AI Act 2026 dopo il Digital Omnibus: cosa cambia davvero per le PMI italiane
Il 26 marzo 2026 il Parlamento Europeo ha approvato il Digital Omnibus (569 favorevoli, 45 contrari, 23 astensioni), il pacchetto che ridisegna le scadenze del Regolamento UE 2024/1689 sull'intelligenza artificiale. Per le PMI italiane non è un colpo di spugna: è un riordino del calendario.
Il messaggio prudente: prepararsi come se agosto 2026 fosse reale, pianificare come se dicembre 2027 fosse la data effettiva.
Questa guida spiega cosa è stato effettivamente rinviato, cosa resta in vigore al 2 agosto 2026, perché alcuni obblighi sono già attivi dal febbraio 2025 e cosa devono fare concretamente le PMI italiane nei prossimi mesi. Aggiornamento integrale del nostro precedente AI Act e PMI italiane: adempimenti e opportunità 2026 dopo il voto del 26 marzo 2026.
Cosa è cambiato il 26 marzo 2026
Il Digital Omnibus è la proposta di semplificazione presentata dalla Commissione UE il 19 novembre 2025 e approvata dal Parlamento il 26 marzo 2026. Il Consiglio UE aveva adottato la propria posizione il 13 marzo 2026. L'adozione finale formale è attesa entro l'estate 2026 dopo i triloghi.
Punto chiave: il rinvio AI Act riguarda solo una parte del Regolamento, e ha condizioni precise.
Cosa è stato rinviato
Sistemi AI ad alto rischio (Capo III dell'AI Act)
Le scadenze per i sistemi classificati ad alto rischio (Allegato III) slittano:
- da 2 agosto 2026 a dicembre 2027 per i sistemi standalone (es. scoring creditizio, HR decisionale, valutazione assicurativa)
- a agosto 2028 per i sistemi integrati in prodotti regolamentati (dispositivi medici, veicoli, infrastrutture critiche)
L'effetto pratico per le PMI: chi sviluppa o usa un sistema AI Allegato III ha 18-24 mesi in più per arrivare in regola.
Attenzione: il rinvio si applica a condizioni. La Commissione può applicare il rinvio solo se:
- Il sistema è entrato sul mercato prima di una data soglia, oppure
- Gli standard armonizzati che operativizzano l'AI Act non sono ancora disponibili al momento dell'applicazione
Il rinvio non è automatico per tutti.
🛠️ Nota per i Decision Maker: il rinvio parziale delle scadenze rischia di generare falsa sicurezza. Molti obblighi di trasparenza e sanzioni restano attivi per il 2026. Per mappare i rischi della tua azienda e pianificare l'adeguamento senza errori, puoi scaricare la checklist interattiva e gratuita direttamente su compliance.dishine.it.
Cosa resta in vigore al 2 agosto 2026
Anche dopo l'Omnibus, queste scadenze sono confermate.
Divieti sui sistemi a rischio inaccettabile (art. 5)
Già in vigore dal 2 febbraio 2025 e mantenuti. Riguardano:
- Manipolazione subliminale o tecniche ingannevoli
- Sfruttamento di vulnerabilità (età, disabilità, condizione socioeconomica)
- Social scoring da parte di autorità pubbliche
- Riconoscimento facciale in tempo reale in spazi pubblici (con eccezioni law enforcement)
- Riconoscimento delle emozioni nei luoghi di lavoro e nelle scuole
- Categorizzazione biometrica per dati sensibili
Sanzioni fino a 35 milioni o 7% del fatturato globale annuo per chi viola questi divieti.
Obblighi di trasparenza (art. 50)
In vigore al 2 agosto 2026, non sono stati rinviati. Riguardano:
- Chatbot: devono dichiarare che si sta interagendo con un'AI
- Contenuti generati da AI: testo, immagini, audio, video sintetici devono essere etichettati come tali, in modo leggibile da macchina (watermarking)
- Deepfake: vanno marcati esplicitamente
- Riconoscimento delle emozioni o categorizzazione biometrica: l'utente deve essere informato
Per le PMI che usano marketing automation, generative AI per contenuti, chatbot di customer service, questo è il blocco con la scadenza concreta più vicina.
AI Literacy (art. 4)
In vigore dal 2 febbraio 2025 e mantenuto (l'Omnibus cambia il verbo da "garantire" a "promuovere", ma l'obbligo resta).
Ogni soggetto che fornisce o usa sistemi AI in contesto professionale deve garantire un livello sufficiente di alfabetizzazione AI al personale che opera con questi sistemi.
Non è un corso tecnico avanzato: è consapevolezza su cosa è l'AI, come funziona, quali rischi comporta, proporzionata al ruolo. Approfondisci: Incentivi AI per le imprese italiane 2026.
Obblighi per i provider di modelli GPAI
In vigore dal 2 agosto 2025. Riguardano:
- Documentazione tecnica e trasparenza sul training
- Policy sul rispetto del copyright UE
- Valutazione dei rischi sistemici per i modelli più avanzati
Questi obblighi cadono sui provider dei modelli (OpenAI, Anthropic, Mistral, Google, Meta), non sulle PMI che li usano come deployer. Ma le PMI subiscono indirettamente gli effetti: contratti SaaS che cambiano, prezzi che si adeguano, certificazioni richieste a cascata.
Il quadro italiano: Legge 132/2025
In Italia, la Legge 132 del 23 settembre 2025 (in vigore dal 10 ottobre 2025) integra l'AI Act a livello nazionale:
- AgID è autorità di notifica (gestione registro, valutazione di conformità)
- ACN (Agenzia per la Cybersicurezza Nazionale) è autorità di vigilanza del mercato (ispezioni, sanzioni)
- Garante Privacy mantiene competenza per i trattamenti AI che coinvolgono dati personali
- Banca d'Italia, IVASS, AGCOM sono autorità di settore per AI in ambiti regolati
La Legge 132 introduce inoltre nuove fattispecie di reato per uso fraudolento dell'AI (es. deepfake usati per truffe), integrandosi con il Modello 231 delle imprese.
In caso di ispezione, le PMI possono trovarsi davanti a più di un'autorità — è la peculiarità italiana del modello.
Il sistema sanzionatorio AI Act
Per chi non rispetta il Regolamento, le sanzioni sono tra le più severe mai introdotte in materia tecnologica.
| Tipo di violazione | Sanzione massima |
|---|---|
| Pratiche vietate (art. 5) | 35 mln € o 7% del fatturato globale annuo |
| Non conformità sistemi alto rischio | 15 mln € o 3% del fatturato globale |
| Informazioni false alle autorità | 7,5 mln € o 1,5% del fatturato globale |
Per un'impresa da 10 milioni di fatturato, il 3% è 300.000 euro. Cifra che supera molte volte il costo di un adeguamento preventivo.
Non vanno dimenticate le sanzioni accessorie: ordine di adeguamento, sospensione del sistema, ritiro dal mercato, pubblicazione delle decisioni sanzionatorie.
Cosa devono fare le PMI italiane adesso
Il rinvio dà respiro ma non esonera. Ecco la roadmap operativa.
1. Mappare i sistemi AI realmente in uso
Molti decision maker scoprono di "non fare AI" e poi trovano che il proprio CRM ha scoring algoritmico, l'HR usa filtraggio CV automatizzato, il marketing usa generatori di contenuti, il customer service usa chatbot. Tutta AI.
Esercizio: inventario di tool AI espliciti (Copilot, ChatGPT Enterprise, Gemini Workspace, tool verticali) + tool shadow (account personali usati al lavoro, plug-in di AI dentro software esistenti).
2. Classificare ogni sistema per rischio
Per ogni sistema mappato:
- Vietato (art. 5): già fuori dalla legge. Sostituire o cessare immediatamente
- Alto rischio (Allegato III): documentazione, supervisione umana, log, valutazione rischi entro dicembre 2027/agosto 2028
- Rischio limitato: obbligo di trasparenza entro 2 agosto 2026 (chatbot, generative AI per contenuti, deepfake, riconoscimento emozioni)
- Rischio minimo: nessun obbligo specifico
Allegato III include: scoring creditizio, sistemi HR decisionali, valutazione esami scolastici, accesso a servizi pubblici essenziali, law enforcement specifico, sistemi biometrici. Più di quanto si pensi è in questa categoria.
3. Adempire alla AI Literacy (già scaduta)
Se non l'hai fatto dal 2 febbraio 2025, sei già fuori. Adempimenti minimi:
- Percorso formativo strutturato per chi usa AI (anche solo 2-4 ore con valutazione finale)
- Registro presenze e attestati
- Aggiornamento policy interna
Si può finanziare con bandi di formazione: Competenze & Innovazione Lombardia, Sviluppo Competenze PMI Mezzogiorno, Fondimpresa, Fondi paritetici interprofessionali.
4. Predisporre la trasparenza per il 2 agosto 2026
Per ogni sistema a rischio limitato in produzione:
- Aggiungere disclosure "sei in contatto con un'AI" nei chatbot
- Attivare watermarking sui contenuti generati (alcune piattaforme lo includono già nativamente)
- Etichettare deepfake e contenuti sintetici
- Aggiornare privacy policy e termini d'uso
Il Codice di buone pratiche UE sull'etichettatura dei contenuti AI (versione finale attesa giugno 2026) includerà un'icona UE standardizzata.
5. Definire ruoli provider vs deployer
L'AI Act distingue chi costruisce (provider) da chi usa (deployer). Le PMI sono quasi sempre deployer.
Attenzione alla trappola del fine-tuning: se la PMI personalizza un modello AI con dati propri in modo sostanziale, può essere riclassificata come provider — con obblighi documentali molto più pesanti. Prima di configurare modelli AI custom, una valutazione legale è necessaria.
6. Predisporre la governance per i sistemi alto rischio (entro dicembre 2027/agosto 2028)
Per i sistemi che a regime saranno alto rischio:
- Risk management documentato (art. 9)
- Data governance e qualità dati (art. 10)
- Documentazione tecnica completa (Allegato IV)
- Logging (art. 12)
- Trasparenza e istruzioni d'uso (art. 13)
- Supervisione umana effettiva (art. 14)
- Accuratezza, robustezza, cybersicurezza (art. 15)
- Valutazione di conformità con organismo notificato
Lavoro di mesi. Iniziare ora, anche con il rinvio.
Costi reali di compliance AI Act
Dalle proiezioni più recenti:
- Compliance di un singolo sistema AI ad alto rischio: circa 52.000 euro/anno (risk assessment, documentazione tecnica art. 11, sistema gestione qualità, monitoring post-mercato, log conservation art. 12)
- Valutazione di conformità con organismo notificato: 5.000-50.000 euro a sistema, una tantum
- Adeguamento trasparenza per PMI tipo (chatbot, generative AI): 5.000-15.000 euro
- Percorso AI literacy aziendale: 2.000-10.000 euro
- Audit AI Act completo per PMI: 15.000-40.000 euro per la baseline iniziale
Per una PMI media che ha 3-4 sistemi a alto rischio in produzione: 150-200K/anno di compliance cumulativa, da ammortizzare su orizzonte pluriennale.
Importante: questi costi sono finanziabili in larga parte da bandi.
Finanziamenti per la compliance e lo sviluppo AI
L'adeguamento AI Act è uno dei pochi adempimenti normativi che ha strumenti pubblici dedicati o utilizzabili.
- Voucher Cloud & Cybersecurity PMI MIMIT: copre componenti tecniche di compliance AI
- Voucher Digitali I4.0 Camere di Commercio: voucher provinciali, AI tra le tecnologie ammesse
- Credito d'imposta R&S per sviluppo di sistemi AI proprietari (10% fino a 5 mln/anno fino al 2031). Vedi: Credito d'imposta R&S 2026: guida completa
- Iperammortamento 2026-2028 per beni 4.0 con componenti AI integrate. Vedi: Iperammortamento 2026-2028: guida completa
- Smart&Start Italia per startup AI
- IPCEI Intelligenza Artificiale per grandi progetti europei sovranità AI
- Competenze & Innovazione Lombardia per formazione AI literacy + percorsi strategici
Per il quadro completo: Incentivi AI per le imprese italiane 2026 e Bandi digitalizzazione PMI 2026.
🛡️ Per costruire una baseline di compliance integrata (AI Act + NIS2 + GDPR + DSA) prima di lanciare progetti AI: il playbook gratuito di compliance.dishine.it.
Tre casi pratici
Caso 1 — Agenzia marketing 12 dipendenti che usa generative AI
- Sistemi AI: ChatGPT Enterprise, Midjourney, suite Adobe AI
- Classificazione: rischio limitato (generative AI per contenuti)
- Scadenza concreta: 2 agosto 2026 — etichettatura contenuti AI
- Cosa fa: aggiunge watermarking + disclosure nei brief, aggiorna contratti coi clienti su AI use, fa AI literacy al team
- Costo: 5-10K una tantum, 3-5K/anno
Caso 2 — PMI servizi finanziari 80 dipendenti, scoring creditizio interno
- Sistemi AI: scoring interno per fido clienti
- Classificazione: alto rischio (Allegato III)
- Scadenza con rinvio: dicembre 2027
- Cosa fa: avvia subito risk assessment formale, documentazione tecnica, supervisione umana strutturata, log conservation
- Costo: 60-100K una tantum, 40-50K/anno mantenimento
Caso 3 — Startup AI 8 persone che sviluppa modello verticale per HR
- Ruolo: provider del proprio modello
- Classificazione: alto rischio (HR è Allegato III)
- Cosa fa: prepara intero impianto provider obblighi (artt. 16-22 AI Act), valutazione conformità, dichiarazione UE, marcatura CE. Considera regulatory sandbox AgID
- Costo: 50-100K una tantum + 30K/anno (questi costi sono ammortizzabili e finanziabili)
FAQ
Il Digital Omnibus è già legge?
No. È approvato dal Parlamento UE il 26 marzo 2026 con la posizione del Consiglio del 13 marzo. La pubblicazione in Gazzetta UE e l'adozione finale formale sono attese entro l'estate 2026. Le scadenze rinviate diventano efficaci con la pubblicazione finale.Posso aspettare la versione finale per iniziare ad adeguarmi?
No. Per due motivi: 1) i divieti, la trasparenza e l'AI literacy non sono rinviati, 2) la compliance AI Act per sistemi alto rischio richiede 6-12 mesi di lavoro effettivo, anche con il rinvio.La mia PMI usa solo ChatGPT base. Sono soggetto all'AI Act?
Sì, ma come deployer di sistema a rischio limitato. Obblighi: AI literacy (già scaduto), trasparenza per contenuti generati (al 2 agosto 2026), termini d'uso aggiornati. Niente documentazione tecnica pesante.Cosa succede se faccio fine-tuning di un modello open source?
Potenzialmente diventi provider, non più deployer. Gli obblighi diventano molto più pesanti. Una valutazione legale è necessaria prima di procedere.Il Garante Privacy può sanzionarmi sull'AI Act?
Per i trattamenti di dati personali integrati in sistemi AI, sì: il Garante mantiene la propria competenza GDPR. L'autorità AI Act in Italia è ACN, ma molte ispezioni possono essere congiunte.Cosa è il watermarking machine-readable?
Marcatura tecnica del contenuto generato da AI con metadati leggibili da sistemi automatici. Permette di rilevare automaticamente che un'immagine, un audio o un video è stato generato da AI, anche dopo modifiche. Per molti tool (DALL-E 3, Midjourney, Sora) è già attivo nativamente. Per altri (alcuni modelli open source) bisogna implementarlo manualmente.Ho una sede UE ma non vendo in Italia. Devo conformarmi alla Legge 132?
L'AI Act è direttamente applicabile in tutta l'UE. La Legge 132/2025 si applica per i sistemi AI usati in Italia o i cui output sono utilizzati in Italia. Se operi solo all'estero ma usi sistemi AI in Italia (anche con sede UE in altro Stato), in caso di controllo italiano puoi essere coinvolto.Esiste una sandbox italiana per testare sistemi AI?
Sì. La Legge 132/2025 prevede regulatory sandbox gestite da AgID per testare in modo controllato sistemi AI innovativi prima del lancio. Particolarmente utili per startup e sistemi alto rischio sperimentali.NIS2 e AI Act si sovrappongono?
Per i sistemi AI ad alto rischio che ricadono anche in perimetro NIS2 (es. AI in infrastrutture critiche, sanità, energia), gli obblighi cyber dell'art. 15 AI Act si integrano con NIS2 sulle misure di sicurezza. Le due governance vanno costruite in modo coordinato. Vedi: NIS2 per PMI italiane: cosa fare entro ottobre 2026.Normativa di riferimento
- Regolamento (UE) 2024/1689 (AI Act) — pubblicato in GU UE il 12/7/2024, in vigore dal 1° agosto 2024
- Digital Omnibus AI — approvato dal Parlamento UE il 26 marzo 2026, in fase di adozione finale
- Legge 23 settembre 2025, n. 132 — in vigore dal 10 ottobre 2025 (designazione AgID/ACN, fattispecie di reato)
- Direttiva NIS2 (UE) 2022/2555 e D.Lgs. 138/2024 — sovrapposizioni cyber
- Reg. (UE) 2016/679 (GDPR) — coordinamento con trattamenti AI di dati personali
Verifica idoneità in 60 secondi
Rispondi a 4 domande e ricevi via email i bandi più rilevanti per la tua impresa.
Continua con le altre guide
NIS2 per PMI italiane: cosa fare entro ottobre 2026 (e perché aspettare ti costa caro)
NIS2 per PMI: scadenze 2026, soggetti essenziali vs importanti, sanzioni fino a 10 mln, effetto cascata sui fornitori. Roadmap pratica per essere in regola.
Leggi guidaI 10 bandi più richiesti dalle PMI italiane nel 2026: classifica e guida pratica
La classifica 2026 dei bandi più richiesti dalle PMI italiane. ZES Unica, Nuova Sabatini, Voucher Cloud, Resto al Sud 2.0, Brevetti+ e altri 5.
Leggi guidaCompetenze & Innovazione Lombardia 2026: fino a 50.000 € al 70% per formazione e innovation manager in azienda
Competenze & Innovazione Lombardia II edizione: 70% fondo perduto fino a 50.000 € per formazione, consulenza, innovation manager. Sportello 8/4/2026-30/6/2027.
Leggi guidaI bandi di questa guida
Gli strumenti principali analizzati in questo articolo. Verifica scadenze e requisiti.
Voucher Cloud & Cybersecurity per PMI
MIMIT
Voucher a fondo perduto del 50% per PMI e lavoratori autonomi che investono in servizi e prodotti di cloud computing e cybersecurity. L'importo massimo del contributo è di 20.000 euro, con un piano di spesa minimo di 4.000 euro. La scadenza per la registrazione dei fornitori è il 27 maggio 2026; i termini per le domande delle imprese saranno definiti con successivo provvedimento.
Credito d'imposta R&S Innovazione Design
MIMIT
Sostegno per gli investimenti delle imprese in ricerca fondamentale, industriale, sviluppo sperimentale, innovazione tecnologica e design. È rivolto a tutte le imprese residenti in Italia, indipendentemente da forma giuridica e dimensione. L'agevolazione prevede aliquote variabili dal 5% al 20% con massimali annuali fino a 5 milioni di euro, utilizzabile in compensazione tramite modello F24.
Iperammortamento 2026-2028
MIMIT
Il bando Iperammortamento 2026-2028 offre un credito d'imposta per investimenti in beni strumentali 4.0, beni FER per autoconsumo e sistemi di stoccaggio energia. È rivolto a micro, piccole, medie e grandi imprese, oltre che ai lavoratori autonomi, su tutto il territorio nazionale. Prevede una maggiorazione fiscale fino al 180% del costo dei beni, con aliquote decrescenti in base all'importo dell'investimento. Le domande possono essere presentate dal 1° gennaio 2026 al 30 settembre 2028.