Fondamenti

Scadenze AI Act 2025-2028: calendario operativo aggiornato per le imprese

Redazione GAPOFF · Aggiornato il 2026-05-20 · Revisione: 2026-05-20

Risposta rapida

Le scadenze AI Act sono progressive. Dal 2 febbraio 2025 sono applicabili le regole su pratiche vietate e AI literacy. Dal 2025 sono entrati in gioco gli obblighi sui modelli GPAI. Le regole generali sui sistemi ad alto rischio erano originariamente collegate al 2 agosto 2026, ma al 7 maggio 2026 Consiglio e Parlamento hanno raggiunto un accordo provvisorio per rinviare l’applicazione al 2 dicembre 2027 per sistemi stand-alone ad alto rischio e al 2 agosto 2028 per sistemi AI incorporati in prodotti. Il contenuto va quindi mantenuto sotto revisione prima della pubblicazione.

Verifica gli obblighi AI Act della tua organizzazione

Inventory sistemi AI, classificazione del rischio, governance e audit-ready.

Verifica gratis →

Perché questo tema è importante

La timeline dell’AI Act è uno dei punti più delicati per le aziende, perché alcune regole sono già operative mentre altre dipendono da fasi applicative, strumenti di supporto, standard armonizzati e sviluppi del Digital Omnibus. Un calendario corretto non deve creare panico, ma nemmeno giustificare immobilismo: anche quando una scadenza viene rinviata, inventario, classificazione, formazione e contratti fornitori richiedono mesi di lavoro.

Per GAPOFF il punto editoriale è sempre lo stesso: normativa → problema aziendale → rischio concreto → azione operativa → evidenza richiesta → modulo utile → CTA. L’AI Act non deve essere presentato come una raccolta astratta di articoli, ma come un sistema di controlli che l’organizzazione può applicare, dimostrare e aggiornare.

Quadro normativo e fonti ufficiali

Il riferimento principale è il Regolamento (UE) 2024/1689, cioè l’AI Act. Le fonti istituzionali da monitorare sono la pagina della Commissione Europea sull’AI Act, l’AI Act Service Desk, le pagine dedicate all’AI literacy, all’Articolo 6 sui sistemi ad alto rischio, all’Annex III, agli obblighi di provider, deployer, trasparenza e sanzioni.

Alla data di revisione di questo articolo va considerato anche l’accordo provvisorio del 7 maggio 2026 tra Consiglio e Parlamento sul pacchetto di semplificazione AI. Prima della pubblicazione definitiva, il coding agent o il revisore editoriale dovrà verificare lo stato dell’adozione formale e aggiornare date e note di manutenzione se necessario.

Cosa significa per l’azienda

Per un’organizzazione l’AI Act significa passare da uso spontaneo dell’intelligenza artificiale a governance documentata. Questo richiede almeno quattro livelli di controllo: inventario dei sistemi, classificazione del rischio, definizione dei ruoli e raccolta delle evidenze. Nei casi più delicati entrano in gioco valutazioni su dati personali, contratti con fornitori, human oversight, log, incidenti, formazione e reporting verso direzione o clienti.

La valutazione dipende dal caso concreto e deve essere verificata con professionisti qualificati e fonti ufficiali aggiornate. In particolare, non basta sapere che uno strumento “usa AI”: bisogna descrivere come viene usato, chi subisce gli effetti, se l’output influenza decisioni e se il sistema rientra in un’area sensibile.

Calendario operativo consigliato

Subito: bloccare o verificare pratiche potenzialmente vietate, in particolare manipolazione dannosa, social scoring, emotion recognition in lavoro/educazione e usi biometrici sensibili.
Subito: avviare misure di AI literacy per personale e soggetti che operano sistemi AI per conto dell’organizzazione.
Entro 30-60 giorni: completare inventario AI per reparti, fornitori, scopo, dati e owner.
Entro 90 giorni: classificare rischio e individuare sistemi soggetti a trasparenza o potenzialmente ad alto rischio.
Per GPAI e AI generativa: verificare documentazione del provider, policy copyright, trasparenza, condizioni d’uso e limitazioni.
Per sistemi ad alto rischio: predisporre roadmap di adeguamento, anche tenendo conto dell’accordo provvisorio del 7 maggio 2026 e della formalizzazione legislativa.
Ogni trimestre: aggiornare scadenze, fonti ufficiali e stato normativo nel registro compliance.

Queste attività dovrebbero essere assegnate a owner interni, con data, stato, evidenza collegata e riesame periodico. La logica corretta non è completare un documento una tantum, ma mantenere un sistema aggiornato quando cambia il fornitore, il modello, il contesto d’uso o il processo aziendale.

Esempio pratico

Un gruppo retail usa AI per customer care, pricing, antitaccheggio video e selezione personale. Le attività non devono aspettare l’ultima data applicativa: il customer care richiede valutazioni di trasparenza; il recruiting può ricadere nell’area HR ad alto rischio; il video analytics può aprire temi biometrici o di sorveglianza; la formazione del personale e il controllo fornitori sono già elementi da impostare. La roadmap deve separare attività già necessarie e attività soggette a scadenze future.

Errori comuni da evitare

Usare una sola data “AI Act 2026” per tutto.
Ignorare che AI literacy e pratiche vietate sono già rilevanti.
Aggiornare i contenuti del sito senza trigger di revisione normativa.
Aspettare gli standard armonizzati per iniziare l’inventario.
Non distinguere deadline legale, accordo provvisorio e data di piena applicazione dopo formal adoption.

Come GAPOFF aiuta

GAPOFF permette di associare a ogni sistema AI uno stato di scadenza, un owner, evidenze mancanti e alert di riesame. Per il periodo 2026-2028 è fondamentale che il modulo AI Act Governance supporti contenuti e workflow aggiornabili, perché il Digital Omnibus può modificare date e priorità operative.

L'AI Act non si gestisce con Excel.

Inventory sistemi AI, classificazione del rischio, sorveglianza umana, documentazione tecnica, fornitori AI ed evidenze devono essere collegati e dimostrabili. GAPOFF unifica AI Act, GDPR (DPIA), Vendor Risk, NIS2, DORA e ISO 27001 in un unico sistema audit-ready.

Scopri il modulo AI Act →

Checklist operativa

Timeline AI Act inserita nel calendario compliance.
Nota Digital Omnibus presente nel registro normativo.
Sistemi AI già in uso censiti.
Pratiche vietate verificate.
AI literacy avviata.
GPAI e fornitori generativi valutati.
Trigger di revisione ogni 60-90 giorni attivo.

Trasforma la checklist in attività tracciabili

Con GAPOFF ogni voce diventa un controllo con owner, scadenza ed evidenza — non un foglio Excel. Modulo AI Act →

FAQ

Qual è la scadenza più urgente?

Per molte aziende sono già rilevanti pratiche vietate e AI literacy. Le scadenze sui sistemi ad alto rischio vanno monitorate alla luce del Digital Omnibus.

Le date 2027 e 2028 sono definitive?

Alla data di redazione risultano da accordo provvisorio Consiglio-Parlamento; prima della pubblicazione va verificata l’adozione formale e il testo definitivo.

Conviene aspettare?

No. Inventario, classificazione e fornitori richiedono tempo e sono utili anche se alcune date applicative slittano.

Ogni azienda deve seguire tutte le scadenze?

No. Dipende dai sistemi AI usati, sviluppati o distribuiti e dal ruolo dell’organizzazione.

Modulo GAPOFF AI Act

Inventory sistemi AI, classificazione del rischio (vietato/alto/limitato/minimo), obblighi provider e deployer, governance AI, documentazione tecnica, sorveglianza umana, GPAI, audit-ready. Cross-mapping con GDPR (DPIA), NIS2, DORA e ISO 27001.

Vai al modulo AI Act →

Fonti ufficiali e riferimenti

Disclaimer legale

Questo contenuto ha finalità informative e di orientamento generale. Non costituisce consulenza legale, tecnica, fiscale o organizzativa personalizzata. Per determinare obblighi, responsabilità e misure applicabili al caso concreto, è necessario svolgere una valutazione specifica con professionisti qualificati e fonti ufficiali aggiornate.

Libro: AI Act per il Business

Guida pratica scaricabile gratis — perimetro, obblighi, governance e implementazione operativa del Regolamento (UE) 2024/1689 per imprese italiane.

Scarica il libro (PDF)

FAQ