III), o rischio limitato? Le prime due categorie richiedono azione, la terza solo trasparenza.
- Formazione documentata. Già obbligatoria. È la cosa più rapida da mettere a posto e l'unica che non ha beneficiato di alcun rinvio.
- Governo del dato. Dove vivono i dati che alimentano questi sistemi, chi vi accede, e — domanda che torna sempre — se escono dai confini aziendali quando interrogate un modello in cloud.
Il punto che il rinvio rende più evidente, non meno
C'è un filo che lega l'alfabetizzazione AI, il governo del dato e la supervisione umana: tutti e tre sono molto più semplici da garantire quando l'intelligenza artificiale gira dentro i confini dell'azienda. Sapere esattamente quali dati entrano nel modello, poter dimostrare dove sono stati elaborati, tenere un registro completo delle interrogazioni: sono adempimenti che su un'infrastruttura sovrana sono una conseguenza dell'architettura, non un'attività di compliance bolt-on.
Per questo, nelle aziende che seguiamo, la conformità all'AI Act non è mai un progetto a sé: è un effetto collaterale di come è disegnata l'infrastruttura AI. Il rinvio al 2027 ci regala il tempo di disegnarla bene, invece di rincorrere una scadenza. Se volete usare questo tempo per capire dove siete, l'audit con cui partiamo serve esattamente a questo — e oggi si può fare senza il cronometro acceso.