L'8 luglio 2026, il Parlamento europeo e il Consiglio dell'Unione europea hanno firmato l'atto finale che modifica il Regolamento (UE) 2024/1689 (l'AI Act) e il Regolamento (UE) 2018/1139 (l'EASA Basic Regulation) nell'ambito della procedura 2025/0359(COD), nota come Digital Omnibus on AI o Omnibus VII. Il Consiglio aveva dato il suo via libera definitivo il 29 giugno 2026, e l'atto ha ora concluso la procedura, in attesa di pubblicazione nella Gazzetta Ufficiale dell'Unione europea. Una volta pubblicato, entrerà in vigore il ventesimo giorno successivo alla pubblicazione.

L'effetto sostanziale è una riprogrammazione del calendario dei principali obblighi ad alto rischio dell'AI Act. La data di applicabilità generale per la maggior parte degli obblighi ad alto rischio, originariamente fissata al 2 agosto 2026, passa al 2 dicembre 2027 per i sistemi di IA ad alto rischio autonomi elencati nell'Annex III, e al 2 agosto 2028 per l'IA ad alto rischio integrata in prodotti regolamentati coperti dall'Annex I (macchinari, dispositivi medici, diagnostica in vitro, veicoli, aviazione, apparecchiature marittime). Per ogni responsabile della conformità dell'IA nell'UE, questa è la prima modifica materiale dell'AI Act dalla sua adozione nel giugno 2024, e cambia il piano di sviluppo e conformità per qualsiasi sistema che stava correndo verso la scadenza di agosto 2026.

La fonte ufficiale per le tempistiche della procedura, i riferimenti dei co-legislatori e lo stato dell'atto finale è il fascicolo dell'Osservatorio legislativo del Parlamento europeo per la procedura 2025/0359(COD). La proposta della Commissione è COM(2025) 0836 del 19 novembre 2025; la posizione in prima lettura del Parlamento è il testo T10-0198/2026 del 16 giugno 2026; e l'adozione da parte del Consiglio è registrata il 29 giugno 2026. Questo articolo analizza cosa è cambiato, chi rientra nell'ambito di applicazione e cosa fare in seguito.

Cosa cambia effettivamente il Digital Omnibus VII?

L'omnibus è una semplificazione mirata, non una riscrittura. Modifica due regolamenti dell'UE vincolanti ed esistenti: l'AI Act (Regolamento (UE) 2024/1689) e l'EASA Basic Regulation (Regolamento (UE) 2018/1139). L'inquadramento politico da parte di entrambi i co-legislatori è la "semplificazione dell'attuazione di norme armonizzate sull'intelligenza artificiale", e l'effetto giuridico principale è un rinvio delle date di applicabilità per l'alto rischio, abbinato a limitati chiarimenti sostanziali sui confini del regime ad alto rischio e sull'interazione con la legislazione settoriale sulla sicurezza dei prodotti.

L'ancoraggio procedurale è importante per i team di conformità: l'atto è stato adottato secondo la procedura legislativa ordinaria (codecisione, base giuridica del mercato interno ex Article 114 TFUE), con la commissione IMCO (relatore KOKALARI, PPE) e la commissione LIBE (relatore MCNAMARA, Renew) congiuntamente responsabili al Parlamento europeo. Il trilogo si è concluso nel maggio 2026, il Parlamento ha votato la sua posizione in prima lettura il 16 giugno 2026, il Consiglio l'ha adottata il 29 giugno 2026 e l'atto finale è stato firmato l'8 luglio 2026. Fase raggiunta nel fascicolo della procedura: "Procedura completata, in attesa di pubblicazione nella Gazzetta Ufficiale".

Chi deve conformarsi e entro quando?

Ogni fornitore, deployer, importatore, distributore e rappresentante autorizzato di un sistema di IA immesso sul mercato dell'UE o il cui output è utilizzato nell'UE rientra nell'ambito di applicazione dell'AI Act, indipendentemente dal luogo in cui è stabilito il fornitore. L'omnibus non restringe tale ambito. Ciò che fa è spostare le date in cui i gravosi obblighi ad alto rischio diventano applicabili, lasciando invece il regime delle pratiche vietate, il regime di trasparenza per l'IA per finalità generali (GPAI) e l'architettura istituzionale (l'AI Office, l'AI Board, le autorità nazionali competenti) sui loro calendari originali.

Concretamente, la scala di applicabilità rivista per il regime ad alto rischio è la seguente:

Categoria di obblighiApplicabilità originaleApplicabilità post Omnibus VIICondizione
Pratiche vietate ex Article 5 (escluse le immagini intime)2 febbraio 2025 (già applicabile)Invariata, in vigoreNessuna
Divieto di immagini intime ex Article 52 febbraio 20252 dicembre 2026Subordinata alla pubblicazione in GU prima del 2 agosto 2026
Trasparenza / watermarking per contenuti generati dall'IA ex Article 50(2)2 agosto 20262 dicembre 2026Subordinata alla pubblicazione in GU prima del 2 agosto 2026
Trasparenza GPAI e designazione dell'AI Office2 agosto 2025 (già applicabile)Invariata, in vigoreNessuna
Sistemi di IA ad alto rischio autonomi ex Annex III2 agosto 20262 dicembre 2027Subordinata alla pubblicazione in GU prima del 2 agosto 2026
IA ad alto rischio integrata in prodotti ex Annex I (macchinari, dispositivi medici, IVDR, veicoli, aviazione, settore marittimo)2 agosto 20272 agosto 2028Subordinata alla pubblicazione in GU prima del 2 agosto 2026

L'etichetta "subordinata alla pubblicazione in GU prima del 2 agosto 2026" è il cardine legale: i rinvii hanno effetto solo se l'omnibus viene pubblicato nella Gazzetta Ufficiale prima della data di applicabilità originale del 2 agosto 2026. Con la firma dell'atto finale l'8 luglio 2026, tale condizione è di fatto soddisfatta, ma l'innesco formale è la pubblicazione in GU, non la firma. I team dovrebbero monitorare la data di pubblicazione in GU nel record CELEX di EUR-Lex per l'atto finale, che seguirà la firma nel giro di pochi giorni.

Quali obblighi dell'AI Act vengono spostati e quali rimangono sul calendario originale?

Il rinvio è selettivo. Tre categorie si spostano: gli obblighi per l'alto rischio autonomo di cui all'Annex III (al 2 dicembre 2027), gli obblighi per l'alto rischio integrato nei prodotti di cui all'Annex I (al 2 agosto 2028) e due disposizioni specifiche sulla trasparenza (il divieto di immagini intime ex Article 5 e il watermarking ex Article 50(2), entrambi al 2 dicembre 2026). Tutto il resto, compreso il nucleo delle pratiche vietate dell'Article 5, gli obblighi di trasparenza e documentazione per i GPAI, il percorso del Codice di condotta GPAI per i modelli con rischio sistemico e l'assetto istituzionale dell'AI Office e delle autorità nazionali competenti, rimane sul suo calendario originale.

Questo schema selettivo è importante dal punto di vista operativo. I fornitori di modelli GPAI sono ancora tenuti agli obblighi di documentazione e di informazione a valle di cui all'Article 53, applicabili dal 2 agosto 2025, e i fornitori di modelli GPAI con rischio sistemico sono ancora tenuti agli obblighi dell'Article 55. I deployer di sistemi di riconoscimento delle emozioni o di categorizzazione biometrica sono ancora tenuti agli obblighi di trasparenza dell'Article 50, in vigore dal 2 agosto 2026, ad eccezione della più ristretta sottodisposizione sul watermarking che si sposta al 2 dicembre 2026. Il lavoro di conformità che era sempre stato programmato per il 2025 e l'inizio del 2026 rimane invariato; l'omnibus fa guadagnare tempo solo per la valutazione della conformità ad alto rischio, il sistema di gestione dei rischi, la governance dei dati, la documentazione tecnica e gli obblighi di monitoraggio post-commercializzazione che si aggiungono alla classificazione di alto rischio.

Cosa significa l'omnibus per i fornitori di sistemi di IA ad alto rischio?

Per un fornitore di un sistema di IA ad alto rischio di cui all'Annex III (ad esempio, uno strumento di screening per le assunzioni, un sistema di credit scoring, un componente di un'infrastruttura critica o un sistema di idoneità per l'istruzione o i servizi essenziali), l'effetto pratico è un'estensione di 16 mesi della finestra di sviluppo: dal 2 agosto 2026 al 2 dicembre 2027. È tempo per completare la valutazione della conformità, costruire il sistema di gestione dei rischi, assemblare la documentazione tecnica, istituire la registrazione automatica e la supervisione umana, e stipulare un contratto con un organismo notificato ove richiesto. Non è tempo per rimandare il lavoro: la valutazione della conformità ai sensi dell'AI Act è un processo denso di documentazione e di prove che richiede dai 6 ai 12 mesi per un sistema non banale, e la nuova scadenza è ancora a 17 mesi di distanza.

Per i fornitori di IA ad alto rischio integrata nei prodotti di cui all'Annex I, l'estensione va dal 2 agosto 2027 al 2 agosto 2028. Questa è la categoria che si sovrappone alla legislazione settoriale sulla sicurezza dei prodotti: la Machinery Regulation, la Medical Devices Regulation (MDR), la In Vitro Diagnostics Regulation (IVDR), il quadro di omologazione automobilistica e l'EASA Basic Regulation. L'omnibus modifica l'EASA Basic Regulation proprio per allineare le sue disposizioni sull'IA con la nuova data dell'agosto 2028, motivo per cui la Basic Regulation compare nel titolo formale dell'atto. I fornitori in questa categoria dovrebbero riprogrammare la loro valutazione della conformità in modo che proceda parallelamente al processo di marcatura CE settoriale, non in sequenza, e dovrebbero aspettarsi che le autorità settoriali competenti (organismi notificati per MDR/IVDR, autorità di omologazione per il settore automobilistico, EASA per l'aviazione) si coordinino con l'AI Office sul livello dell'AI Act.

Per i deployer di IA ad alto rischio (datori di lavoro, banche, ospedali, autorità pubbliche), l'estensione ritarda ugualmente gli obblighi a carico del deployer: la valutazione d'impatto sui diritti fondamentali ai sensi dell'Article 27, gli obblighi di supervisione umana, la registrazione nella banca dati pubblica dell'UE per determinati deployer ad alto rischio e l'obbligo di monitoraggio post-commercializzazione di segnalare incidenti gravi. I deployer che stavano costruendo processi per rispettare la scadenza di agosto 2026 dovrebbero mantenere in corso lo sviluppo e utilizzare il tempo extra per il lancio istituzionale, la formazione e l'integrazione con i sistemi di gestione della conformità esistenti.

Come dovrebbero riprogrammare i prossimi 18 mesi i responsabili della conformità dell'IA?

Quattro azioni sono ora critiche in termini di tempo, e i 16 mesi extra non ne eliminano nessuna. In primo luogo, riallineare la roadmap di conformità rispetto alle nuove date del 2 dicembre 2027 e del 2 agosto 2028, e confermare che la condizione di pubblicazione in GU sia soddisfatta prima di considerare definitivo il rinvio. In secondo luogo, inventariare ogni sistema di IA rientrante nell'ambito di applicazione e classificarlo rispetto agli elenchi post-omnibus dell'Annex III e dell'Annex I, poiché la classificazione determina quale scadenza si applica. In terzo luogo, avviare o continuare la preparazione della valutazione della conformità, compresa la documentazione tecnica, il sistema di gestione dei rischi, le prove di governance dei dati e il coinvolgimento dell'organismo notificato per i sistemi che richiedono una valutazione della conformità da parte di terzi. In quarto luogo, monitorare la pipeline degli atti secondari: l'AI Office e la Commissione stanno ancora pubblicando atti di esecuzione e delegati (il Codice di condotta GPAI, le linee guida sulla classificazione dell'alto rischio, le norme tecniche dettagliate dell'Annex III) che definiscono i dettagli operativi del regime ad alto rischio, e questi arriveranno durante la finestra di rinvio.

Il registro delle attività di lobbying sulla procedura 2025/0359(COD) è un segnale utile per capire dove si trovano i prossimi punti di pressione. Il registro per la trasparenza del Parlamento europeo per la procedura 2025/0359(COD) riporta incontri tra i relatori e i relatori ombra e Mistral AI, Google, la AI Chamber, noyb, European Digital Rights (EDRi), CCIA Europe, Allegro, Wolt, Inter Ikea, TIC Council, l'International Federation of the Phonographic Industry, gli uffici di Bruxelles di ARD e ZDF, la European Tech Alliance, ALLAI, la European FinTech Association e la European Federation of Engineering Consultancy Associations. Questa ampiezza di coinvolgimento, che abbraccia costruttori di IA, piattaforme, titolari di diritti, società civile e associazioni settoriali, segnala un elevato interesse da parte degli stakeholder su come il regime ad alto rischio e i suoi atti di esecuzione saranno resi operativi durante la finestra di rinvio. Il registro annota che gli incontri hanno avuto luogo; non registra le posizioni assunte, pertanto questo articolo non ne attribuisce alcuna.

Cosa è rimasto invariato che i team avrebbero potuto aspettarsi che cambiasse?

Vale la pena segnalare tre cose che l'omnibus non ha modificato, poiché la stampa specializzata le ha occasionalmente confuse con il rinvio. Il nucleo delle pratiche vietate dell'Article 5 (manipolazione subliminale, social scoring da parte delle autorità pubbliche, scraping non mirato di immagini facciali, inferenza delle emozioni nei luoghi di lavoro e nelle scuole, categorizzazione biometrica per attributi sensibili e identificazione biometrica remota in tempo reale da parte delle autorità pubbliche) rimane in vigore ed è già applicabile. Il regime di trasparenza per i GPAI rimane in vigore. E l'architettura istituzionale, l'AI Office all'interno della Commissione, l'European AI Board, il forum consultivo e il gruppo scientifico, rimane in vigore. L'omnibus è strettamente un rinvio per l'alto rischio e un allineamento mirato dell'EASA Basic Regulation, non una pausa generale dell'AI Act.

Questo è esattamente il punto in cui il monitoraggio continuo, per singola giurisdizione, si rivela prezioso. Un segnale che è passato da "accordo di trilogo" ad "adozione del Consiglio" a "firma dell'atto finale" a "pubblicazione in GU" nello spazio di due mesi ha rimodellato ogni roadmap di conformità all'IA dell'UE. Obsidian traccia questa catena di segnali da un capo all'altro, con una tracciabilità consapevole del quadro normativo che collega ogni fase procedurale allo specifico articolo del regolamento sottostante. L'IA è un compagno normativo verificato, mai un sostituto dell'esperto umano che firma la valutazione della conformità, ma è il modo più rapido per far emergere il cambiamento nel momento in cui un co-legislatore si muove. Si veda il monitoraggio e la pagina del compagno IA per capire come funziona in pratica, e i prezzi per la struttura dei piani.

Segui questo argomento in tempo reale con un job di monitoraggio gratuito

Per i prossimi 18 mesi, la checklist è semplice. Confermare la data di pubblicazione in GU su EUR-Lex nel momento in cui avviene, riallineare ogni piano di progetto per l'IA ad alto rischio rispetto al 2 dicembre 2027 (Annex III) o al 2 agosto 2028 (Annex I), mantenere il lavoro sulla trasparenza dei GPAI e sulle pratiche vietate sul suo calendario originale 2025-2026, informare per iscritto i team di prodotto, legali, di ingegneria ML e di approvvigionamento sulle nuove date, e monitorare la pipeline degli atti di esecuzione dell'AI Office che definiranno i dettagli operativi durante la finestra di rinvio. Obsidian continuerà a segnalare ogni mossa sostanziale sul percorso dell'AI Act e del Digital Omnibus man mano che si verifica.