L’Unione europea mette mano all’AI Act prima che la sua applicazione entri nella fase più onerosa per imprese, startup e operatori tecnologici. Nella mattinata del 7 maggio 2026, Parlamento europeo e Consiglio hanno raggiunto un accordo provvisorio su alcune modifiche inserite nel Digital Omnibus, il pacchetto con cui Bruxelles vuole semplificare una parte della regolazione digitale senza smontare l’impianto risk-based del Regolamento sull’intelligenza artificiale.
Le regole scatteranno dal 2 dicembre 2027 per i casi d’uso high-risk
Il punto centrale è il rinvio di alcuni obblighi per i sistemi di AI classificati ad alto rischio. Le regole scatteranno dal 2 dicembre 2027 per i casi d’uso high-risk, compresi biometria, infrastrutture critiche, istruzione, lavoro, law enforcement e gestione delle frontiere. Per i sistemi usati come componenti di sicurezza e già coperti da normativa settoriale europea, la data slitta invece al 2 agosto 2028.
Più tempo per startup e scaleup
Per l’ecosistema startup il rinvio non è un dettaglio amministrativo. Significa più tempo per mappare use case, dataset, modelli, logging, human oversight, risk management system e procedure di conformità prima che gli obblighi diventino pienamente applicabili. Il messaggio politico è chiaro: l’Europa non rinuncia all’AI Act, ma riconosce che standard tecnici, linee guida e strumenti di supporto devono essere pronti prima di imporre alle aziende un carico regolatorio difficile da interpretare.
La Commissione aveva presentato il Digital Omnibus il 19 novembre 2025 proprio con questa logica: ridurre lavoro amministrativo e compliance overhead, lasciando più risorse a innovazione, scaling e sviluppo prodotto. Nella proposta, Bruxelles stimava fino a 5 miliardi di euro di risparmi amministrativi per le imprese entro il 2029.
Stop ai nudifier e ai contenuti sintetici abusivi
Il compromesso contiene però anche una stretta netta. Parlamento e Consiglio hanno concordato il divieto dei sistemi di AI progettati per creare materiale di abuso sessuale su minori o per rappresentare parti intime di una persona identificabile, oppure attività sessualmente esplicite, senza consenso. Il divieto copre immagini, video e audio, e le aziende avranno tempo fino al 2 dicembre 2026 per adeguarsi.
La norma colpisce i cosiddetti nudifier, applicazioni che trasformano fotografie reali in immagini intime false
La norma colpisce i cosiddetti nudifier, applicazioni che trasformano fotografie reali in immagini intime false. Per chi sviluppa prodotti AI consumer, safety layer, sistemi di moderation, filtri di prompt injection e policy di abuse prevention diventano quindi parte integrante del go-to-market europeo. Non basta più dichiarare un uso vietato nei termini di servizio: il testo parla anche di “reasonable safety measures”, cioè misure tecniche ragionevoli per impedire la creazione di questi contenuti.
Meno doppie regole per l’AI industriale
Un altro passaggio rilevante riguarda i prodotti-macchina e l’AI embedded. L’accordo elimina alcune sovrapposizioni tra AI Act e norme settoriali sulla sicurezza dei prodotti, chiarendo che, in determinati casi, varranno le discipline verticali se garantiscono un livello equivalente di tutela per salute e sicurezza.
È un punto sensibile per robotics, manufacturing, automotive, energia, medtech e automazione industriale. Molte imprese temevano una doppia compliance: da un lato marcatura CE, machinery regulation e obblighi di product safety; dall’altro classificazione high-risk AI, documentazione tecnica, data governance, audit trail e post-market monitoring. Il nuovo testo prova a ridurre l’area grigia, soprattutto quando la funzione AI assiste l’utente o ottimizza performance senza generare rischi diretti per salute e sicurezza.
Enforcement più centralizzato e margini per le imprese più piccole
L’accordo prevede anche una razionalizzazione dell’enforcement per alcuni sistemi di AI per finalità generali, con un ruolo più concentrato nell’AI Office europeo. L’obiettivo è evitare frammentazione tra autorità nazionali e rendere più leggibile la supervisione per operatori attivi su più mercati UE.
Per le aziende di minori dimensioni arriva inoltre l’estensione di alcune esenzioni dalle PMI alle small mid-cap enterprises, categoria che include imprese più grandi delle startup early-stage ma ancora lontane dalla scala organizzativa delle big tech. È una scelta pragmatica: molte scaleup europee hanno team AI solidi, ma non dipartimenti legal, public policy e compliance comparabili a quelli dei grandi gruppi globali.
La partita resta aperta
L’accordo è provvisorio e dovrà essere adottato formalmente da Parlamento e Consiglio. I colegislatori puntano a chiudere prima del 2 agosto 2026, data da cui partirebbero le regole attuali per i sistemi ad alto rischio.
Per le startup il risultato è doppio. Da un lato, più runway regolatorio per costruire processi seri di AI governance, model evaluation, red teaming, incident response e documentazione. Dall’altro, un segnale inequivocabile: su deepfake sessuali, nudifier e contenuti sintetici abusivi l’Europa vuole una linea dura.
Su deepfake sessuali, nudifier e contenuti sintetici abusivi l’Europa vuole una linea dura
La correzione dell’AI Act non è una deregulation. È un tentativo di rendere applicabile una legge complessa senza bloccare chi sviluppa tecnologia in Europa. La vera prova inizierà quando i principi finiranno nei workflow aziendali: product requirement document, vendor assessment, dataset registry, model card, log di inferenza, controlli umani e audit interni. Per molte startup, la compliance AI non sarà più un allegato legale. Sarà parte del prodotto.
