Il calendario delle scadenze dell'AI Act UE: tre ondate fino al 2028
Una data era al centro di ogni conversazione sull'AI Act UE: il 2 agosto 2026. Dopo che l'AI Omnibus ha spostato il regime ad alto rischio al 2 dicembre 2027 e il regime dei prodotti incorporati al 2 agosto 2028, quella singola data non corrisponde più alla realtà. L'Atto si articola ora in tre scadenze indipendenti su tre binari separati, ciascuno con il proprio ambito di applicazione, la propria esposizione sanzionatoria e i propri lavori preparatori. Questo documento è il calendario aggiornato dello studio: quali obblighi si applicano effettivamente a ciascuna data, quali SaaS rientrano in quale binario e il lavoro minimo che ciascun binario richiede entro la rispettiva scadenza.
Ondata 1: Articolo 50, trasparenza dei fornitori GPAI e governance (2 agosto 2026)
Tre blocchi di obblighi iniziano ad applicarsi il 2 agosto 2026.
Trasparenza ai sensi dell'Articolo 50. Ogni interfaccia SaaS in cui una persona fisica interagisce con un sistema di IA deve comunicare tale circostanza. Ogni contenuto generato da IA (testo, immagine, audio, video) deve recare un marcatore di provenienza leggibile automaticamente. Ogni funzionalità di riconoscimento delle emozioni o di categorizzazione biometrica deve informare l'utente. Ogni deepfake deve essere etichettato. È questa l'ondata che coinvolge quasi tutti i SaaS che distribuiscono IA nell'UE, indipendentemente dal settore o dal profilo di rischio. Fascia sanzionatoria: €15 milioni o 3% ai sensi dell'Articolo 99(4).
Obblighi dei fornitori GPAI ai sensi del Capitolo V. I fornitori di modelli di IA per uso generale che hanno immesso un modello sul mercato dell'UE dopo il 2 agosto 2025 devono conformarsi agli obblighi di trasparenza di cui all'Articolo 53 (sintesi dei dati di addestramento, politica in materia di diritto d'autore, documentazione tecnica). I fornitori di modelli GPAI con rischio sistemico (calcolo di addestramento superiore a 10²⁵ FLOP) devono inoltre conformarsi all'Articolo 55. Questi obblighi vincolano i fornitori di modelli frontier, non i SaaS che utilizzano tali modelli tramite API. Un SaaS che affina un GPAI fino al punto di una modifica sostanziale ai sensi dell'Articolo 25 può diventare a propria volta un fornitore.
Quadro di governance ai sensi del Capitolo VII. Il Comitato per l'IA, l'Ufficio per l'IA, le autorità nazionali competenti e il comitato scientifico diventano operativi. Le autorità nazionali di sorveglianza del mercato, designate dagli Stati membri prima del 2 agosto 2025, assumono la responsabilità dell'applicazione. Dal punto di vista dell'applicazione, il 2 agosto 2026 è il giorno in cui la macchina istituzionale entra in funzione. Fascia sanzionatoria per le violazioni della governance: €15 milioni o 3% ai sensi dell'Articolo 99(4).
Ondata 2: obblighi ad alto rischio dell'Allegato III (2 dicembre 2027)
L'Allegato III elenca otto categorie di utilizzo dell'IA ad alto rischio: biometria, infrastrutture critiche, istruzione, occupazione, servizi essenziali (inclusi il credit scoring e la determinazione dei prezzi assicurativi), forze dell'ordine, migrazione e controllo delle frontiere, giustizia e processi democratici. I SaaS in settori regolamentati (HR tech, edtech, credit scoring fintech, healthtech triage, legaltech) hanno tipicamente almeno una funzionalità rientrante nell'Allegato III.
L'AI Omnibus, concordato politicamente il 7 maggio 2026 e adottato il 19 novembre 2025, ha spostato la data di applicazione dell'Allegato III dal 2 agosto 2026 al 2 dicembre 2027. La sostanza del regime ad alto rischio non è cambiata. La classificazione ai sensi dell'Articolo 6(2) si applica ancora. Gli Articoli da 9 a 15 (gestione dei rischi, governance dei dati, documentazione tecnica, registrazione, trasparenza nei confronti dei deployer, supervisione umana, accuratezza e robustezza) si applicano ancora. La valutazione di conformità ai sensi dell'Articolo 43 si applica ancora. La registrazione nella banca dati UE dell'IA ai sensi dell'Articolo 49 si applica ancora. I diciotto mesi che intercorrono da oggi a dicembre 2027 rappresentano il minimo realistico per un SaaS che non ha ancora avviato i lavori. Fascia sanzionatoria: €15 milioni o 3% ai sensi dell'Articolo 99(4). Analisi completa: si veda il pilastro Allegato III.
Ondata 3: obblighi per i prodotti incorporati dell'Allegato I (2 agosto 2028)
L'Articolo 6(1) classifica un sistema di IA come ad alto rischio qualora sia destinato a essere utilizzato come componente di sicurezza di un prodotto, o sia esso stesso un prodotto, disciplinato dalla legislazione di armonizzazione dell'Unione elencata nell'Allegato I, E il prodotto sia soggetto a valutazione della conformità da parte terzi. L'Allegato I comprende il Regolamento Macchinari, il Regolamento sui dispositivi medici, il Regolamento sui dispositivi medico-diagnostici in vitro, la direttiva sui giocattoli, gli ascensori, le apparecchiature radio, le attrezzature a pressione, gli impianti a fune, i dispositivi di protezione individuale, gli apparecchi a gas, le imbarcazioni da diporto, l'aviazione civile, i veicoli a motore, i veicoli agricoli e forestali, i veicoli a due e tre ruote e le attrezzature marine.
L'AI Omnibus ha spostato la data di applicazione dell'Allegato I dal 2 agosto 2027 al 2 agosto 2028 per allinearsi alla capacità degli organismi notificati e alla pubblicazione delle norme armonizzate. Si applicano gli stessi obblighi degli Articoli da 9 a 15, integrati con la procedura di valutazione della conformità specifica del settore. I SaaS incorporati in hardware regolamentato (supporto alle decisioni per dispositivi medici, sistemi di visione per macchinari, IA per automotive) rientrano in questa ondata. I SaaS software puro che non diventa componente di sicurezza di un prodotto regolamentato non vi rientra. Fascia sanzionatoria: €15 milioni o 3% ai sensi dell'Articolo 99(4). Analisi completa: si veda il pilastro Allegato I.
Date già trascorse e i relativi adempimenti attuali
Tre date hanno già prodotto effetti.
1° agosto 2024. Il Regolamento (UE) 2024/1689 è entrato in vigore. In tale data non è scattato alcun obbligo operativo.
2 febbraio 2025. Le pratiche vietate di cui all'Articolo 5 sono diventate applicabili. Se il proprio prodotto effettua il social scoring di persone fisiche, il raccatto indiscriminato di immagini facciali, utilizza IA manipolativa che sfrutta vulnerabilità, effettua identificazione biometrica remota in tempo reale in spazi pubblici da parte delle forze dell'ordine, categorizzazione biometrica in base a caratteristiche sensibili, polizia predittiva, riconoscimento delle emozioni sui luoghi di lavoro o nell'istruzione, o uno qualsiasi degli altri divieti dell'Articolo 5, si è in stato di non conformità da tale data. Fascia sanzionatoria: €35 milioni o 7% ai sensi dell'Articolo 99(3). L'AI Omnibus non ha modificato le date dell'Articolo 5. L'AI Omnibus ha aggiunto un nuovo divieto: l'IA che genera contenuti sessualmente espliciti non consensuali o materiale pedopornografico.
2 agosto 2025. Gli obblighi dei fornitori GPAI ai sensi del Capitolo V, il quadro di governance ai sensi del Capitolo VII, il quadro di notifica ai sensi del Capitolo III Sezione 4, il regime sanzionatorio GPAI ai sensi del Capitolo XII e l'Articolo 78 (riservatezza) sono tutti diventati applicabili. I fornitori di modelli frontier si conformano da tale data. I deployer SaaS non sono vincolati da queste disposizioni; sono vincolati dagli obblighi derivanti dall'Articolo 50 a valle, che si attivano il 2 agosto 2026.
Significato pratico. Se si è un SaaS che non ha effettuato un audit ai sensi dell'Articolo 5, farlo subito. Se si utilizza un GPAI tramite API, verificare che le comunicazioni ai sensi dell'Articolo 53 del fornitore a monte siano pubblicate e farvi riferimento nella propria model card. Questi due elementi costituiscono attività preliminari che lo studio risolve durante la fase di accoglienza iniziale.
Come gestire tre ondate in parallelo
La maggior parte dei SaaS che lo studio sottopone ad audit sarà interessata da almeno due ondate. Un tipico prodotto fintech di credit scoring è interessato dall'Ondata 1 (trasparenza ex Articolo 50 per qualsiasi IA rivolta agli utenti) e dall'Ondata 2 (obblighi di credit scoring dell'Allegato III). Un SaaS per dispositivi medici è interessato dall'Ondata 1, dall'Ondata 2 (qualora la propria IA sia utilizzata in un contesto healthtech al di fuori dell'MDR) e dall'Ondata 3 (quando l'IA è una componente di sicurezza del dispositivo medico ai sensi dell'MDR). Le ondate sono indipendenti; il lavoro è cumulativo.
Lo studio gestisce le tre ondate come incarichi separati, sequenziati per scadenza.
Incarico Ondata 1: conformità all'Articolo 50. Cinque giorni lavorativi, €997. Comprende la classificazione funzionalità per funzionalità ai sensi dell'Articolo 50, il codice di comunicazione (banner chat, marcatura dei contenuti, etichettatura dei deepfake, avviso per il riconoscimento delle emozioni), l'accessibilità ai sensi dell'Articolo 50(5) e una dichiarazione pubblicata ai sensi dell'Articolo 50. Deliverable: lettera di assurance firmata e pacchetto di implementazione. Avviare prima della fine di giugno 2026 per disporre di un margine di implementazione prima del 2 agosto.
Incarico Ondata 2: programma di preparazione all'Allegato III. Diciotto mesi, fatturazione a milestone. Comprende la classificazione ai sensi dell'Articolo 6 (funzionalità per funzionalità), il sistema di gestione dei rischi ai sensi dell'Articolo 9, la governance dei dati ai sensi dell'Articolo 10, la documentazione tecnica ai sensi dell'Articolo 11 e dell'Allegato IV, la registrazione ai sensi dell'Articolo 12, le istruzioni per l'uso ai sensi dell'Articolo 13, la supervisione umana ai sensi dell'Articolo 14, l'accuratezza e la robustezza ai sensi dell'Articolo 15, la valutazione di conformità ai sensi dell'Articolo 43, la registrazione nella banca dati UE ai sensi dell'Articolo 49. Avviare subito; completare prima del 2 dicembre 2027.
Incarico Ondata 3: conformità ai prodotti incorporati dell'Allegato I. Due anni, integrato con il ciclo di valutazione della conformità della regolamentazione di settore. Comprende gli stessi Articoli da 9 a 15, mappati rispetto al regolamento di armonizzazione dell'Unione sottostante. Coinvolgere l'organismo notificato designato ai sensi dell'MDR, del Regolamento Macchinari o della RED che sia anche designato ai sensi dell'AI Act. Pianificare da ora al 2 agosto 2028.
Fondatori che gestiscono le tre ondate in parallelo: lo studio assegna un revisore responsabile per ondata e un program manager trasversale. La maggior parte dei SaaS è interessata da una o due ondate, non tre. Il triage su /audit determina quale.
Frequently asked questions
Perché le date sono cambiate?
L'AI Omnibus è un pacchetto legislativo di modifiche a diversi regolamenti digitali dell'UE, tra cui l'AI Act. La Commissione lo ha proposto come Pacchetto digitale sulla semplificazione; il Parlamento europeo e il Consiglio hanno raggiunto un accordo politico il 7 maggio 2026 e il pacchetto è stato adottato il 19 novembre 2025. Le modifiche hanno spostato la data di applicazione dell'Allegato III ad alto rischio dal 2 agosto 2026 al 2 dicembre 2027 e la data di applicazione dell'Allegato I per i prodotti incorporati dal 2 agosto 2027 al 2 agosto 2028. Motivazione ufficiale: la capacità degli organismi notificati e la pubblicazione delle norme armonizzate non erano in linea di marcia per rispettare le date originarie. L'Articolo 50, l'Articolo 5, il regime dei fornitori GPAI e il quadro di governance non sono stati rinviati.
Esistono date precedenti che dovrei monitorare?
Due. Le pratiche vietate ai sensi dell'Articolo 5 sono applicabili dal 2 febbraio 2025. Se non è stato ancora condotto un audit del prodotto per verificare l'esposizione all'Articolo 5, farlo prima di qualsiasi altra cosa: la fascia sanzionatoria è la più elevata del Regolamento, pari a €35M o 7%. Gli obblighi dei fornitori GPAI ai sensi del Capitolo V sono applicabili per i fornitori di modelli a monte dal 2 agosto 2025. In qualità di deployer SaaS non si è direttamente vincolati, ma la propria model card dovrebbe fare riferimento alle comunicazioni ai sensi dell'Articolo 53 del fornitore a monte.
Il mio SaaS è interessato da più ondate. Come pianificare?
Sequenziare per scadenza. Rilasciare la conformità all'Articolo 50 (Ondata 1) prima del 2 agosto 2026. Avviare immediatamente il programma relativo all'Allegato III (Ondata 2): si tratta di diciotto mesi di lavoro e la scadenza è dicembre 2027. Se si rientra anche nell'Ondata 3 (hardware incorporato tramite Allegato I), coinvolgere subito l'organismo notificato specifico del settore: la capacità degli organismi notificati è limitata fino al 2027. Le ondate condividono la struttura portante degli Articoli da 9 a 15, pertanto il lavoro relativo all'Allegato III e all'Allegato I si sovrappone tecnicamente; differiscono solo il percorso di valutazione della conformità e l'integrazione con la normativa di settore sottostante.
Le sanzioni differiscono tra le ondate?
La fascia dell'Articolo 99(4), fino a €15 milioni o al 3% del fatturato mondiale annuo, copre le violazioni dell'Articolo 50, la non conformità all'Allegato III e la non conformità all'Allegato I. Le violazioni delle pratiche vietate dell'Articolo 5 rientrano in una fascia più elevata ai sensi dell'Articolo 99(3): fino a €35 milioni o al 7%. La fornitura di informazioni errate o fuorvianti alle autorità è soggetta a una fascia inferiore ai sensi dell'Articolo 99(5): fino a €7,5 milioni o all'1%. Le PMI beneficiano della proporzionalità ai sensi dell'Articolo 99(6), ma i massimali rimangono invariati.
Esiste un'ondata che non riguarda i SaaS solo software?
L'Ondata 3 (prodotti incorporati dell'Allegato I) generalmente non si applica ai SaaS solo software che non sono integrati in un prodotto hardware regolamentato. Se il proprio cliente è un fabbricante di dispositivi medici che integra la propria IA come componente, o un fornitore di macchinari che fa lo stesso, si possono ereditare obblighi da fornitore ai sensi dell'Articolo 25. In tali scenari si rientra nell'Ondata 3 per via indiretta. I SaaS puro verso SaaS o verso consumatori finali senza alcun percorso hardware generalmente non vi rientrano.
Sources
- https://eur-lex.europa.eu/eli/reg/2024/1689/oj
- https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
- https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-ai-regulation-proposal
- https://artificialintelligenceact.eu/article/113/
- https://artificialintelligenceact.eu/article/99/
- https://artificialintelligenceact.eu/annex/1/
- https://artificialintelligenceact.eu/annex/3/
Last updated: 2026-06-09