AI e Automazione per le PMI

AI Act Omnibus: Cosa Cambia Davvero per le PMI Italiane

L'AI Act Omnibus sposta le scadenze al 2027 e amplia le esenzioni per le PMI. Ecco cosa deve fare (e cosa può rimandare) un imprenditore oggi.

16 Giugno 2026 · AI e Automazione per le PMI

Il 7 maggio 2026, alle quattro e mezza del mattino, Consiglio UE e Parlamento europeo hanno chiuso un accordo che cambia le carte in tavola per chiunque usi l'intelligenza artificiale in azienda. Si chiama "AI Act Omnibus" e, in sostanza, riscrive il calendario degli obblighi e allarga le esenzioni per le imprese più piccole.

Ve lo dico subito, perché so come ragiona un imprenditore: no, non significa che potete fregarvene dell'AI Act. Significa che avete più tempo per fare le cose bene, invece di farle in fretta e male. Che è esattamente il modo in cui ho visto fallire decine di progetti di adeguamento normativo in trent'anni di consulenza digitale.

Vediamo cosa è cambiato in concreto, cosa resta in vigore, e soprattutto cosa dovete fare — da domani mattina.

Il contesto: perché l'Europa ha cambiato idea

L'AI Act originale, approvato nel 2024, prevedeva che dal 2 agosto 2026 tutti i sistemi di intelligenza artificiale "ad alto rischio" dovessero essere pienamente conformi: documentazione tecnica, registri di gestione del rischio, supervisione umana, il pacchetto completo.

Il problema? Che la stragrande maggioranza delle imprese europee — e italiane in particolare — non era pronta. Non per mancanza di volontà, ma perché mancavano ancora gli standard tecnici definitivi, le linee guida applicative erano vaghe, e le autorità nazionali non erano nemmeno state designate. In Italia, l'ACN (Agenzia per la Cybersicurezza Nazionale) è stata nominata autorità competente solo con la Legge 132 dell'ottobre 2025.

È come se ti dicessero: "Fra sei mesi devi superare l'esame di guida", ma la scuola guida non esiste ancora e il manuale è in fase di stampa. L'Europa lo ha capito e ha aggiustato il tiro.

Le nuove scadenze: il calendario aggiornato

Ecco le date che ogni imprenditore deve avere chiare. Le ho organizzate in ordine cronologico, con quello che significano in pratica.

2 agosto 2026 — Resta confermato. I divieti sui sistemi AI a "rischio inaccettabile" sono già in vigore (social scoring, manipolazione subliminale, sorveglianza biometrica di massa). Se non li usate, non vi riguarda. Quasi certamente non li usate.

2 agosto 2026 — Obbligo di "AI literacy" (Articolo 4): il vostro personale che usa strumenti AI deve avere una formazione adeguata. Questo è già attivo e non è stato posticipato.

2 dicembre 2026 — Watermarking obbligatorio: tutti i contenuti generati dall'AI (testi, immagini, audio, video sintetici) devono essere marcati come tali. Riguarda chi produce contenuti con l'AI per uso pubblico.

2 dicembre 2027 — Nuova scadenza per i sistemi AI ad alto rischio dell'Allegato III: biometria, selezione del personale, scoring creditizio, infrastrutture critiche. Era agosto 2026. Slittamento di 16 mesi.

2 agosto 2027 — Le sandbox regolamentari nazionali devono essere operative. Erano previste per agosto 2026.

2 agosto 2028 — Sistemi AI ad alto rischio integrati in prodotti già regolati da normative UE (macchinari, dispositivi medici, giocattoli).

Il messaggio è: le scadenze più impattanti per le PMI sono slittate di 12-24 mesi. Ma attenzione: alcune cose sono già in vigore e altre arrivano entro fine anno.

PMI e mid-cap: le esenzioni si allargano

Questa è la novità più importante per il tessuto produttivo italiano. L'AI Act originale prevedeva semplificazioni per le PMI (sotto i 250 dipendenti). L'Omnibus estende queste esenzioni anche alle cosiddette "small mid-cap": aziende fino a 500 dipendenti con fatturato fino a 150 milioni di euro.

Per un Paese come l'Italia, dove il 99% delle imprese sono PMI — spesso familiari, con strutture snelle e budget limitati — questo è un cambiamento significativo. Le semplificazioni riguardano procedure di conformità più leggere, documentazione ridotta e accesso prioritario alle sandbox regolamentari.

Ma "semplificato" non significa "facoltativo". Se usate un sistema di AI per selezionare il personale, per valutare l'affidabilità creditizia dei clienti, o per prendere decisioni che impattano diritti fondamentali delle persone, gli obblighi si applicano anche a voi. Con meno burocrazia, certo. Ma si applicano.

Le sandbox: un'opportunità che le PMI dovrebbero cogliere

Le sandbox regolamentari sono ambienti di sperimentazione controllata dove le imprese possono testare sistemi AI con il supporto diretto delle autorità. Pensatele come un "laboratorio protetto": provate la vostra soluzione, verificate la conformità, correggete gli errori — prima di andare sul mercato.

L'attivazione è stata posticipata al 2 agosto 2027, ma l'AI Office europeo potrà istituire sandbox a livello UE anche prima. Per le PMI italiane, questo strumento può essere prezioso: vi permette di innovare con l'AI senza il rischio di scoprire dopo — a caro prezzo — che non siete conformi.

Ho visto troppi imprenditori lanciarsi in progetti digitali senza verificare il quadro normativo. "Tanto è solo un software" è la frase che precede i problemi. Le sandbox sono esattamente lo strumento per evitare questo errore.

Le sanzioni: numeri che fanno riflettere

Parliamoci chiaro, perché so che questa è la sezione che leggerete con più attenzione.

  • Fino a 30 milioni di euro o il 6% del fatturato globale per l'uso di sistemi AI vietati
  • Fino a 15 milioni o il 3% del fatturato per la non conformità sui sistemi ad alto rischio
  • Fino a 7,5 milioni o l'1,5% del fatturato per informazioni inesatte alle autorità

Sono cifre pensate per le grandi corporation? Certo. Ma il regolamento le applica in proporzione anche alle PMI. E soprattutto: le sanzioni non sono l'unico rischio. Una violazione può significare blocco del sistema, danno reputazionale, perdita di clienti. Per una PMI, il danno indiretto è spesso peggiore della multa.

Cosa fare adesso: la checklist pratica

Dopo trent'anni nel digitale, ho imparato che il modo migliore per gestire un adeguamento normativo è spezzarlo in passi concreti. Ecco quelli che consiglio ai miei clienti.

Subito (entro luglio 2026)

  • Mappate i sistemi AI che usate in azienda. Sì, anche ChatGPT. Anche l'automazione nel CRM. Anche il filtro antispam intelligente. Fate un inventario completo.
  • Verificate l'obbligo di AI literacy. Il vostro team che usa strumenti AI ha ricevuto formazione? Non serve un corso universitario: serve che capiscano cosa stanno usando, quali sono i limiti, e quando è necessario l'intervento umano. Questo obbligo è già in vigore.
  • Controllate se usate sistemi vietati. È improbabile, ma verificatelo. Social scoring, manipolazione subliminale, categorizzazione biometrica: se qualche fornitore vi ha venduto qualcosa del genere, è il momento di fermarlo.

Entro fine 2026

  • Se producete contenuti con l'AI per uso pubblico (marketing, comunicazione, report), preparatevi al watermarking. Dal 2 dicembre 2026 i contenuti sintetici devono essere identificabili come tali.
  • Scegliete un referente interno per l'AI governance. Non serve un dipartimento: serve una persona che sappia cosa fa l'azienda con l'AI e che sia il punto di contatto in caso di verifiche.
  • Documentate le vostre policy. Come usate l'AI? Con quali dati? Con quale supervisione umana? Anche due pagine vanno bene, purché siano concrete e aggiornate.

Nel 2027

  • Adeguamento completo per i sistemi ad alto rischio — se li usate. Documentazione tecnica, registri di gestione del rischio, valutazione d'impatto, procedure di supervisione.
  • Valutate l'accesso alle sandbox regolamentari se state sviluppando soluzioni AI innovative. È un'opportunità, non un obbligo.

L'errore da non fare: confondere il rinvio con l'esenzione

Questa è la trappola in cui cadono sempre le PMI italiane. Ricordo perfettamente cosa successe con il GDPR nel 2018: "Tanto c'è tempo", "Tanto a noi piccoli non ci controllano", "Tanto è roba da avvocati". Poi arrivarono le prime sanzioni e fu il panico.

L'AI Act Omnibus vi dà più tempo. Non vi dà il permesso di ignorare il problema. Anzi: il tempo in più è un vantaggio competitivo enorme. Chi si prepara adesso, con calma e metodo, arriverà alle scadenze con sistemi già conformi, processi già documentati, personale già formato. Chi aspetta l'ultimo momento, farà la solita corsa affannosa — spendendo di più, facendo peggio.

In trent'anni nel digitale ho visto questo schema ripetersi con ogni normativa: privacy, accessibilità, cookie, fatturazione elettronica. Chi si muove prima, vince. Sempre.

Una nota per chi sta investendo in AI

Se state valutando un progetto AI per la vostra azienda — un chatbot per il customer service, un sistema di automazione per il magazzino, un tool di analisi predittiva per le vendite — l'Omnibus non cambia la sostanza della vostra decisione. L'AI è e resta un'opportunità concreta per le PMI italiane. Il mercato dell'AI in Italia ha superato 1,8 miliardi di euro, in crescita del 50% anno su anno.

Quello che cambia è che ora avete un quadro normativo più chiaro, tempi più realistici, e la possibilità di sperimentare nelle sandbox prima di andare in produzione. Sono tutte buone notizie per chi vuole innovare in modo serio e sostenibile.

Il mio consiglio: non usate il rinvio come scusa per non partire. Usatelo come opportunità per partire bene.

Serve una mano?

Se volete capire come l'AI Act Omnibus impatta la vostra specifica situazione — quali sistemi avete, cosa dovete adeguare, con che priorità e che budget — è esattamente il tipo di lavoro che faccio come Fractional Digital Executive.

Non sono un avvocato e non faccio consulenza legale. Ma dopo trent'anni a gestire progetti digitali per oltre 60 brand italiani, so tradurre una normativa in un piano operativo. Che è quello che serve davvero a un imprenditore.

Prenotiamo 30 minuti per parlarne. Senza impegno, senza gergo legale, con concretezza. Contattami qui oppure scrivimi a stefano@stefanoborali.com.

← Torna alle Risorse

Vuoi capire se posso aiutare
la tua azienda?

Prenotiamo 30 minuti per parlarne — senza impegno.

Prenota una call gratuita →

Oppure scrivimi: stefano@stefanoborali.com · +39 389 071 4540