Via Indipendenza
Il calendario dell'AI Act è cambiato. E la notizia non è quella che pensate
Lunedì 16 giugno, il Parlamento europeo ha approvato in via definitiva il Digital Omnibus AI con 423 voti favorevoli. La notizia che ha circolato nei titoli è stata questa: gli obblighi per i sistemi AI ad alto rischio slittano al 2027 e 2028. Respiro di sollievo generale, fine della storia.
Ma la storia non finisce lì. Il rinvio riguarda una parte specifica e abbastanza circoscritta degli obblighi — quelli per chi sviluppa o integra sistemi AI ad alto rischio. Per la stragrande maggioranza delle PMI italiane, che non sviluppano sistemi propri ma usano AI off-the-shelf (ChatGPT, Copilot, strumenti di automazione), il 2 agosto resta la data che conta. Da quel giorno sono obbligatorie: la trasparenza verso chi interagisce con un sistema AI, le regole di AI literacy aziendale, e le disposizioni di governance. Niente rinvii.
C'è poi la novità che non ha ricevuto quasi nessuna attenzione: il Digital Omnibus ha introdotto un divieto immediato e assoluto per i sistemi AI che creano immagini intime non consensuali di persone identificabili — le cosiddette "app nudifier". È il primo divieto operativo AI a effetto immediato nella storia europea. Piccolo nei numeri, enorme nel principio: per la prima volta, una categoria di sistemi AI è semplicemente vietata, senza eccezioni e senza rinvii.
Sei settimane al 2 agosto. In questo numero trovate le date esatte, gli obblighi reali, e quello che potete ancora fare in tempo.
🌍 Geopolitica digitaleDigital Omnibus approvato: il nuovo calendario AI Act, data per data
Il 16 giugno 2026 il Parlamento europeo ha approvato il Digital Omnibus AI, il pacchetto di modifica dell'AI Act inserito nel settimo pacchetto di semplificazione normativa proposto dalla Commissione europea il 19 novembre 2025. Prima di essere legge definitiva manca ancora l'adozione formale del Consiglio UE — attesa nelle prossime settimane, quasi certamente prima del 2 agosto. Ma il testo non cambierà nel merito: i triloghi si sono chiusi il 7 maggio, e il Parlamento ha approvato quel compromesso senza riaprirlo.
Il calendario ridisegnato vale la pena averlo chiaro, con le date esatte:
Le date che contano — aggiornate al 16 giugno 2026
✓ Già in vigore (dal 2 febbraio 2025)
Divieti assoluti: social scoring, manipolazione subliminale, riconoscimento emozioni in ambito lavorativo/scolastico, facial recognition di massa. Niente rinvii, niente eccezioni.
⚠ 2 agosto 2026 — tra 41 giorni
Obblighi di trasparenza (art. 50): chi interagisce con un sistema AI deve saperlo. Chatbot, assistenti vocali, sistemi conversazionali devono identificarsi come AI. AI literacy aziendale: promuovere formazione interna sull'uso consapevole dell'AI. Governance GPAI: obblighi per chi usa modelli general-purpose (già applicabili dal 2 agosto 2025 per i provider; ora per tutti). Questi obblighi non sono stati rinviati dal Digital Omnibus.
📅 2 dicembre 2026
Watermarking obbligatorio: tutti i contenuti generati da AI (testi, immagini, audio, video) usati in comunicazioni esterne devono essere marcati in formato leggibile da macchina. Divieto operativo per le app nudifier: sistemi che creano immagini intime non consensuali vietati senza eccezioni.
📅 2 dicembre 2027
Obblighi completi per sistemi AI ad alto rischio standalone (Allegato III): biometria, infrastrutture critiche, selezione personale, scoring creditizio, istruzione, giustizia, frontiere. Documentazione tecnica, valutazione di conformità, registrazione nel database europeo.
📅 2 agosto 2028
Obblighi per sistemi AI integrati in prodotti disciplinati da normative settoriali UE (macchinari, dispositivi medici, veicoli, giocattoli).
Cosa fare entro il 2 agosto — checklist minima per le PMI che usano AI:
1. Registro AI — documento (anche un foglio Excel) con tutti i sistemi AI in uso: nome, fornitore, finalità, dati trattati, responsabile interno.
2. Disclosure — se avete chatbot sul sito o assistenti automatizzati rivolti ai clienti, devono identificarsi come AI in modo chiaro, non nascosto nelle note legali.
3. AI literacy — una policy interna scritta sull'uso degli strumenti AI (anche una pagina) e almeno una sessione di formazione documentata per il personale che li usa.
4. DPA con i fornitori — verificare che i contratti con i provider AI includano le clausole di protezione dati richieste dal GDPR. Se usate ChatGPT o Copilot in versione aziendale, questo è già gestito. Se usate account personali, non lo è.
Fonti: NicFab Blog, AI4Business, Avvera, Servicematica, Certifico — 16-17 giugno 2026
🔒 Cybersecurity per chi decidePrimo semestre 2026: i pattern di attacco che si stanno consolidando in Italia
A metà anno, il quadro degli attacchi informatici in Italia si è stabilizzato attorno a tre pattern dominanti che vale la pena conoscere — non come statistiche, ma come descrizioni di come funzionano concretamente le intrusioni nelle aziende di medie dimensioni.
Pattern 1 — La supply chain come porta d'ingresso principale. L'attaccante non colpisce più il target diretto: compromette prima un fornitore di software, un tool SaaS condiviso, o un partner con accesso ai sistemi. Il caso SolarWinds del 2020 è diventato il metodo standard del 2026. Per le PMI, questo significa che avere un buon firewall non basta se il software gestionale che usate è stato compromesso a monte. La domanda da fare ai fornitori: in quanto tempo ci notifichereste un breach nei vostri sistemi?
Pattern 2 — L'identità come nuovo perimetro. La maggioranza degli attacchi del primo semestre è iniziata con credenziali compromesse — non exploit sofisticati. Il totale delle rivendicazioni ransomware contro target italiani aggiornato all'11 giugno 2026 è di 116, distribuiti tra manifatturiero, distribuzione, utility, amministrazioni locali e servizi professionali. In quasi tutti i casi documentati, il vettore iniziale era una credenziale rubata o riutilizzata.
Pattern 3 — La doppia estorsione come standard. I gruppi ransomware non si limitano più a cifrare i dati. Prima li copiano, poi li cifrano. La vittima si trova di fronte a due richieste: pagare per il decriptatore, e pagare per non vedere i dati pubblicati sul dark web. Il backup — che pure è fondamentale — non risolve più da solo il problema della riservatezza.
La misura più efficace che molte PMI non hanno ancora adottato: la micro-segmentazione della rete. Significa separare fisicamente o logicamente i diversi sistemi in modo che un attaccante che compromette un PC non possa raggiungere automaticamente il server con i dati contabili, il sistema di produzione, o il backup. Non richiede hardware costoso: si configura a livello di firewall e switch. Richiede competenza tecnica — ma è la misura che riduce più drasticamente il raggio di danno di un attacco già riuscito.
Fonti: Cybersecurity360, SHM Studio, Clusit — giugno 2026
☁️ Software e CloudParlamento europeo sceglie Qwant. E c'è già un'alternativa europea a Microsoft Office
Due notizie della settimana che sembrano marginali ma raccontano qualcosa di strutturale: il Parlamento Europeo ha sostituito Google con Qwant — il motore di ricerca francese che non traccia gli utenti — come motore predefinito per i suoi sistemi interni. E dal 9 giugno è disponibile Euro Office, la suite di produttività open source europea nata da una collaborazione tra istituzioni pubbliche tedesche, francesi e olandesi come alternativa diretta a Microsoft 365.
Non sono segnali di una rivoluzione imminente nell'adozione delle PMI private. Ma sono segnali di una direzione politica che diventerà progressivamente normativa: il Cloud and AI Development Act, approvato la settimana scorsa come parte del Tech Sovereignty Package, prevede incentivi per chi sceglie infrastrutture e software europei nella PA — e questi incentivi tendono nel tempo a diventare requisiti di accesso agli appalti. Chi si posiziona prima, quando è ancora una scelta libera, non deve adeguarsi sotto pressione dopo.
La domanda pratica per le aziende che lavorano con la PA: i bandi di gara europei e nazionali stanno iniziando a inserire criteri di preferenza per soluzioni con data residency europea e fornitori soggetti al GDPR senza deroghe. Conoscere il profilo dei vostri strumenti — dove risiedono i dati, sotto quale giurisdizione opera il provider — non è un esercizio teorico. Potrebbe diventare un requisito di partecipazione.
Fonti: AI4Business, Digital Omnibus, Avvera — 9-16 giugno 2026
🔧 Open Source e ComposableIl watermarking AI in arrivo dal 2 dicembre: cosa significa in pratica
Tra le novità del Digital Omnibus, quella che riguarda più da vicino chiunque comunichi con l'esterno è il watermarking obbligatorio dei contenuti AI-generated, con scadenza 2 dicembre 2026. Dal quella data, qualsiasi contenuto prodotto con AI — testi, immagini, audio, video — usato in comunicazioni esterne dovrà essere marcato in formato leggibile da macchina. Non una nota a piè di pagina: un metadato invisibile ma rilevabile da sistemi automatici e, potenzialmente, da piattaforme social e motori di ricerca.
La Commissione ha pubblicato il 10 giugno il Code of Practice on marking and labelling of AI-generated content: adesione volontaria, ma chi aderisce ottiene la "presunzione di conformità" — ovvero, se le autorità di controllo bussano, non deve dimostrare di essere in regola; è il contrario che deve dimostrare. Per chi non aderisce, il rischio è più controlli e più richieste di informazioni.
Cosa fare adesso sul watermarking — in ordine di priorità:
1. Fare un inventario dei contenuti AI-generated che producete e distribuite: post social, newsletter, immagini, video, testi commerciali.
2. Verificare se i tool che usate (Midjourney, DALL-E, ChatGPT, Canva AI) supportano già l'inserimento di metadati C2PA — lo standard tecnico di riferimento per il watermarking AI.
3. Valutare se aderire al Code of Practice europeo — che sarà pubblicato in versione finale a breve — per ottenere la presunzione di conformità senza dover costruire tutta la documentazione internamente.
Fonti: Agenda Digitale, Avvera, Commissione Europea — giugno 2026
🔬 Dal laboratorioLe app nudifier vietate: il primo divieto AI senza rinvii. E cosa dice di tutto il resto
Tra le novità del Digital Omnibus, quella che ha ricevuto più copertura mediatica — ma meno analisi — è il divieto immediato per i sistemi AI che creano immagini o video intimi non consensuali di persone identificabili. I fornitori non potranno immettere tali sistemi sul mercato dell'UE, a meno che non siano dotati di adeguate salvaguardie tecniche, e il divieto colpirà anche gli utilizzatori. Le aziende hanno tempo fino al 2 dicembre 2026 per adeguarsi — ma il divieto è già nella norma approvata.
Perché questo conta al di là del caso specifico? Perché è la prima categoria AI vietata con effetto immediato e assoluto in Europa. Non "regolamentata con obblighi", non "soggetta a valutazione di conformità": vietata. Il principio che stabilisce è importante: esistono usi dell'AI che non possono essere resi sicuri con la governance giusta, e per i quali l'unica risposta è l'eliminazione dal mercato. È un precedente metodologico che informerà le discussioni future su altre categorie — sistemi di persuasione politica, deepfake in campagne elettorali, AI generativa in contesti scolastici.
Per le aziende: il messaggio che arriva dal legislatore europeo è che la linea tra "regolamentabile" e "vietabile" esiste ed è tracciabile. Chi costruisce prodotti o servizi basati su AI deve tenerla a mente — non solo per il rischio normativo immediato, ma perché quella linea si sposterà, e chi non la segue perde il mercato europeo.
Fonti: EUNews, AI4Business, NicFab — 16 giugno 2026
🎯 Strumento della settimanaAI Act Compliance Checker — La checklist gratuita dell'AI Office europeo
Cos'è: L'AI Office della Commissione Europea ha pubblicato uno strumento di autovalutazione online che guida le aziende attraverso una serie di domande per determinare se i loro sistemi AI ricadono sotto la disciplina dell'AI Act, in quale categoria di rischio si collocano, e quali obblighi specifici si applicano. Non sostituisce la consulenza legale, ma è il punto di partenza corretto — e autorevole — per chi non sa da dove iniziare.
Perché è rilevante questa settimana: con il Digital Omnibus approvato e il calendario finalmente definito con certezza, le aziende che non hanno ancora iniziato la mappatura dei propri sistemi AI hanno sei settimane per gli obblighi di agosto e cinque mesi per quelli di dicembre. Il Compliance Checker richiede circa 30-45 minuti e produce un output che può essere usato come punto di partenza per il registro AI interno.
→ digital-strategy.ec.europa.eu — strumenti ufficiali dell'AI Office. Gratuito, disponibile in italiano, aggiornato con le modifiche del Digital Omnibus.
In alternativa: aipolicy.it e iaflux.it offrono guide pratiche in italiano orientate specificamente alle PMI, con esempi concreti per le categorie di uso più comuni (chatbot, Copilot, automazioni CRM, strumenti di selezione del personale).
Via Indipendenza
La newsletter settimanale per chi guida un'azienda e vuole capire la tecnologia, non subirla.
Un progetto promosso da airpim srl