Passa al contenuto principale

Baldi & Partners – Privacy e Cyber Sicurezza

  • 15 Luglio 2026

AI ACT: LE SCADENZE SULL’INTELLIGENZA ARTIFICIALE “AD ALTO RISCHIO” SLITTANO AL 2027-2028. ECCO COSA CAMBIA DAVVERO

Per mesi, il 2 agosto 2026 è stato indicato come la data spartiacque dell’AI Act, il regolamento europeo sull’intelligenza artificiale: il momento in cui sarebbero scattati gli obblighi più severi, quelli sui sistemi di IA “ad alto rischio”. Con l’approvazione del cosiddetto Digital Omnibus, quella scadenza è stata spostata in avanti.

Ma cosa sono i sistemi di IA ad alto rischio? Cosa cambia nel calendario e cosa continua a valere da subito?

Che cos’è un sistema di IA “ad alto rischio”

L’AI Act (Regolamento UE 2024/1689) non classifica il rischio in base alla tecnologia usata, ma in base all’uso concreto che se ne fa. Un sistema di intelligenza artificiale è “ad alto rischio” quando interviene in ambiti dove un errore può incidere in modo significativo sui diritti o sulle opportunità di una persona. Alcuni esempi concreti:

  • Selezione del personale: software che filtrano automaticamente i curricula, assegnano punteggi ai candidati o supportano decisioni di assunzione, promozione o licenziamento.
  • Valutazione del merito creditizio: sistemi che calcolano lo scoring creditizio o l’affidabilità finanziaria di clienti e richiedenti di un prestito.
  • Accesso a servizi essenziali: strumenti che decidono l’idoneità a prestazioni assicurative (es. tariffazione del rischio in ambito vita e salute) o a servizi pubblici.
  • Istruzione e formazione: sistemi che gestiscono l’ammissione a percorsi formativi o valutano l’apprendimento degli studenti.
  • Biometria: strumenti di identificazione o categorizzazione biometrica (es. riconoscimento facciale per il controllo accessi).
  • Infrastrutture critiche e sicurezza sul lavoro: sistemi di IA integrati in macchinari o impianti che gestiscono funzioni di sicurezza.

Cosa cambia: il Digital Omnibus e il nuovo calendario

Il 19 novembre 2025 la Commissione europea ha presentato una proposta di semplificazione (il “Digital Omnibus”), motivata dal fatto che gli standard tecnici armonizzati necessari per applicare in pratica gli obblighi sull’alto rischio non sarebbero stati pronti in tempo. Il percorso si è poi concluso rapidamente: a seguito dell’accordo tra Parlamento EU e Consiglio del 7 maggio 2026, il Parlamento EU ha approvato il 16 giugno 2026 e il Consiglio UE il 29 giugno 2026 ha dato il via libera definitivo.

Il risultato pratico è questo:

ObbligoScadenza originariaNuova scadenza
Sistemi ad alto rischio “stand-alone” (Allegato III: HR, credito, istruzione, servizi essenziali, biometria, ecc.)2 agosto 20262 dicembre 2027
Sistemi di IA ad alto rischio integrati in prodotti già regolati (es. macchinari, dispositivi medici)2 agosto 20262 agosto 2028
Etichettatura/marcatura dei contenuti generati da IA (art. 50) per sistemi già sul mercato2 agosto 20262 dicembre 2026

Cosa NON è stato rinviato

  • I divieti sulle pratiche vietate (art. 5: es. social scoring, manipolazione subliminale, riconoscimento delle emozioni sul lavoro) sono in vigore dal 2 febbraio 2025 e restano pienamente sanzionabili.
  • L’obbligo di alfabetizzazione in materia di IA (“AI literacy”, art. 4) è anch’esso già vigente e non è toccato dal rinvio.
  • Gli obblighi di trasparenza (art. 50 — es. informare l’utente che sta interagendo con un chatbot, o etichettare contenuti sintetici) restano fissati al 2 agosto 2026.

Il rinvio riguarda quindi solo la parte più onerosa e strutturata della compliance e non l’intero impianto del regolamento.

Cosa fare da qui alle prossime scadenze

Il rinvio non è una pausa: è tempo in più per arrivare preparati, Vi suggeriamo quindi di:

  1. Mappare i sistemi di IA effettivamente in uso in azienda (anche quelli acquistati da fornitori terzi, come software HR o piattaforme di scoring).
  2. Classificarli per livello di rischio, verificando in particolare quelli riconducibili all’Allegato III.
  3. Verificare da subito la conformità agli obblighi già vigenti: divieti dell’art. 5, trasparenza dell’art. 50, formazione del personale (AI literacy).
  4. Avviare per tempo — senza attendere il 2027 — il lavoro di gestione del rischio e documentazione sui sistemi ad alto rischio già identificati.


resta aggiornato
in tempo reale

C.F. e P.I. 00734370356

© Baldi Prati & Partners. All rights reserved.
Powered by AgM Srl.