TL;DR: L'EU AI Act non ha una sola scadenza. Ne ha sette, e l'accordo Omnibus del 7 maggio 2026 ha spostato la più pesante: i sistemi AI ad alto rischio (Annex III) slittano da agosto 2026 a dicembre 2027, 16 mesi in più. Ma due obblighi sono già in vigore da mesi. Ignorarli significa rischiare fino a 35 milioni di euro. Ecco il calendario completo e cosa fare adesso.
Se stai pianificando la compliance AI Act basandoti sulla scadenza di agosto 2026, potresti avere un problema.
Non perché sei in ritardo. Perché quella data non è più quella che credi.
Il 7 maggio 2026, il Parlamento Europeo e il Consiglio hanno raggiunto un accordo provvisorio, il cosiddetto Digital Omnibus on AI, che ha spostato in avanti le scadenze più pesanti. Ma non tutte. Alcune sono rimaste. Altre erano già scadute.
Questo è il calendario aggiornato. Prendi nota delle date che contano davvero per la tua azienda.
Quali scadenze AI Act sono già passate?
Due obblighi dell'AI Act sono già in vigore. Se rientri nel loro perimetro, sei già esposto a sanzioni.
Il 2 febbraio 2025 sono entrate in vigore le disposizioni sulle pratiche di AI vietate (Art. 5). Otto tipologie di sistemi AI sono proibite in modo assoluto: manipolazione subliminale, sfruttamento di vulnerabilità, social scoring da parte di enti pubblici, identificazione biometrica in tempo reale in spazi pubblici, categorizzazione biometrica per inferire etnia o religione, riconoscimento delle emozioni sul lavoro o a scuola, predizione di rischio criminale individuale, scraping massivo di immagini facciali.
La sanzione per chi viola Art. 5 è la più alta dell'intero regolamento: fino a 35 milioni di euro o il 7% del fatturato globale annuo, a seconda di quale dei due è più alto. Per le PMI si applica la soglia inferiore.
Il 2 agosto 2025 sono scattati gli obblighi per i provider di modelli AI di uso generale (GPAI). Chi sviluppa o distribuisce modelli come GPT, Claude, Gemini o equivalenti deve rispettare obblighi di documentazione tecnica, trasparenza sui dati di addestramento e conformità copyright. I poteri di enforcement della Commissione Europea su questi provider entrano in applicazione dal 2 agosto 2026.
Cos'è cambiato con il Digital Omnibus di maggio 2026?
L'Omnibus ha spostato la scadenza più temuta del regolamento: i sistemi AI ad alto rischio Annex III non devono essere conformi ad agosto 2026, ma a dicembre 2027.
Il provvedimento approvato il 7 maggio 2026 ha differito di 16 mesi l'obbligo di conformità per i sistemi standalone classificati nell'Annex III: selezione del personale, scoring creditizio, biometria, infrastrutture critiche, forze dell'ordine, giustizia, istruzione, migrazione. Per i sistemi AI incorporati in prodotti soggetti a normativa armonizzata (Annex I, come macchinari o dispositivi medici), la scadenza è invece agosto 2028.
L'accordo è ancora provvisorio. Richiede la ratifica formale di Parlamento e Consiglio, poi la pubblicazione in Gazzetta Ufficiale. Ma l'orientamento politico è consolidato.
Attenzione: l'Omnibus non è una proroga generale. Agosto 2026 rimane una data carica di obblighi. Cambiano solo quelli legati ai sistemi high-risk Annex III.
Il calendario completo AI Act 2024–2028
| Data | Obbligo | Stato | Articolo |
|---|---|---|---|
| 1 ago 2024 | Entrata in vigore del Regolamento | ✓ Passata | Art. 113 |
| 2 feb 2025 | Pratiche vietate (8 categorie) + Alfabetizzazione AI | ✓ In vigore | Art. 5 + Art. 4 |
| 10 ott 2025 | Legge italiana L. 132/2025 | ✓ In vigore | — |
| 2 ago 2025 | Obblighi GPAI + autorità nazionali | ✓ In vigore | Art. 53-55 |
| 2 ago 2026 | Trasparenza Art. 50 (chatbot, labeling AI) + enforcement GPAI | ⚑ 6 mesi | Art. 50 |
| 2 dic 2026 | Watermarking obbligatorio contenuti AI sintetici | ↻ Omnibus | Art. 50(2) |
| 2 dic 2027 | Sistemi high-risk Annex III standalone | ↻ Omnibus | Art. 6(2) |
| 2 ago 2028 | Sistemi high-risk Annex I (embedded in prodotti) | ↻ Omnibus | Art. 6(1) |
Agosto 2026: cosa devi fare entro quella data?
Agosto 2026 non è scomparso dal calendario. Restano tre obblighi concreti, e il tempo per prepararsi si accorcia ogni settimana.
Primo. I sistemi AI a rischio limitato che interagiscono con persone fisiche devono rispettare le regole di trasparenza Art. 50. Se hai un chatbot sul sito, un assistente virtuale, un sistema che genera contenuti automaticamente, devi informare gli utenti che stanno interagendo con un'AI. Non è facoltativo. Non è una buona pratica. È un obbligo.
Secondo. I poteri sanzionatori della Commissione Europea sui provider GPAI entrano in piena applicazione. Chi non ha messo in ordine la documentazione tecnica del proprio modello, la policy sui dati di addestramento e la conformità copyright si troverà esposto a ispezioni con sanzioni fino a 15 milioni di euro o il 3% del fatturato.
Terzo. Il regolamento diventa pienamente applicabile. L'intero apparato sanzionatorio è operativo. Il fatto che la tua azienda abbia tempo fino al 2027 per i sistemi Annex III non significa che possa ignorare il contesto normativo generale.
Se usi AI nei tuoi processi aziendali, il modo più rapido per capire cosa ti riguarda è partire dal classificatore di rischio AI integrato in AIComply. Identifica il tier del tuo sistema in pochi minuti.
Dicembre 2026: il watermarking obbligatorio
Dal 2 dicembre 2026, chi genera contenuti audio, video, immagini o testo con sistemi AI deve applicare una marcatura machine-readable che identifichi il contenuto come artificiale.
L'obbligo viene dall'Art. 50(2) e riguarda i provider di sistemi che producono contenuti sintetici. Non si applica solo alle grandi tech company: se hai integrato un modello AI nella tua piattaforma per generare immagini, testi di prodotto o video, il watermarking è tuo obbligo.
L'accordo Omnibus ha accorciato il periodo transitorio da sei a tre mesi rispetto alla data di entrata in vigore del regolamento, portando la scadenza al 2 dicembre 2026 invece di agosto.
AIComply include uno scanner Art. 50 gratuito per verificare se i tuoi sistemi rientrano nell'obbligo di disclosure e watermarking.
Dicembre 2027: la vera scadenza per i sistemi ad alto rischio
Se il tuo sistema AI rientra nell'Annex III, hai tempo fino al 2 dicembre 2027. Ma non è un invito ad aspettare.
I sistemi Annex III coprono otto aree: selezione e gestione del personale, scoring creditizio, biometria, infrastrutture critiche, forze dell'ordine, giustizia e processi giudiziari, istruzione e formazione professionale, servizi pubblici e migrazione. Gran parte delle imprese italiane che usano AI in HR o customer scoring ricade in questo perimetro senza saperlo.
La conformità Annex III non si risolve in una settimana. Richiede documentazione tecnica (Annex IV), sistema di risk management, data governance, logging con retention minima di 6 mesi, supervisione umana documentata, FRIA se sei un'autorità pubblica o istituzione finanziaria, DPIA se tratti dati personali, registrazione nel database EUDB. L'intero iter richiede tipicamente tra 6 e 18 mesi.
Dicembre 2027 è lontano. Il percorso non lo è. Puoi partire dall'assessment iniziale in meno di 48 ore.
Quanto tempo ci vuole davvero per essere conformi?
La risposta dipende da due variabili: quanto è complesso il tuo sistema AI e quanto sei organizzato nella raccolta della documentazione.
Un percorso di conformità completo per un sistema Annex III fatto in modo tradizionale richiede consulenze legali, audit tecnici, redazione di documentazione, gap analysis, assessment DPIA e FRIA. Il mercato parla di 6-18 mesi, con costi che variano dai 30.000 ai 150.000 euro per un sistema di media complessità.
AIComply è costruito per comprimere quel percorso. Il primo assessment è pronto in meno di 48 ore. I tool guidano ogni articolo del regolamento, dai check Art. 5 alla dichiarazione di conformità. Il dossier finale è esportabile e pronto per un notified body o per le autorità di vigilanza.
Puoi vedere i piani disponibili o iniziare subito con lo scanner gratuito.