AI Act: rinvio 16 mesi per l'alto rischio, cosa resta valido
ai actcompliancepmifonte: cybersecurity360.it

AI Act: rinvio 16 mesi per l'alto rischio, cosa resta valido

Dopo il Digital Omnibus, gli obblighi per sistemi ad alto rischio slittano a dicembre 2027. Cosa resta in vigore dal 2 agosto 2026 per le PMI italiane.

Alex Vuza·4 luglio 2026·14 min read

Con il Digital Omnibus approvato dal Consiglio UE, gli obblighi per i sistemi AI classificati ad alto rischio ai sensi dell'Allegato III slittano di 16 mesi: dalla scadenza originaria del 2 agosto 2026 al 2 dicembre 2027. Per la maggior parte delle PMI italiane questo è un respiro — ma non tutto è stato rinviato. Il rinvio AI Act PMI 2026 riguarda solo una fascia degli obblighi: dal 2 agosto 2026 alcune norme entrano in vigore regolarmente, e ignorarle espone a sanzioni reali.

Punti chiave

  • 16 mesi di proroga per i sistemi ad alto rischio Allegato III (da 2/8/2026 a 2/12/2027)
  • Dal 2 agosto 2026: obblighi di trasparenza Art. 50 (chatbot, deepfake) già applicabili
  • Dal 2 febbraio 2026: pratiche AI vietate già in vigore — nessuna proroga
  • Sanzioni fino a 35M€ o 7% del fatturato per pratiche vietate, invariate
  • Le PMI possono usare questo tempo per mappare i propri strumenti AI e prepararsi con calma

Cos'è il Digital Omnibus e perché ha cambiato il calendario AI Act rinvio 2026

Il Digital Omnibus è il pacchetto di semplificazione normativa approvato dalla Commissione europea e ratificato dal Consiglio UE nel maggio 2026. Tra le misure, ha modificato le scadenze di applicazione dell'AI Act per i sistemi ad alto rischio elencati nell'Allegato III — quelli non già regolati da normativa settoriale UE preesistente.

L'obiettivo dichiarato era evitare che le imprese europee, incluse le PMI, si trovassero a dover rispettare obblighi tecnici e documentali onerosi prima che fossero disponibili standard armonizzati e linee guida ufficiali. Il risultato pratico: 16 mesi in più per adeguarsi agli obblighi di documentazione, registrazione e governance previsti per i sistemi dell'Allegato III.

Il Digital Omnibus ha anche esteso i benefici di semplificazione previsti per micro e piccole imprese alle cosiddette «small mid-cap» — imprese con meno di 500 dipendenti che non rientrano nella definizione UE di PMI. Questo amplia la platea di soggetti con requisiti di documentazione tecnica ridotta e sistemi di gestione della qualità semplificati rispetto alle grandi corporate. Fonte: servicematica.com.

Le nuove scadenze AI Act dopo il rinvio: timeline aggiornata

1
2 febbraio 2026 — Pratiche AI vietateGIÀ IN VIGORE

L'Art. 5 è già applicabile senza deroghe. Sono vietati i sistemi di social scoring, la manipolazione subliminale, il riconoscimento biometrico in tempo reale in spazi pubblici (con eccezioni limitate) e i sistemi di inferenza delle emozioni in contesti lavorativi. Se la tua PMI usa strumenti che rientrano in queste categorie, è già fuori legge indipendentemente da qualsiasi rinvio.

2
2 agosto 2026 — GPAI e trasparenza chatbotTRA POCHE SETTIMANE

Entrano in vigore gli obblighi per i modelli AI general purpose (GPAI) e soprattutto gli obblighi di trasparenza Art. 50: chi deploya un chatbot deve informare l'utente che sta interagendo con un sistema AI. Chi genera contenuti sintetici (immagini, video, audio AI) deve garantirne l'identificabilità. Questo blocco non è rinviato.

3
2 dicembre 2026 — Watermarking contenuti AIFINE 2026

Obbligo di marcatura machine-readable per contenuti artificialmente generati. I provider di sistemi GPAI devono garantire che i contenuti siano marcati tecnicamente. Non riguarda direttamente le PMI che usano strumenti SaaS di terzi, ma influenza i tool che utilizzi — verifica che il tuo fornitore sia compliant.

4
2 dicembre 2027 — Alto rischio Allegato IIIIL RINVIO PRINCIPALE

Slittato di 16 mesi dalla data originale del 2/8/2026. Da questa data entrano in vigore gli obblighi completi per i sistemi AI ad alto rischio dell'Allegato III: documentazione tecnica, registrazione nel database EUAI, sistemi di gestione della qualità, valutazione della conformità e supervisione umana documentata. Fonte: cybersecurity360.it.

5
2 agosto 2028 — Alto rischio normativa settorialeLUNGO TERMINE

I sistemi AI già regolati da normativa UE settoriale preesistente (es. dispositivi medici, sistemi di sicurezza per veicoli) hanno la scadenza più lontana. Non riguarda la grande maggioranza delle PMI generali, ma è rilevante per chi opera in ambito healthcare, automotive o infrastrutture critiche.

Cosa resta valido dal 2 agosto 2026: il AI Act rinvio PMI non è totale

Il rinvio riguarda esclusivamente i sistemi dell'Allegato III non ancora coperti da normativa settoriale UE. Dal 2 agosto 2026, invece, entrano in vigore senza deroghe:

Art. 50 — Obblighi di trasparenza per sistemi interattivi: Se deploya un chatbot di assistenza clienti, un assistente virtuale, un sistema di risposta automatica via email o WhatsApp, devi informare chiaramente gli utenti che stanno interagendo con un sistema AI. Questo obbligo è in vigore dal 2 agosto 2026, indipendentemente dal rinvio sull'alto rischio.

Pratiche vietate (Art. 5): In vigore dal 2 febbraio 2026. Includono la manipolazione comportamentale inconsapevole, il social scoring generalizzato e il riconoscimento biometrico non autorizzato.

Governance e autorità nazionali: L'Italia ha designato l'AGCM come autorità di mercato competente. Il sistema di sorveglianza è operativo da agosto 2026.

RINVIATO a dicembre 2027Allegato III
Documentazione tecnica
Obbligatoria da 2/12/2027
Registrazione EUAI DB
Obbligatoria da 2/12/2027
Valutazione conformità
Obbligatoria da 2/12/2027
Sistema gestione qualità
Obbligatorio da 2/12/2027
Supervisione umana (Art. 14)
Obbligatoria da 2/12/2027
IN VIGORE dal 2 agosto 2026Non rinviato
Divieto pratiche vietate
In vigore dal 2/2/2026
Trasparenza chatbot (Art. 50)
In vigore dal 2/8/2026
Obblighi GPAI (Art. 51-55)
In vigore dal 2/8/2026
Watermarking contenuti AI
In vigore dal 2/12/2026
Sanzioni pratiche vietate
Applicabili ora

Chi rientra nell'Allegato III: quali PMI sono davvero coinvolte

L'Allegato III elenca 8 categorie di settori e casi d'uso che qualificano un sistema AI come ad alto rischio. Per una PMI italiana, i casi più frequenti sono l'HR (selezione e valutazione del personale) e lo scoring creditizio. Ecco come orientarsi:

Screening automatico CV con scoring candidati per selezione HR

HR AI tools

Chatbot assistenza clienti standard senza scoring o profilazione

Customer service AI

Scoring creditizio o valutazione affidabilità finanziaria clienti B2B

Credit AI

Automazione email marketing e follow-up commerciale

Sales automation

Sistemi di raccomandazione prodotti su e-commerce

E-commerce AI

Valutazione accesso a istruzione o formazione professionale

Education AI

ok={true} indica sistemi generalmente NON ad alto rischio Allegato III — non soggetti al rinvio né agli obblighi pesanti. ok={false} indica sistemi potenzialmente ad alto rischio che richiedono classificazione formale entro dicembre 2027.

Un punto importante che emerge dal lavoro di audit operativo con le PMI: spesso le aziende non sanno di avere sistemi che rientrano nell'Allegato III. Un software HR con AI di scoring candidati acquistato come SaaS — dove il venditore non ha chiarito la classificazione AI Act — è il caso più frequente. La mappatura degli strumenti AI in uso è il primo passo, e vale farlo adesso che hai 16 mesi davanti, non nel 2027 sotto pressione.

Le sanzioni AI Act invariate: cosa rischia la tua PMI

Il rinvio degli obblighi Allegato III non ha modificato il regime sanzionatorio. Queste cifre si applicano già:

16 mesi
Rinvio alto rischio Allegato IIIDa 2/8/2026 a 2/12/2027 — Digital Omnibus UE
35M€
Sanzione max pratiche vietateO 7% del fatturato globale — AI Act Art. 99
2 ago 2026
Obbligo trasparenza chatbot (Art. 50)Non rinviato — in vigore come previsto

Secondo isimply.it, la struttura sanzionatoria è:

  • Pratiche vietate (Art. 5): fino a 35.000.000€ o il 7% del fatturato mondiale annuo totale
  • Altri obblighi incluso Art. 50 trasparenza: fino a 15.000.000€ o il 3% del fatturato
  • Informazioni inesatte alle autorità: fino a 7.500.000€ o l'1% del fatturato
  • PMI e startup: le autorità nazionali applicano le sanzioni proporzionalmente, con margine discrezionale, ma il margine non è un'immunità

Non rispettare l'Art. 50 (trasparenza chatbot) dal 2 agosto 2026 espone già a sanzioni fino al 3% del fatturato. Questo obbligo non è rinviato.

Il rinvio non è un'amnistia

Rinviare gli obblighi Allegato III a dicembre 2027 non significa poter ignorare il dossier fino ad allora. Le autorità nazionali (in Italia: AGCM) sono operative da agosto 2026. Chi non ha avviato alcun processo di compliance rischia di trovarsi impreparato anche nel 2027: la documentazione tecnica richiesta per i sistemi ad alto rischio richiede mesi di lavoro preparatorio con il fornitore del sistema.

Cosa fare adesso: 5 passi concreti per la tua PMI

1
Fai l'inventario degli strumenti AI in usoLuglio 2026 — subito

Elenca tutti i software, SaaS, plugin, API e strumenti con componente AI: dal software HR all'assistente email, dal chatbot al sistema di scoring dei lead. Se non hai questo inventario, è il primo deliverable utile prima di qualsiasi valutazione normativa. Non puoi classificare ciò che non conosci.

2
Classifica ogni strumento rispetto all'AI ActLuglio-agosto 2026

Per ogni strumento verifica: rientra nell'Allegato III? Usa pratiche vietate (Art. 5)? Ha un'interfaccia conversazionale con utenti finali (Art. 50)? Genera contenuti sintetici (watermarking)? La classificazione non richiede sempre un legale specializzato: spesso basta leggere la documentazione del fornitore o chiedere esplicitamente se il sistema è classificato AI Act Allegato III.

3
Attiva subito le disclosure obbligatorieEntro il 2 agosto 2026

Se hai un chatbot attivo su sito, app o WhatsApp Business, aggiungi la disclosure obbligatoria: l'utente deve sapere di interagire con un sistema AI. La maggior parte dei provider SaaS (Intercom, Tidio, Zendesk, Manychat) include questa opzione nelle impostazioni. Attivarla richiede pochi minuti e mette in regola il punto più imminente.

4
Avvia il dossier per sistemi Allegato IIIEntro fine 2026

Se usi sistemi potenzialmente ad alto rischio (HR scoring, credit scoring), hai tempo fino a dicembre 2027 per la compliance completa — ma la documentazione tecnica richiesta è sostanziale. Inizia ora: raccolta delle specifiche del fornitore, definizione delle policy di supervisione umana, impostazione dei log delle decisioni automatizzate. Distribuire il lavoro in 18 mesi è molto meno costoso che farlo in 3 mesi sotto scadenza.

5
Monitora l'evoluzione degli standardContinuo

Gli standard armonizzati europei (CEN/CENELEC) e le linee guida della Commissione per i sistemi ad alto rischio sono ancora in pubblicazione. Tieni monitorati gli aggiornamenti dell'AGCM e di fonti come agendadigitale.eu — i requisiti tecnici definitivi emergeranno nei prossimi mesi e potrebbero influire su come devi documentare i tuoi sistemi.

Il vantaggio di fare la mappatura adesso

Quando lavoriamo con una PMI sull'audit operativo gratuito, la mappatura degli strumenti AI in uso è sempre il primo step. Non per un motivo burocratico, ma perché rivela quasi sempre opportunità nascoste: un'automazione del customer service che poteva essere migliorata, un processo HR che poteva essere reso più efficiente con strumenti conformi, un workflow documentale che richiedeva supervisione manuale evitabile.

Classificare i propri strumenti AI rispetto all'Allegato III, all'Art. 50 e alle pratiche vietate crea una mappa dell'infrastruttura AI aziendale che ha valore operativo indipendentemente dalle scadenze normative. Chi la fa adesso ha un vantaggio concreto su chi aspetta dicembre 2027.

Il modulo Customer Support di AutoMate PRO, ad esempio, è configurato con la disclosure Art. 50 attiva di default: l'azienda non deve preoccuparsi della compliance su quel fronte. La conformità è integrata nella soluzione fin dalla configurazione, non aggiunta come patch a posteriori.

PMI che aspetta il 2027Approccio reattivo
Inventario tool AI
Assente o incompleto
Disclosure chatbot (Art. 50)
A rischio da 2/8/2026
Documentazione Allegato III
Da produrre in fretta nel 2027
Costo compliance
Elevato — urgenza genera costi
Mesi disponibili
3-6 mesi sotto pressione
PMI che si prepara adessoApproccio proattivo
Inventario tool AI
Completo entro agosto 2026
Disclosure chatbot (Art. 50)
Attivata entro 2/8/2026
Documentazione Allegato III
Avviata nel 2026, pronta nel 2027
Costo compliance
Distribuito nel tempo — gestibile
Mesi disponibili
18+ mesi con calma

Per un approfondimento sulle sanzioni per i sistemi ad alto rischio già operative, leggi anche: AI Act e sanzioni agosto 2026: cosa rischiano le PMI con sistemi ad alto rischio.

FAQ — AI Act rinvio PMI 2026

Il rinvio di 16 mesi vale per tutte le PMI italiane?

Il rinvio riguarda i sistemi AI classificati ad alto rischio ai sensi dell'Allegato III che non siano già regolati da normativa settoriale UE. Le PMI che usano solo strumenti generici — chatbot, automazione marketing, assistenti AI per documenti — non rientrano nell'Allegato III. Per loro il rinvio è irrilevante, ma devono rispettare l'Art. 50 trasparenza dal 2 agosto 2026 se usano interfacce conversazionali.

Cosa si intende per sistema ad alto rischio Allegato III?

L'Allegato III elenca 8 categorie: infrastrutture critiche, istruzione e formazione, occupazione e gestione dei lavoratori, accesso a servizi essenziali privati e pubblici, attività di contrasto, migrazione e controllo delle frontiere, amministrazione della giustizia, processi democratici. Per le PMI il caso più frequente è la gestione HR (screening CV automatico, valutazione dipendenti) e lo scoring creditizio o di affidabilità finanziaria.

I chatbot di customer service sono sistemi ad alto rischio?

Generalmente no — un chatbot standard di assistenza clienti non rientra nell'Allegato III. È invece soggetto all'Art. 50 (trasparenza): l'utente deve essere informato che sta interagendo con un sistema AI. Questo obbligo è in vigore dal 2 agosto 2026, indipendentemente dal rinvio sull'alto rischio. Nessun rinvio per questo punto.

Cosa cambia con il Digital Omnibus per le piccole imprese?

Il Digital Omnibus ha esteso le semplificazioni già previste per micro e piccole imprese (documentazione tecnica ridotta, sistemi di gestione qualità alleggeriti) anche alle «small mid-cap» — imprese fino a 500 dipendenti fuori dalla definizione UE di PMI. In pratica, una fascia più ampia di imprese ha requisiti meno onerosi rispetto alle grandi corporate, anche quando si tratta di sistemi Allegato III.

Dal 2 agosto 2026 devo fare qualcosa subito?

Sì, due cose concrete. Prima: se hai un chatbot attivo su sito, app o WhatsApp Business, attiva la disclosure AI obbligatoria prima del 2 agosto 2026 — è un'impostazione nei tool più comuni. Seconda: se usi sistemi che potrebbero rientrare nell'Allegato III (HR scoring, credit scoring), avvia ora la mappatura formale, anche se hai tempo fino a dicembre 2027.

Come faccio a sapere se il mio strumento AI è ad alto rischio?

Il primo passo è leggere la documentazione del fornitore: molti vendor SaaS indicano già se il loro sistema rientra nell'ambito AI Act Allegato III. In assenza di questa informazione, la classificazione dipende dall'uso specifico — non dal prodotto in sé. Un software HR con AI che supporta decisioni di assunzione è ad alto rischio; lo stesso software usato solo per gestire il calendario no. Se non sei sicuro, richiedi un audit gratuito su automate-pro.com: la mappatura degli strumenti AI è il primo deliverable del Context Pack.

Conclusione: usa i 16 mesi, non aspettarli

Il rinvio di 16 mesi per i sistemi ad alto rischio Allegato III è una notizia concreta per le PMI italiane — significa più tempo per preparare la documentazione tecnica richiesta. Ma non è un'amnistia.

Dal 2 agosto 2026 l'Art. 50 sulla trasparenza dei chatbot è in vigore. Le pratiche vietate sono sanzionabili dal 2 febbraio 2026. L'AGCM è l'autorità di sorveglianza operativa. Ignorare questi punti perché «tanto c'è il rinvio» è un errore di categorizzazione: il rinvio riguarda l'Allegato III, non l'intero AI Act.

Il modo più intelligente di usare questi 16 mesi è investirli in un inventario serio degli strumenti AI in uso, attivare subito le disclosure obbligatorie, e avviare — senza fretta ma senza rimandare — la preparazione documentale per i sistemi più critici.

Se vuoi capire esattamente dove si posiziona la tua azienda rispetto all'AI Act, richiedi un audit gratuito su automate-pro.com: la mappatura dei tool AI è inclusa come primo deliverable, e ti dà un quadro chiaro di cosa fare adesso e cosa pianificare per il 2027.

Torna alla home di AutoMate PRO per scoprire come le PMI italiane stanno integrando AI conforme nei loro processi operativi.

Quale agente AI potrebbe lavorare per te?

Compila l'audit gratuito: in 24 ore ricevi un'analisi personalizzata sulla tua azienda.

Inizia l'audit gratuito