Evoluzioni AI Act dopo il Digital Omnibus:
Come cambiano le scadenze a seguito degli ultimi aggiornamenti
6/1/20265 min read


Ciao a tutti,
Ben arrivati su WikiLuc.
Il 7 maggio 2026 il Parlamento Europeo ha approvato il Digital Omnibus — un pacchetto di modifiche normative che tocca sette direttive contemporaneamente, tra cui l'AI Act. Le prime reazioni che ho letto online oscillavano tra "tutto cambia" e "non cambia nulla". La verità, come spesso accade nella regolamentazione europea, è più noiosa di entrambe le narrazioni — ma molto più utile da capire con precisione.
Il punto che mi interessava chiarire è uno: le scadenze di enforcement dell'AI Act sono cambiate o no? Perché se si, ha implicazioni operative dirette per chiunque stia costruendo o distribuendo sistemi AI in Europa. E se no, bisogna saperlo altrettanto chiaramente per non bloccare roadmap su una notizia mal interpretata.
Spoiler: alcune date si sono spostate. Altre — inclusa quella più urgente per chi lavora con large language model — sono rimaste invariate.
Di cosa parliamo oggi:
Le tre date che contano davvero nell'AI Act post-Omnibus
Cosa cambia per i GPAI model provider dopo il 2 agosto
Annex III e Annex I: le nuove scadenze e perché esistono
Le domande operative da fare adesso al proprio team legale
Notizie da tenere d'occhio
Partiamo!
AI Act post-Digital Omnibus: le scadenze che contano
La struttura dell'AI Act — veloce, per chi non la conosce
L'AI Act europeo non entra in vigore tutto insieme. Ha una struttura a fasi, con date di applicazione diverse per categorie diverse di sistemi AI.
La logica è questa: i sistemi AI più pericolosi e quelli che influenzano un numero maggiore di persone sono soggetti alle regole prima. I sistemi meno critici hanno più tempo per adattarsi.
Le categorie principali sono tre, con scadenze diverse:
GPAI — General Purpose AI models (i modelli foundation come Claude, GPT, Gemini, Qwen): queste sono le regole che si applicano ai provider di modelli linguistici di largo uso, indipendentemente dall'applicazione specifica in cui vengono usati.
Annex III — Sistemi ad alto rischio: sistemi AI usati in contesti sensibili — selezione del personale, valutazione del credito, sistemi di giustizia penale, infrastrutture critiche, dispositivi medici. L'Annex III è la lista specifica.
Annex I — Sistemi proibiti o con obblighi massimi: social scoring, manipolazione subliminale, alcune categorie di sorveglianza biometrica in tempo reale.
Le tre date che contano — versione aggiornata post-Omnibus
Dopo il Digital Omnibus del 7 maggio, questo è lo stato delle scadenze:
2 agosto 2026 — GPAI enforcement: invariato. Le regole per i provider di modelli foundation entrano in vigore in questa data. Non è cambiato nulla rispetto alla timeline originale. Chi distribuisce modelli con più di 10^25 FLOP di training o che hanno un impatto sistemico documentato deve essere compliant con gli obblighi di trasparenza, documentazione tecnica e gestione del rischio entro questa data. Per i provider europei e per chi usa API di modelli GPAI in applicazioni distribuite in Europa, questa è la scadenza da tenere a mente adesso.
2 dicembre 2026 — Proibizioni e obblighi per contenuti sintetici: invariato. Entrano in vigore il divieto di AI systems per CSAM (material sessuale su minori), le regole per il deepfake disclosure, e alcuni obblighi sui sistemi di manipolazione emotiva. Anche questa data non è stata toccata dal Digital Omnibus.
2 dicembre 2027 — Annex III (sistemi ad alto rischio): spostato. La scadenza originale era agosto 2026 per alcuni sottocategorie. Il Digital Omnibus ha consolidato le scadenze degli Annex III spostandole a dicembre 2027 — un anno e mezzo di proroga effettiva per molti settori. Per chi sviluppa AI per HR, finanza e healthcare, questo è il cambiamento operativo più rilevante del pacchetto.
2 agosto 2028 — Annex I (sistemi proibiti, applicazione completa): invariato nella sostanza, con alcune precisazioni operative.
Cosa cambia per i GPAI provider dopo il 2 agosto
Per chi distribuisce modelli foundation o integra API di GPAI in applicazioni europee, il 2 agosto 2026 è la data operativa immediata. Gli obblighi concreti sono quattro.
Documentazione tecnica. I provider GPAI devono mantenere documentazione tecnica aggiornata sull'architettura del modello, i dati di training, i benchmark di valutazione, e le misure di mitigazione del rischio. Per i modelli con impatto sistemico, la documentazione deve essere accessibile all'AI Office europeo su richiesta.
Rispetto del copyright. I GPAI provider devono avere una policy pubblica sull'utilizzo dei dati di training e sul rispetto del copyright. Se il modello è stato addestrato su dati protetti, la policy deve specificare come è stato gestito il consent o l'opt-out. Questo è il punto su cui le discussioni legali sono ancora più aperte — non esiste ancora un consensus su cosa sia sufficiente.
Trasparenza verso i deployer. Chi usa il modello per costruire un'applicazione deve ricevere informazioni sufficienti per valutare i rischi della propria applicazione. Non è richiesta la disclosure completa dei pesi, ma è richiesta una documentazione che permetta al deployer di fare la propria valutazione del rischio.
Obblighi aggiuntivi per modelli con impatto sistemico. I modelli che superano la soglia dei 10^25 FLOP — attualmente una manciata di modelli frontier, Claude Opus, GPT-4, Gemini Ultra, e pochi altri — hanno obblighi aggiuntivi: adversarial testing obbligatorio, incident reporting all'AI Office, misure di cybersecurity. Anthropic e OpenAI hanno già avviato i processi di compliance; per i provider europei più piccoli la situazione è meno chiara.
Le domande rilevanti da farci ora
Se stai costruendo un'applicazione che usa API di modelli GPAI e la distribuisci in Europa, queste sono le domande che ti devi porre prima del 2 agosto:
Il provider del modello che stai usando è compliant con gli obblighi GPAI? Anthropic, OpenAI, Google e i principali provider americani stanno lavorando alla compliance. Ma se stai usando modelli meno noti o modelli open-weight hostati autonomamente, la responsabilità di alcune verifiche potrebbe ricadere su di te come deployer.
Hai una documentazione del rischio per la tua applicazione? L'AI Act distingue tra provider del modello e deployer dell'applicazione. Il deployer è responsabile della valutazione del rischio della propria applicazione specifica — anche se usa un modello di terze parti che è già compliant GPAI.
La tua applicazione cade nell'Annex III? Con la proroga a dicembre 2027, hai più tempo — ma non significa che non devi iniziare adesso. Le valutazioni di conformità per sistemi ad alto rischio richiedono mesi di lavoro e spesso consulenza legale specializzata.
Notizie da tenere d'occhio
Digital Omnibus approvato dal Parlamento Europeo (7 maggio 2026) Il pacchetto normativo tocca sette direttive, con l'AI Act tra le più rilevanti. Le modifiche principali riguardano le scadenze per Annex III e alcune precisazioni operative sugli obblighi GPAI. Perché importa: il Digital Omnibus non è una proroga generale dell'AI Act — è una precisazione di alcune scadenze. Chi lo legge come "abbiamo più tempo" rischia di mancarne le parti che non sono cambiate.
AI Office pubblica le linee guida operative per la compliance GPAI (aprile 2026) Il documento di 47 pagine dettaglia cosa si intende per "documentazione tecnica sufficiente", quali modelli superano la soglia dell'impatto sistemico, e come deve essere strutturato il processo di adversarial testing. Perché importa: è il documento di riferimento per i team legali che stanno lavorando alla compliance. Non è un testo di legge, ma è la lettura più autorevole disponibile su come l'AI Office interpreterà gli obblighi GPAI.
Adozione formale dell'AI Act prevista per giugno-luglio 2026 Il Consiglio europeo deve ancora adottare formalmente alcune disposizioni del pacchetto Omnibus. L'adozione è attesa tra giugno e luglio 2026. Perché importa: fino all'adozione formale, alcune disposizioni tecniche possono ancora subire aggiustamenti minori. Il 2 agosto resta la data di enforcement GPAI, ma i dettagli attuativi potrebbero essere aggiornati.
Una cosa da leggere
AI Act — testo consolidato con le modifiche Digital Omnibus, disponibile sul sito EUR-Lex.
Non è una lettura agile, ma se devi prendere decisioni operative sulla compliance della tua azienda o del tuo prodotto, hai bisogno del testo primario — non di interpretazioni secondarie. La sezione più rilevante per chi lavora con LLM è il Capitolo V (articoli 51-56) sugli obblighi per i modelli GPAI. È quella che vale la pena leggere per intero.
Il Digital Omnibus non ha tolto urgenza al 2 agosto. Ha spostato alcune scadenze per i sistemi ad alto rischio — e questo è un respiro reale per chi stava lavorando su applicazioni HR o healthcare con deadline impossibili. Ma per chi lavora con modelli GPAI, la data non si muove. Chi ha aspettato l'Omnibus sperando in una proroga generale ha aspettato per niente.
La regolamentazione europea sull'AI non è perfetta — è lenta, è complessa, è piena di zone grigie. Ma esiste, ha forza di legge, e da agosto si applica. Meglio saperlo prima.
Grazie per aver letto questo articolo fammi sapere cosa ne pensi!
Ci vediamo presto qui su WikiLuc!
