Scadenze 2026 in ambito Intelligenza Artificiale

Scadenze 2026 in ambito Intelligenza Artificiale

Il Regolamento (UE) 2024/1689, comunemente noto come AI Act, rappresenta il primo quadro giuridico organico e vincolante al mondo dedicato all’intelligenza artificiale. Pubblicato nella Gazzetta Ufficiale dell’UE il 12 luglio 2024 ed entrato in vigore il 1° agosto 2024, il Regolamento prevede un’applicazione progressiva su quattro fasi principali, con la data cardine del 2 agosto 2026, momento di piena operatività per la quasi totalità delle disposizioni.

Sul versante italiano, il quadro normativo è integrato dalla Legge 23 settembre 2025 n. 132 (in vigore dal 10 ottobre 2025), che recepisce i principi dell’AI Act, e dal Decreto Ministeriale n. 180 del 17 dicembre 2025 del Ministero del Lavoro e delle Politiche Sociali, che stabilisce le linee guida per l’adozione responsabile dell’IA nel contesto lavorativo.

Il quadro normativo europeo è ulteriormente complicato dal pacchetto Digital Omnibus, proposto dalla Commissione europea il 19 novembre 2025 e in fase di negoziazione tra Parlamento europeo e Consiglio UE, che prevede possibili modifiche al calendario applicativo dell’AI Act, in particolare per i sistemi ad alto rischio, con uno slittamento potenziale fino a dicembre 2027. Il Consiglio UE ha adottato il proprio mandato negoziale il 13 marzo 2026.

La roadmap completa dell’AI Act

L’articolo 113 del Regolamento fissa il calendario applicativo generale. Il legislatore europeo ha scelto un approccio graduale, consentendo a imprese, autorità pubbliche e organismi notificati di adeguarsi progressivamente.

Di seguito, elenchiamo le tappe già trascorse:

1° agosto 2024: entrata in vigore
Il Regolamento è diventato vincolante il ventesimo giorno dopo la pubblicazione nella Gazzetta Ufficiale UE. Da questa data decorre il periodo transitorio di due anni.

2 febbraio 2025: pratiche di IA vietate e obblighi di AI literacy
Sono entrati in vigore i divieti assoluti per sistemi a rischio inaccettabile, tra cui:

• manipolazione cognitiva subliminale;
• social scoring pubblico;
• riconoscimento biometrico remoto “in tempo reale” in spazi pubblici (con eccezioni tassative);
• categorizzazione biometrica basata su caratteristiche sensibili;
• riconoscimento delle emozioni in ambito lavorativo e scolastico (salvo eccezioni mediche o di sicurezza);
• polizia predittiva basata su profiling individuale.
• Contemporaneamente, sono operativi gli obblighi di AI literacy (Art. 4): fornitori e deployer devono garantire un adeguato livello di formazione ai propri dipendenti e a chiunque operi o utilizzi sistemi di IA per loro conto.

2 agosto 2025: obblighi per modelli GPAI, governance e sanzioni
Tre pilastri del Regolamento diventano operativi:

a) Fornitori di modelli GPAI (General Purpose AI)

• Trasparenza: documentazione tecnica e politiche di utilizzo pubbliche;
• Copyright: rispetto della normativa e sommario dei dati di addestramento;
• Modelli GPAI ad alto impatto sistemico: valutazione avversariale, notifica all’AI Office europeo, misure di sicurezza rinforzate;
• Codice di buone pratiche GPAI: pubblicato il 10 luglio 2025, adesione volontaria con presunzione di conformità.

b) Governance multilivello

• AI Office europeo a Bruxelles;
• Comitato europeo per l’IA, organismo consultivo;
• Autorità nazionali competenti designati dagli Stati membri (in Italia AgID e altri soggetti settoriali);
• Organismi notificati per la valutazione della conformità dei sistemi ad alto rischio.

c) Regime sanzionatorio
Effettivo dal 2 agosto 2025, con sanzioni proporzionate, efficaci e dissuasive.

Il 2 agosto 2026: la data cardine

Questa data segna l’entrata in piena applicazione della quasi totalità delle disposizioni dell’AI Act.

Sistemi di IA ad alto rischio (Allegato III)

Devono essere conformi a tutti i requisiti tecnici e procedurali, includendo categorie come:

• Biometria (identificazione remota, categorizzazione, riconoscimento emozioni);
• Infrastrutture critiche (trasporto, acqua, gas, energia);
• Istruzione e formazione professionale;
• Occupazione e gestione del personale;
• Servizi essenziali privati e pubblici (credit scoring, assicurazioni);
• Attività di contrasto (con eccezioni dell’Art. 5);
• Migrazione, asilo, controllo frontiere;
• Amministrazione della giustizia e processi democratici.

Obblighi concreti per fornitori e deployer

Fornitori (Art. 16):

• Sistema di gestione della qualità (Art. 17);
• Documentazione tecnica (Allegato IV);
• Valutazione della conformità (Art. 43);
• Dichiarazione di conformità UE (Art. 47) e marcatura CE (Art. 48);
• Registrazione nella banca dati UE (Art. 49);
• Gestione del rischio attiva (Art. 9);
• Governance dei dati di addestramento (Art. 10);
• Supervisione umana (Art. 14);
• Robustezza, accuratezza e cybersicurezza (Art. 15);
• Conservazione dei log (Art. 19).

Deployer (Art. 26):

• Uso conforme alle istruzioni;
• Supervisione umana effettiva;
• Valutazione d’impatto sui diritti fondamentali (Art. 27);
• Informazione dei lavoratori;
• Notifica incidenti gravi;
• Conservazione dei log per almeno sei mesi.

Obblighi di trasparenza (Art. 50)

• Informazione utenti su chatbot e assistenti virtuali IA;
• Identificazione dei contenuti generati/manipolati da IA;
• Etichettatura dei deepfake e watermarking machine-readable;
• Dichiarazione di contenuti IA su temi di interesse pubblico.

Codice di buone pratiche sulla trasparenza (watermarking)

Nel quadro attuativo del Regolamento (UE) 2024/1689, assume particolare rilevanza il Codice di buone pratiche sulla trasparenza dei contenuti generati da intelligenza artificiale, con un focus specifico sui meccanismi di watermarking.

Il processo di definizione del Codice è stato articolato in più fasi. Il 23 gennaio 2026 si è chiusa la consultazione pubblica sul primo draft, consentendo a stakeholder, imprese e autorità di fornire osservazioni tecniche e operative. Successivamente, il 5 marzo 2026, la Commissione europea ha pubblicato il secondo draft, che integra i feedback ricevuti e rafforza alcuni elementi chiave in materia di trasparenza e tracciabilità.

Il Codice si fonda su quattro pilastri principali:

• Marcatura tecnica dei contenuti: introduzione di sistemi di watermarking e metadati per identificare in modo affidabile i contenuti generati o modificati tramite IA;
• Rilevabilità: sviluppo di strumenti e standard che consentano di riconoscere automaticamente tali contenuti, anche in contesti complessi o su larga scala;
• Cooperazione lungo la catena del valore: coinvolgimento coordinato di sviluppatori, fornitori, piattaforme e utilizzatori finali per garantire un’applicazione efficace delle misure di trasparenza;
• Standardizzazione e interoperabilità: promozione di standard tecnici condivisi a livello europeo e internazionale, per assicurare compatibilità tra sistemi diversi.

Questo Codice rappresenta un tassello fondamentale per rendere concreti gli obblighi di trasparenza previsti dall’AI Act, in particolare in relazione alla gestione dei deepfake e dei contenuti sintetici, rafforzando la fiducia degli utenti e la responsabilità degli operatori.

Digital Omnibus: la variabile normativa

Presentato il 19 novembre 2025, propone modifiche al calendario dei sistemi ad alto rischio.

Meccanismo “stop-the-clock”: gli obblighi scattano 6-12 mesi dopo conferma disponibilità standard armonizzati e strumenti di supporto.

Nuove scadenze proposte dal Consiglio UE (13 marzo 2026):

• 2 dicembre 2027: sistemi alto rischio indipendenti (Allegato III);
• 2 agosto 2028: sistemi alto rischio integrati in prodotti (Allegato I).

Posizione EDPB-EDPS (gennaio 2026):

• Sostegno alla semplificazione;
• Obbligo di registrazione dei sistemi ad alto rischio da mantenere;
• Standard “stretta necessità” per dati sensibili;
• Attenzione a ritardi nel rinvio degli obblighi AR;
• Orientamenti congiunti GDPR–AI Act previsti nel 2026.

Il quadro normativo italiano sull’intelligenza artificiale

Accanto al Regolamento (UE) 2024/1689, l’Italia ha avviato un percorso di regolamentazione nazionale volto a integrare e rafforzare i principi europei, con particolare attenzione alla tutela dei diritti, alla sicurezza e all’impatto dell’IA nel mondo del lavoro.

Legge 23 settembre 2025, n. 132

La Legge 23 settembre 2025 n. 132 definisce i principi generali per lo sviluppo e l’utilizzo dell’intelligenza artificiale nel contesto italiano.

Tra i pilastri fondamentali si evidenziano:

• trasparenza, proporzionalità e sicurezza nell’impiego dei sistemi di IA;
• non discriminazione e parità di genere, come criteri guida nella progettazione e nell’utilizzo degli algoritmi;
• sostenibilità, sia sotto il profilo sociale che ambientale.

Particolare attenzione è dedicata al settore sanitario, dove viene rafforzata la tutela dei diritti fondamentali e della privacy dei pazienti nell’utilizzo di tecnologie basate su IA.

La legge interviene inoltre sul piano della responsabilità civile e penale, chiarendo i profili di imputazione in caso di danni causati da sistemi intelligenti.

Di rilievo è anche l’istituzione dell’Osservatorio nazionale sull’IA nel lavoro (art. 12), con funzioni di monitoraggio, analisi e supporto alle politiche pubbliche.

Decreto Ministeriale 17 dicembre 2025, n. 180

Il Decreto Ministeriale 180/2025 introduce un approccio operativo all’adozione dell’IA nelle organizzazioni, soprattutto in ambito lavorativo.

Il Decreto delinea una roadmap strutturata in cinque fasi:

1. valutazione iniziale;
2. pianificazione strategica;
3. sperimentazione;
4. implementazione;
5. monitoraggio continuo.

Tra gli adempimenti principali per le imprese:

• mappatura e classificazione dei sistemi di IA utilizzati in azienda;
• valutazione dell’impatto su lavoro, privacy, sicurezza e diritti dei lavoratori;
• coinvolgimento attivo di lavoratori e organizzazioni sindacali, in linea con un approccio partecipativo.

Il Decreto prevede inoltre strumenti pratici di supporto, tra cui:

• checklist di AI Readiness;
• sandbox regolamentari per la sperimentazione controllata;
• audit etici per valutare l’impatto dei sistemi IA.

Nel complesso, il quadro italiano si caratterizza per un approccio complementare rispetto alla normativa europea: non introduce solo obblighi, ma fornisce anche strumenti operativi per accompagnare imprese e organizzazioni in un percorso di adozione dell’intelligenza artificiale più consapevole e responsabile.

Sanzioni: quanto si rischia

Il sistema sanzionatorio è particolarmente severo:

• fino a 35 milioni € o 7% del fatturato → pratiche vietate
• fino a 15 milioni € o 3% → violazione obblighi principali
• fino a 7,5 milioni € o 1% → informazioni errate 

Le scadenze successive al 2026

Dopo la data cardine del 2 agosto 2026, il Regolamento (UE) 2024/1689 prevede ulteriori tappe fondamentali che completano il percorso di piena attuazione del quadro normativo europeo sull’intelligenza artificiale.

2 agosto 2027: estensione degli obblighi

A partire da questa data diventano applicabili ulteriori obblighi, in particolare:

• per i modelli di General Purpose AI (GPAI) immessi sul mercato prima di agosto 2025;
• per i sistemi di IA ad alto rischio integrati in prodotti disciplinati dall’Allegato I (ad esempio dispositivi soggetti a marcatura CE in altri settori regolati).

Si tratta di un passaggio rilevante, perché amplia la platea dei soggetti coinvolti, includendo sistemi già esistenti e integrati in filiere industriali complesse.

2 agosto 2028: riesame del Regolamento

Nel 2028 la Commissione europea avvierà il primo riesame generale dell’AI Act, previsto dall’articolo 112.

L’obiettivo sarà valutare:

• l’efficacia complessiva del Regolamento;
• l’impatto sulle imprese e sull’innovazione;
• l’adeguatezza delle misure rispetto all’evoluzione tecnologica.

Questo momento potrebbe portare a revisioni normative, aggiornamenti tecnici e possibili correzioni del quadro regolatorio.

2 agosto 2030: focus su pubblica amministrazione e sistemi su larga scala

L’ultima tappa significativa riguarda l’applicazione delle norme ai sistemi previsti dall’Allegato X, con particolare riferimento a:

• pubbliche amministrazioni;
• sistemi IT su larga scala.

Si tratta di ambiti ad alto impatto sistemico, dove l’utilizzo dell’intelligenza artificiale incide direttamente su servizi pubblici, diritti dei cittadini e funzionamento delle istituzioni.

Nel loro insieme, queste scadenze delineano un percorso di lungo periodo: l’AI Act non è una regolazione statica, ma un framework destinato a evolvere nel tempo, accompagnando lo sviluppo dell’intelligenza artificiale e adattandosi ai suoi impatti concreti su economia e società.

Checklist operativa per le imprese

Azioni immediate (entro agosto 2026):

• Mappatura e classificazione sistemi IA;
• Verifica divieti Art. 5;
• Programmi AI Literacy;
• Conformità Art. 50 (trasparenza contenuti IA);
• Adeguamento contrattuale con fornitori GPAI;
• Designazione responsabile interno compliance AI.

Azioni da pianificare (Digital Omnibus):

• Avvio sistema gestione rischio (Art. 9);
• Predisposizione documentazione tecnica (Allegato IV);
• Identificazione organismo notificato;
• Dichiarazione di conformità e marcatura CE;
• Registrazione banca dati UE (Art. 49);
• Valutazione impatto sui diritti fondamentali (Art. 27).

Nota conclusiva

Il Regolamento (UE) 2024/1689 segna un cambio di paradigma nella regolamentazione dell’intelligenza artificiale, introducendo un sistema articolato che combina obblighi giuridici, standard tecnici e strumenti operativi.

Il 2026 rappresenta il vero punto di svolta: da questa data, la compliance non sarà più un’opzione preparatoria, ma un requisito concreto e verificabile per la maggior parte degli operatori. Allo stesso tempo, il quadro normativo resta dinamico, influenzato da iniziative come il Digital Omnibus e dall’evoluzione degli standard tecnici europei.

In questo contesto, le imprese sono chiamate a un duplice sforzo: da un lato, garantire la conformità normativa, riducendo il rischio sanzionatorio; dall’altro, sviluppare una governance dell’IA strutturata e sostenibile, capace di integrare aspetti legali, tecnologici ed etici.

Anticipare l’adeguamento significa non solo rispettare le regole, ma anche rafforzare la fiducia di clienti, investitori e stakeholder. In un ecosistema sempre più regolato, la capacità di gestire correttamente l’intelligenza artificiale diventerà infatti un elemento distintivo di competitività e affidabilità.