en
en

AI Act 2026: stato dell'arte, obblighi vigenti e scenario sanzionatorio. Il punto del legale.

Dal whistleblowing alla classificazione del rischio, passando per le possibili proroghe: cosa devono sapere imprese e studi professionali a febbraio 2026.

A cura di Maria L. Avvocato specializzato in diritto delle nuove tecnologie e protezione dei dati, con esperienza in compliance normativa per l'Intelligenza Artificiale, privacy (GDPR) e cybersecurity. In AImedeo assiste le imprese nell'adeguamento all'AI Act e nella gestione dei rischi legali connessi all'implementazione di sistemi di IA, con particolare attenzione all'interazione con le altre normative europee (NIS2, DORA, CRA).

2/22/20264 min read

white concrete building during daytime
white concrete building during daytime

A oltre un anno dall'entrata in vigore del Regolamento (UE) 2024/1689 – meglio noto come AI Act – il quadro normativo europeo sull'intelligenza artificiale è oggi parzialmente operativo, ma segnato da significative incertezze attuative e da importanti proposte di revisione temporale.

Il mio ruolo di consulente legale impone, in questa fase, un approccio cauto ma strutturato. Da un lato, occorre presidiare gli obblighi già efficaci, dall'altro monitorare l'evoluzione del cosiddetto "Digital Omnibus" che potrebbe ridefinire le scadenze per i sistemi ad alto rischio. Analizziamo lo scenario aggiornato a febbraio 2026.

1. Il quadro attuale: cosa è già in vigore

È opportuno ricordare che l'AI Act non è un monolito entrato in vigore in un'unica soluzione. La stratificazione temporale delle disposizioni è elemento essenziale per pianificare correttamente la compliance.

Allo stato, risultano già efficaci:

  • I divieti relativi a pratiche di IA inaccettabili (art. 5). Dal 2 febbraio 2025 sono vietati i sistemi di manipolazione comportamentale subliminale, il social scoring, l'identificazione biometrica remota in tempo reale in spazi accessibili al pubblico (con le strette eccezioni di legge) e l'uso di sistemi di riconoscimento delle emozioni in ambito lavorativo e scolastico. Le sanzioni per la violazione di questi divieti raggiungono i 35 milioni di euro o, se superiore, il 7% del fatturato mondiale annuo .

  • Gli obblighi per i modelli GPAI (General Purpose AI). Dal 2 agosto 2025, i fornitori di modelli di IA per finalità generali – inclusi i grandi modelli linguistici – sono tenuti a redigere e mantenere aggiornata una documentazione tecnica completa, a pubblicare un riepilogo sufficientemente dettagliato dei dati utilizzati per l'addestramento e a implementare policy per il rispetto della normativa sul copyright . Questo comporta, sul piano contrattuale, la necessità di rivedere gli accordi di licenza e fornitura per allocare correttamente le responsabilità lungo la filiera.

  • Il whistleblowing. Dal novembre 2025, lo strumento di segnalazione per pratiche IA illecite è operativo. Tuttavia, la tutela statutaria contro le ritorsioni per chi segnala violazioni dell'AI Act sarà pienamente efficace solo dal 2 agosto 2026. Fino a quella data, la protezione è limitata alle materie già coperte dalla Direttiva Whistleblowing (tutela dei consumatori, sicurezza dei prodotti, protezione dei dati) .

2. L'incognita del "Digital Omnibus" e le possibili proroghe

La scadenza principale che le imprese attendono è il 2 agosto 2026, data in cui – secondo il testo originario – sarebbero divenuti applicabili gli obblighi estesi per i sistemi di IA ad alto rischio elencati nell'Allegato III.

Tuttavia, il 19 novembre 2025 la Commissione Europea ha proposto il pacchetto "Digital Omnibus on AI" . La proposta, attualmente in consultazione pubblica fino all'11 marzo 2026 , prevede:

  • Il rinvio dell'applicazione delle norme sui sistemi ad alto rischio fino alla pubblicazione delle norme armonizzate;

  • Un periodo transitorio aggiuntivo di sei mesi (fino al 2 febbraio 2027) per gli obblighi di trasparenza dell'IA generativa (es. watermarking);

  • L'eliminazione dell'obbligo di registrazione per i sistemi non ad alto rischio di cui all'Allegato III;

  • La competenza esclusiva dell'AI Office per i sistemi basati su modelli GPAI.

In assenza di un'accelerazione nell'approvazione, le imprese rischiano di affrontare l'agosto 2026 con un quadro normativo ancora incompleto e di difficile attuazione pratica . La posizione prudenziale, in attesa degli esiti, resta quella di prepararsi alla scadenza originaria, potendo eventualmente beneficiare di eventuali proroghe.

3. I sistemi ad alto rischio: criteri e linee guida in arrivo

Entro il 2 febbraio 2026 – termine rispettato? da verificare – la Commissione avrebbe dovuto fornire orientamenti applicativi sull'articolo 6, relativo alla classificazione dei sistemi ad alto rischio . Le linee guida sono attese anche su:

  • Applicazione pratica dei requisiti di trasparenza (art. 50) ;

  • Obblighi di fornitori e deployer;

  • Modello per la valutazione d'impatto sui diritti fondamentali .

Nelle more, un utile riferimento operativo è rappresentato dalle "Guide AI Act" pubblicate dall'Agenzia spagnola AESIA, che offrono checklist e indicazioni tecniche allineate ai requisiti regolatori, con richiami a standard come ISO/IEC 42001 (sistema di gestione IA) e ISO/IEC 23894-2 (risk management) .

4. La normativa nazionale: la Legge 132/2025

Sul fronte interno, la Legge 12 agosto 2025, n. 132 (cd. "Legge Quadro sull'IA") ha delegato il Governo all'adozione di decreti legislativi di armonizzazione entro un anno. Nel 2026 attendiamo quindi:

  • In ambito lavoro: l'Osservatorio sull'adozione di sistemi IA dovrà definire una strategia per l'utilizzo dell'IA nel mondo del lavoro e monitorarne l'impatto occupazionale .

  • In ambito sanitario: entro il 7 febbraio 2026, il Ministero della Salute dovrà adottare un decreto per disciplinare il trattamento dei dati personali a fini di ricerca e sperimentazione, anche tramite IA e machine learning, prevedendo spazi di sperimentazione semplificati .

  • Spazi di sperimentazione normativa (sandbox): entro il 2 agosto 2026, salvo rinvii, gli Stati membri devono istituire almeno uno spazio di sperimentazione normativa a livello nazionale per l'IA .

5. L'intreccio con altre normative

Non è possibile affrontare l'AI Act isolatamente. La compliance richiede un approccio multidisciplinare che consideri:

  • GDPR: per il trattamento dei dati personali nelle fasi di addestramento e inferenza;

  • NIS2: per i requisiti di cybersicurezza e notifica degli incidenti. Dal gennaio 2026, per i soggetti NIS, scattano gli obblighi di notifica dell'incidente informatico entro 24 ore (pre-notifica) e 72 ore (notifica completa) ;

  • DORA: per il settore finanziario;

  • Cyber Resilience Act: dal settembre 2026, primi obblighi di segnalazione per vulnerabilità sfruttate e incidenti gravi .

6. Indicazioni pratiche per le imprese

Alla luce del quadro complesso e in evoluzione, suggerisco di:

  1. Mappare i sistemi IA in uso o in sviluppo, classificandoli per livello di rischio secondo i criteri dell'AI Act.

  2. Adeguare i contratti con fornitori e clienti per riflettere gli obblighi di trasparenza e allocazione della responsabilità .

  3. Implementare un sistema di governance dell'IA, con ruoli chiari e procedure per la gestione del rischio e la documentazione tecnica.

  4. Avviare la formazione del personale sugli obblighi di "AI literacy" richiesti dal Regolamento.

  5. Monitorare l'evoluzione del Digital Omnibus e delle linee guida della Commissione, partecipando eventualmente alla consultazione pubblica in corso.

Lo scenario è in divenire, ma l'approccio "attendista" non è consigliabile. Le sanzioni sono elevate, e la complessità dell'adeguamento richiede tempi tecnici che è opportuno cominciare a presidiare sin da ora.

⚖️ A cura di Maria L.