Nome utente
AI

AI Act: scadenze, Digital Omnibus e cosa fare entro il 2028

per 26 Febbraio 2026Non ci sono commenti

AI Act: scadenze, rischi del Digital Omnibus e azioni urgenti

L’AI Act è già legge in Europa e alcune disposizioni sono operative, mentre altre dipendono dalle decisioni sul Digital Omnibus. L’AI Act pone però alle imprese una domanda non più rinviabile: aspettare chiarimenti o iniziare subito a costruire una strategia di conformità strutturata?

Il contesto è paradossale: l’UE ha la prima normativa organica al mondo sull’intelligenza artificiale, ma il cuore della regolazione – i sistemi ad alto rischio – è ancora in una zona grigia regolatoria. Il Digital Omnibus discute un rinvio fino a 16 mesi per alcuni obblighi, mentre EDPB ed EDPS mettono in guardia da ogni scorciatoia che possa trasformare la semplificazione in deregolazione.

Per le aziende che sviluppano, integrano o utilizzano sistemi di AI, l’incertezza normativa non è una giustificazione all’inazione. È un costo crescente, che si traduce in progetti bloccati, investimenti rinviati e maggiore esposizione a rischi sanzionatori e reputazionali.

AI Act: obblighi già in vigore e divieti operativi

Per comprendere l’impatto dell’AI Act sulle strategie aziendali, è fondamentale partire da ciò che è già pienamente operativo. Il Regolamento UE 2024/1689 è in vigore dal 1° agosto 2024 e ha iniziato a produrre effetti concreti nella governance dell’intelligenza artificiale in Europa.

Dal 2 febbraio 2025 sono operative le pratiche di AI vietate, tra cui:

  • lo social scoring delle persone fisiche;
  • la manipolazione subliminale di utenti vulnerabili;
  • la categorizzazione biometrica su base razziale o altri parametri sensibili.

Nella stessa data è entrato in vigore l’obbligo di AI literacy per chiunque operi un sistema di intelligenza artificiale, imponendo alle organizzazioni programmi di formazione mirata per operatori, sviluppatori e decisori. La Commissione europea ha pubblicato linee guida specifiche sui divieti e sulla definizione di sistema AI, offrendo per la prima volta criteri interpretativi operativi per distinguere i sistemi coperti dal regolamento da altre soluzioni software tradizionali.

Un ulteriore passaggio chiave dell’AI Act è il 2 agosto 2025, quando entrano in vigore:

  • le regole sui modelli GPAI (General Purpose AI);
  • l’architettura di governance istituzionale europea sull’AI;
  • il regime sanzionatorio, che può arrivare fino a 35 milioni di euro o al 7% del fatturato globale annuo dell’impresa, a seconda di quale importo sia maggiore.

Questi elementi rendono evidente che, anche in attesa delle decisioni sul Digital Omnibus, una parte significativa del quadro regolatorio dell’AI Act è già vincolante e richiede adeguamenti concreti.

AI Act e sistemi ad alto rischio: scadenze, Digital Omnibus e incertezze

Il punto più delicato dell’AI Act riguarda i sistemi ad alto rischio, che toccano ambiti come il credit scoring, la selezione del personale, la valutazione scolastica, l’identificazione biometrica e la giustizia. È qui che la normativa mostra il suo impianto più ambizioso, ma anche il più esposto al rischio di incertezza strutturale.

Il 19 novembre 2025 la Commissione ha proposto, nell’ambito del cosiddetto Digital Omnibus, un meccanismo di rinvio condizionato: gli obblighi per i sistemi high-risk non scatterebbero più a una data fissa, ma a 6 o 12 mesi dalla conferma dell’esistenza di “misure adeguate a supporto della conformità”, come:

  • standard armonizzati europei;
  • specifiche comuni tecniche;
  • linee guida interpretative dettagliate.

La proposta prevede comunque date limite invalicabili:

  • 2 dicembre 2027 per i sistemi elencati nell’Allegato III dell’AI Act;
  • 2 agosto 2028 per i sistemi dell’Allegato I.

La motivazione ufficiale della Commissione è di natura pragmatica. Gli standard del CEN-CENELEC JTC21 sono in ritardo: il primo standard, prEN 18286 (sistemi di gestione per la qualità legati all’AI), ha chiuso la fase di enquiry solo a gennaio 2026, mentre il pacchetto completo di standard è atteso per il quarto trimestre 2026. Inoltre, molti Stati membri non hanno ancora designato le rispettive autorità competenti per la supervisione dell’AI.

La dimensione politica è altrettanto rilevante. Il 20 gennaio 2026 il Parere congiunto EDPB-EDPS 1/2026 ha lanciato un messaggio chiaro: alleggerire le regole procedurali non può tradursi in un arretramento effettivo delle tutele. In particolare, i Garanti si oppongono alla cancellazione dell’obbligo di registrazione per i sistemi auto-esclusi dall’art. 6(3), chiedono di mantenere lo standard di “stretta necessità” per l’uso di dati sensibili nella bias detection e sottolineano la necessità di coinvolgere stabilmente le autorità di protezione dati (DPA) nei nuovi sandbox europei per l’AI. Il dossier è affidato all’eurodeputato Michael McNamara e i triloghi sono previsti per la primavera 2026, con obiettivo di chiusura entro metà anno.

Se il Digital Omnibus non verrà adottato prima di agosto 2026, tornerà automaticamente in vigore la timeline originaria dell’AI Act per i sistemi high-risk. Basare i piani aziendali sull’ipotesi di rinvio diventa quindi una scommessa e non una vera strategia di compliance.

Compliance high-risk: tempi di progetto, art. 50 e Legge 132/2025

Indipendentemente dall’esito finale del Digital Omnibus, le aziende devono considerare il vero vincolo: i tempi di progetto richiesti per la compliance high-risk all’AI Act. Un percorso completo di adeguamento, che includa analisi, implementazione tecnica, governance e audit, richiede mediamente tra 8 e 14 mesi. I notified bodies segnalano già agende sature verso il secondo trimestre 2026, riducendo ulteriormente i margini operativi per chi parte tardi.

La compliance per i sistemi ad alto rischio non è un mero adempimento documentale. Richiede:

  • risk management systems specifici per i rischi AI;
  • una data governance conforme all’art. 10 dell’AI Act;
  • meccanismi strutturati di supervisione umana dei sistemi;
  • audit trail completi e verificabili;
  • documentazione tecnica estesa;
  • processi di valutazione di conformità interni ed esterni.

Esistono poi scadenze che il possibile rinvio non tocca. L’art. 50 dell’AI Act, dedicato alla trasparenza, si applica dal 2 agosto 2026: le piattaforme e i fornitori dovranno garantire informative chiare sui contenuti generati da AI, inclusa la marcatura dei contenuti AI-generated (art. 50, par. 2). Per i sistemi già sul mercato è prevista una breve grace period, limitata fino a febbraio 2027, ma la direzione è irreversibile. Gli obblighi per le pubbliche amministrazioni non risultano differiti.

AI Act: scadenze, Digital Omnibus e cosa fare entro il 2028

Nel contesto italiano resta pienamente operativa la Legge 132/2025, che ha inserito l’AI Act nell’ordinamento nazionale introducendo, tra le altre cose, il reato di deepfake e rafforzando il collegamento con il Modello 231. Il quadro, quindi, non si muove come un blocco unico: è un mosaico di adempimenti, ciascuno con la propria data di decorrenza.

In parallelo, le aziende devono gestire l’intersezione tra AI Act e altre normative come il GDPR, la direttiva NIS2, il Cyber Resilience Act e il Regolamento Macchine. Dal 2026 in avanti, almeno sei grandi normative convergono nella fase applicativa, rendendo insostenibile una gestione a silos della compliance.

Azioni non rinviabili: come prepararsi all’AI Act per strati

In un contesto in cui la timeline dell’AI Act è mobile ma la direzione è definita, la risposta più efficace per le imprese è costruire un percorso di adeguamento per strati. Il primo strato è l’inventario: mappare tutti i sistemi AI in uso, in sviluppo o in fase di acquisizione, classificandoli per ruolo (provider, deployer, importatore) e livello di rischio. Un esercizio che richiede tra 4 e 8 settimane, ma che genera una consapevolezza organizzativa fondamentale.

Il secondo strato è la governance integrata. Occorre definire un framework che allinei AI Act, GDPR, NIS2, Cyber Resilience Act, Regolamento Macchine e normative di settore. Gestire ciascuna di queste compliance in modo separato moltiplica costi, ridondanze e rischi di incoerenza tra policy, processi e controlli tecnici.

Il terzo strato è il design for compliance. Ogni nuovo progetto di intelligenza artificiale dovrebbe nascere già allineato ai requisiti high-risk dell’AI Act, anche se oggi non rientra formalmente in quella classificazione. Integrare fin da subito tracciabilità, explainability e supervisione umana costa una frazione rispetto al retrofit su sistemi già in produzione. Chi progetta oggi senza considerare l’AI Act sta creando un debito tecnico-regolatorio che domani presenterà il conto, con interessi elevati.

Infine, c’è la dimensione competitiva. L’AI Act della Commissione ha superato le 230 adesioni da parte di grandi organizzazioni globali – tra cui Allianz, Lenovo, Reply, Kaspersky – che hanno scelto di muoversi in anticipo. Chi costruisce oggi un sistema di gestione dell’AI robusto non sta solo riducendo il rischio sanzionatorio, ma sta acquisendo un vantaggio competitivo basato su fiducia, affidabilità e capacità di scalare l’uso dell’AI in modo sostenibile.

AI Act: Impatto su Marketing e Business

L’AI Act non è solo una norma tecnica per giuristi e data scientist, ma una leva strategica per marketing, vendite e customer experience. La regolazione europea impone trasparenza, controllo e responsabilità nell’uso dell’intelligenza artificiale, elementi che incidono direttamente sulla qualità delle relazioni con clienti e prospect.

In ambito marketing digitale, l’AI Act impatta su attività chiave come segmentazione, profilazione avanzata, scoring dei lead, automazione delle campagne e analisi predittiva. Sistemi di AI utilizzati per valutare l’affidabilità di un cliente, assegnare priorità a una richiesta o personalizzare un’offerta potrebbero rientrare nella categoria high-risk o comunque essere soggetti a obblighi di trasparenza e controllo umano.

Per le aziende che lavorano su canali di comunicazione diretta come email, chatbot, social e messaggistica istantanea, la nuova normativa spinge verso una progettazione più responsabile delle interazioni automatizzate. La necessità di rendere riconoscibile quando un utente interagisce con un sistema di AI, e di marcare i contenuti generati artificialmente, cambia il modo di costruire funnel e journey digitali.

Questo scenario apre però anche opportunità importanti:

  • rafforzare la fiducia dei clienti grazie a comunicazioni chiare sull’uso dell’AI;
  • migliorare la qualità dei dati utilizzati nelle campagne, grazie a processi di data governance più solidi;
  • integrare supervisione umana e automazione, trasformando i team marketing e sales in orchestratori intelligenti di flussi AI-driven.

Le aziende che anticipano i requisiti dell’AI Act nei loro sistemi di marketing automation possono presentarsi al mercato come player affidabili, pronti per un futuro in cui la conformità normativa diventa prerequisito per l’innovazione, e non limite ad essa.

Come SendApp Può Aiutare con AI Act

In questo scenario regolatorio complesso, strumenti di comunicazione strutturati come quelli di SendApp possono supportare le aziende nel coniugare automazione, AI e requisiti dell’AI Act. La messaggistica business – e in particolare WhatsApp Business – è uno dei punti più sensibili dell’esperienza cliente, dove trasparenza e controllo dell’AI diventano essenziali.

Con SendApp Official, le imprese possono accedere alle API ufficiali di WhatsApp e integrare chatbot, agenti virtuali e flussi automatizzati all’interno di un’infrastruttura affidabile, tracciabile e scalabile. Questo consente di progettare conversazioni AI-driven che rispettano i principi di trasparenza, logging e supervisione richiesti dall’AI Act, preservando al contempo la qualità del servizio clienti.

Per la gestione delle conversazioni e dei team, SendApp Agent permette di orchestrare l’interazione tra operatori umani e automazioni, garantendo che la supervisione umana resti sempre possibile anche quando la prima risposta è affidata a un sistema di intelligenza artificiale. Questo è un punto cruciale per i requisiti high-risk e per la corretta gestione dei reclami, delle contestazioni e delle decisioni sensibili.

SendApp offre così una base tecnologica solida per costruire journey conversazionali che rispettano il nuovo quadro regolatorio, senza rinunciare alla velocità, alla personalizzazione e alla scalabilità delle campagne. Le aziende che vogliono anticipare le scadenze dell’AI Act possono utilizzare la piattaforma come hub per integrare in modo controllato AI, automazione e relazione umana nei propri processi di marketing e customer care.

Per valutare il livello di preparazione della tua azienda rispetto all’AI Act e capire come strutturare flussi di comunicazione conformi su WhatsApp Business, puoi richiedere una consulenza dedicata e testare le soluzioni SendApp in prova. È il momento di trasformare la compliance da vincolo a vantaggio competitivo, partendo dai canali che i tuoi clienti usano ogni giorno.

Lascia un commento