AI Act Rinviato al 2027-2028: Perché le PMI Italiane Non Devono Fermarsi Dopo l'Accordo Omnibus del 7 Maggio

Una notizia che sembra una buona notizia

La mattina del 7 maggio 2026, alle 4:30, Consiglio UE e Parlamento europeo hanno chiuso una trattativa lunga sei mesi sul pacchetto Omnibus dedicato all'AI Act. Il risultato, pubblicato qualche ora dopo, è stato un sospiro collettivo per molte aziende: le scadenze più temute sono state rinviate di anni. Gli obblighi sui sistemi AI ad alto rischio dell'Annex III, che dovevano scattare il 2 agosto 2026, slittano al 2 dicembre 2027. Quelli per l'AI integrata in prodotti regolati dell'Annex I al 2 agosto 2028. L'unica scadenza vicina che resta è il watermarking dei contenuti generati da AI, posticipato di soli quattro mesi al 2 dicembre 2026.

Per le grandi imprese con team legali strutturati il rinvio è semplicemente un sollievo organizzativo. Per le PMI italiane la situazione è più complicata di quanto la titolatura faccia sembrare. Perché mentre l'Europa frena, l'Italia ha già accelerato: la legge 132 del 10 ottobre 2025, approvata in anticipo rispetto all'enforcement europeo, ha introdotto requisiti nazionali sull'intelligenza artificiale che vanno oltre quelli dell'AI Act, e che restano vincolanti indipendentemente da cosa succede a Bruxelles.

Il risultato è un quadro che molti imprenditori non hanno ancora messo a fuoco: doppio regime parzialmente sovrapposto, autorità di vigilanza nazionale già attiva, alcune scadenze vicine che restano, e una tassa nascosta sotto forma di consulenze ripetute e progetti rifatti più volte. Capire cosa significa davvero il rinvio per chi usa strumenti AI nei processi aziendali è il punto chiave delle prossime settimane.

Cosa è stato rinviato e cosa no

Il pacchetto Omnibus del 7 maggio interviene chirurgicamente su tre scadenze. Quella più importante è il 2 agosto 2026, data in cui sarebbero scattati gli obblighi pieni per i sistemi AI classificati come "ad alto rischio" secondo l'Allegato III: software di selezione del personale, sistemi di scoring crediti, AI usata in sicurezza dei prodotti, sanità, infrastrutture critiche, giustizia. Questi obblighi includono valutazione di conformità, marchio CE, documentazione tecnica dettagliata, supervisione umana qualificata, registrazione in database europei. È il blocco normativo più pesante dell'intero regolamento, e quello che generava più ansia tra le aziende italiane.

La seconda scadenza spostata riguarda i sistemi AI integrati in prodotti regolati dell'Allegato I (macchinari, dispositivi medici, giocattoli, veicoli). Anche questi obblighi sono stati rinviati di due anni, al 2 agosto 2028.

La terza scadenza, quella sul watermarking dei contenuti generati da AI, è stata invece spostata di pochi mesi, dal 2 agosto al 2 dicembre 2026.

Quello che non è stato toccato dal pacchetto Omnibus è altrettanto importante. L'obbligo di alfabetizzazione AI previsto dall'Articolo 4 è in vigore dal 2 febbraio 2025: qualsiasi azienda che usa sistemi AI deve garantire al proprio personale un "livello sufficiente di alfabetizzazione" sui rischi e i corretti utilizzi. I divieti sulle pratiche AI a rischio inaccettabile (riconoscimento biometrico indiscriminato, social scoring, manipolazione subliminale) sono attivi dallo stesso 2 febbraio 2025. Le regole sui modelli di intelligenza artificiale a uso generale sono operative dal 2 agosto 2025. Le sanzioni previste dall'Articolo 99 - fino a 35 milioni di euro o il 7% del fatturato globale per le violazioni più gravi - restano dietro l'angolo per le parti di regolamento già applicabili.

Cosa significa "watermarking" e perché è la scadenza più urgente

Il termine watermarking traduce letteralmente "filigrana", come quella delle banconote. Applicato all'intelligenza artificiale, indica un sistema per marcare in modo riconoscibile ogni contenuto generato da AI, così che chi lo vede o lo legge possa capire che non è stato creato da una persona ma da una macchina. È la risposta normativa europea al rischio di deepfake, recensioni false, immagini pubblicitarie sintetiche spacciate per fotografie reali, articoli giornalistici scritti da AI senza dichiararlo.

Il watermarking funziona su due livelli che vanno previsti insieme. Il primo è il watermark visibile, quello che l'utente vede direttamente: una scritta sotto una foto generata da AI, un disclaimer in fondo a un articolo redatto con il supporto di intelligenza artificiale, un avviso che precede l'interazione con un chatbot per dichiarare che dall'altra parte c'è un sistema automatico, non una persona. Il secondo è il watermark invisibile, o machine-readable: metadati nascosti dentro il file che l'utente non vede a occhio nudo, ma che altri software, motori di ricerca o piattaforme social riconoscono in automatico. Un'immagine generata da Midjourney, ad esempio, oggi contiene già metadati invisibili che dichiarano l'origine artificiale.

Per una PMI italiana questo obbligo tocca tutti i contenuti generati con strumenti AI: testi marketing (post blog, descrizioni prodotto, email commerciali, post social), immagini promozionali create con generatori come Midjourney o DALL-E, video aziendali realizzati con strumenti come Sora, voiceover sintetici, e chatbot pubblicati sul sito. Da dicembre 2026 ognuno di questi contenuti dovrà essere etichettato in modo conforme. Le sanzioni per la mancata trasparenza arrivano fino a 15 milioni di euro o il 3% del fatturato globale.

Il punto critico è che il watermarking non si risolve scrivendo a mano "creato con AI" sotto a un post. Per essere conformi serve un'automazione tecnica: un sistema che inserisca i metadati nascosti nei file generati, un registro che tracci quale contenuto è stato prodotto, da quale strumento e quando, un'etichettatura uniforme su tutti i canali aziendali (sito, social, newsletter), e l'integrazione con il CMS del sito e con gli strumenti di pubblicazione. Una PMI che pubblica anche solo cinquanta post social al mese e venti email marketing non può etichettare manualmente: serve un flusso tecnico strutturato.

Questa è l'unica scadenza vicina rimasta dopo il pacchetto Omnibus, e probabilmente la meno discussa nei media specializzati. Per le aziende che fanno marketing digitale, e-commerce o gestione clienti con supporto AI, dicembre 2026 è molto più vicino di quanto sembri.

Lo scenario italiano: la legge 132/2025 cambia il quadro

La parte che molti imprenditori non hanno ancora assorbito è che l'Italia non aspetta l'Europa. Il 10 ottobre 2025 è stata pubblicata la legge 132/2025, che recepisce e specifica l'AI Act nel contesto italiano introducendo elementi nazionali aggiuntivi. Tre cose contano in particolare: la legge designa l'ACN (Agenzia per la Cybersicurezza Nazionale) come autorità di vigilanza nazionale; introduce obblighi di trasparenza specifici per la pubblica amministrazione; richiede supervisione umana qualificata in sanità e giustizia, oltre a valutazioni d'impatto per tutti i sistemi AI usati nei processi decisionali pubblici.

L'ACN è già pienamente operativa come autorità competente. In caso di ispezione o segnalazione, è all'ACN che si risponde. Il fatto che gli obblighi europei sull'alto rischio siano stati rinviati non sposta di un giorno i requisiti italiani, che restano vincolanti. Un'azienda italiana che lavora per la pubblica amministrazione o in settori critici si trova quindi sotto una vigilanza nazionale attiva mentre quella europea entra in stand-by.

I numeri sull'adozione AI in Italia rendono il quadro ancora più rilevante. Secondo i dati ISTAT 2025, il 16,4% delle imprese italiane con almeno dieci addetti utilizza già almeno una tecnologia di intelligenza artificiale, con una crescita dell'8,2% rispetto al 2024. Tra le PMI il dato è del 15,7%, contro il 53,1% delle grandi imprese. La maggior parte di queste aziende usa AI in modi che richiedono comunque conformità: ChatGPT per generare email commerciali, Microsoft Copilot integrato nei pacchetti Office, chatbot sui siti, automazioni per la gestione ordini, sistemi di analisi predittiva. Nessuno di questi usi è esente dagli obblighi di alfabetizzazione, trasparenza verso gli utenti e gestione del rischio.

Le tre trappole del rinvio per le PMI italiane

Il pacchetto Omnibus, presentato come misura di buon senso per evitare un onere insostenibile, contiene tre trappole che colpiscono in modo particolare le PMI.

La prima trappola è l'illusione del tempo guadagnato. Una PMI che oggi pensa "abbiamo due anni in più" sta sottovalutando la complessità del lavoro di adeguamento. Mappare i sistemi AI usati, classificarli in base al rischio, identificare il ruolo (provider o deployer), preparare la documentazione tecnica, formare il personale: per un'azienda con uso AI standard parliamo di sei-dieci settimane di lavoro consulenziale più i tempi interni. Rinviare significa che molte PMI arriveranno al 2027 senza aver fatto nulla, e si troveranno nella stessa situazione di urgenza che avevano oggi.

La seconda trappola è il bersaglio mobile. Una PMI che aveva avviato un programma di compliance per la scadenza originale di agosto 2026 si trova adesso con un progetto in corso, costi consulenziali già sostenuti, processi già modificati. Il rinvio non cancella questi investimenti, ma li sospende in un limbo. Le aziende che hanno cominciato per tempo si trovano ora a chiedersi se continuare a pieno ritmo o rallentare, sapendo che le scadenze potrebbero essere ulteriormente ribaltate se il vento politico cambiasse di nuovo. È una tassa nascosta che pesa molto di più sulle PMI che sulle grandi imprese.

La terza trappola riguarda la sovrapposizione con la normativa italiana. La legge 132/2025 resta vincolante, il watermarking arriva a dicembre 2026, l'alfabetizzazione AI è già obbligatoria. Una PMI italiana che pensa "il rinvio mi riguarda" trascurando questi punti rischia sanzioni anche nel breve periodo. Le multe per la mancata alfabetizzazione del personale possono già essere applicate. Quelle per la mancata etichettatura dei contenuti AI scatteranno a dicembre. Quelle per il mancato rispetto degli obblighi italiani sono già in vigore.

Cosa fare adesso concretamente

L'approccio operativo per una PMI italiana cambia poco rispetto a prima del 7 maggio. Cambia il calendario, non la sostanza del lavoro. Ci sono cinque passaggi concreti che vale la pena affrontare entro l'estate 2026, indipendentemente dai rinvii.

Il primo passaggio è la mappatura dei sistemi AI utilizzati. Quasi sempre una PMI usa più strumenti AI di quanti pensi: ChatGPT per il marketing, Copilot in Office, automazioni Make o Zapier con componenti AI, chatbot sul sito, sistemi di scoring fornitori, riconoscimento documenti, traduzione automatica. Senza un inventario chiaro non è possibile alcuna valutazione di conformità.

Il secondo passaggio è la classificazione di ogni sistema in base al rischio. La maggior parte degli strumenti usati dalle PMI rientra nelle categorie a rischio minimo o limitato, dove gli obblighi sono leggeri. Ma alcuni usi specifici (selezione del personale automatizzata, scoring clienti, sistemi predittivi che incidono su decisioni rilevanti) possono ricadere nella categoria ad alto rischio, anche se il software è acquistato da terzi.

Il terzo passaggio è l'identificazione del ruolo: provider (chi sviluppa o modifica significativamente un sistema AI) o deployer (chi lo utilizza). La maggior parte delle PMI italiane è deployer. La trappola è il fine-tuning sostanziale: se una PMI personalizza un modello AI con i propri dati in modo profondo, rischia di essere riclassificata come provider, con obblighi documentali molto più pesanti. Questo passaggio richiede valutazione legale e tecnica congiunta.

Il quarto passaggio è l'alfabetizzazione del personale, obbligo già attivo dal febbraio 2025. Non serve formare tutti i dipendenti come esperti di AI: serve garantire un livello base di consapevolezza sui rischi, sull'uso corretto degli strumenti, sui dati che non devono essere inseriti in sistemi generativi pubblici. Per una PMI con 20-50 dipendenti questo lavoro si chiude tipicamente in due-quattro ore di formazione strutturata.

Il quinto passaggio è la preparazione tecnica al watermarking di dicembre 2026. Come spiegato sopra, non basta una dichiarazione formale: serve un sistema che inserisca i metadati nascosti, tracci la generazione dei contenuti, garantisca etichettatura uniforme su tutti i canali e si integri con il CMS aziendale. È probabilmente il punto più urgente e meno preparato dalle PMI italiane.

In A126 Web Technologies affianchiamo le PMI italiane in questi cinque passaggi con un approccio integrato tra mappatura tecnica dei sistemi, configurazione delle integrazioni necessarie per la conformità (watermarking, log delle interazioni AI, sistemi di tracciamento delle generazioni automatiche) e supporto operativo continuativo. La conformità AI Act non è solo un tema legale: richiede competenze tecniche che vanno dalla configurazione degli strumenti alla gestione dei flussi dati.

Il rischio reputazionale e commerciale che pochi considerano

Oltre alle sanzioni dirette, il rinvio europeo non cancella un effetto collaterale già in corso: la richiesta di compliance AI Act sta diventando un prerequisito contrattuale nei rapporti business-to-business, soprattutto verso clienti enterprise. Una PMI fornitrice di una grande azienda italiana o europea si trova sempre più spesso a dover dimostrare la conformità ai requisiti AI Act per restare nella supply chain, anche prima delle scadenze ufficiali. Il rinvio non ferma questa dinamica, anzi: le grandi aziende continuano a richiedere garanzie ai fornitori, e quelle che non possono fornirle perdono opportunità.

Lo stesso vale per la reputazione presso clienti finali. Le decisioni sanzionatorie pubblicate da autorità europee e italiane creano effetti reputazionali immediati. La conservazione dei file di log, la documentazione delle scelte algoritmiche, la trasparenza verso gli utenti non sono solo obblighi formali: sono asset di credibilità nel mercato.

Se stai usando strumenti AI nei tuoi processi e vuoi capire cosa cambia concretamente per la tua azienda dopo il rinvio del 7 maggio, contattaci per una consulenza gratuita: analizziamo insieme la tua attuale esposizione, costruiamo la mappatura dei sistemi AI utilizzati, e definiamo un percorso di adeguamento dimensionato sulla tua scala, integrato con le scadenze italiane già operative e con il watermarking di dicembre 2026.

A126 Web Technologies — Soluzioni digitali su misura per le PMI italiane.