7 maggio 2026. Il Consiglio dell'Unione Europea e il Parlamento europeo raggiungono l'accordo sul Digital Omnibus AI: prima modifica organica all'AI Act dall'entrata in vigore nel 2024. Non una revisione completa. Uno spostamento di scadenze, una semplificazione degli obblighi per le piccole imprese, una ridefinizione dei confini tra categorie di rischio. Per chi usa AI in azienda in Italia, le implicazioni pratiche arrivano in ordine sparso, e molti non le hanno ancora lette.
Partiamo da un numero: il 79% delle PMI italiane usa già strumenti di intelligenza artificiale, secondo i dati pubblicati a maggio 2026. Meno di 4 su 10 ha una policy interna sull'uso dell'AI. Quel gap, tra adozione di fatto e governance formale, è esattamente il territorio che il Digital Omnibus cerca di regolare con meno rigidità rispetto all'impianto originale dell'AI Act.
Quali sistemi AI rientrano nei nuovi obblighi e quali no
L'AI Act dell'Unione Europea classifica i sistemi AI in quattro categorie. Il Digital Omnibus non cambia la struttura: la modifica riguarda principalmente le scadenze e le soglie di applicazione per ciascuna categoria.
Distribuzione sistemi AI per categoria di rischio AI Act — applicazione Digital Omnibus 2026
Fonte: European AI Office · elaborazione SpazioCrypto · maggio 2026
Tradotto in pratica: la grande maggioranza dei sistemi AI che le PMI italiane usano ogni giorno (chatbot interni, strumenti di scrittura assistita, analisi dati, raccomandazioni di prodotto, assistenti virtuali) rientra nella categoria "rischio minimo". Per questi, gli obblighi dell'AI Act originale erano già leggeri, e il Digital Omnibus li conferma tali: nessuna registrazione obbligatoria, nessuna valutazione di conformità formale, solo buone pratiche raccomandate.
La posizione ufficiale della Commissione europea sul Digital Omnibus è aggiornata sul profilo X: EU_Commission su X.
Cosa cambia concretamente: scadenze e PMI
Tre modifiche operative concrete emergono dall'accordo del 7 maggio.
Prima: le scadenze per i sistemi ad alto rischio in settori non critici sono state spostate. L'obbligo di registrazione nel database europeo e la valutazione della conformità per alcune categorie di sistemi slittano. Chi lavora nei settori meno regolati (marketing, HR non decisionale, ottimizzazione logistica) guadagna tempo per adeguarsi.
Seconda: le PMI con meno di 250 dipendenti e fatturato sotto i 50 milioni di euro vedono ridotte le soglie di documentazione tecnica obbligatoria per i sistemi AI che deploiano internamente. La Commissione ha recepito le pressioni del settore industriale europeo, che aveva segnalato oneri sproporzionati per le imprese minori.
Terza: i sistemi di AI generativa (come i modelli linguistici usati per scrivere testi, generare codice o rispondere a domande) che non sono "modelli ad alto impatto" (soglia: 10^25 FLOP di calcolo in addestramento) escono dagli obblighi più pesanti della categoria "modelli generali di AI ad uso generale". In pratica: Claude Sonnet, GPT-4o, Gemini Flash usati da una PMI italiana per automatizzare email o documentazione non richiedono certificazione di conformità specifica. I modelli come GPT-5 o Claude Opus, invece, rientrano nella soglia. Per chi gestisce automazioni AI per il business, è una distinzione operativa importante.
Cosa significa per il 79% delle PMI italiane che usa già AI
Punto. La risposta breve è: poco cambia adesso, ma molto cambia nei prossimi 18 mesi. Il Digital Omnibus ha spostato le scadenze, non eliminato gli obblighi. Chi non ha ancora una policy interna sull'uso dell'AI (il 60%+ delle PMI italiane, secondo i dati di maggio) ha più tempo, non una via d'uscita definitiva.
Le implicazioni pratiche che vale la pena strutturare già adesso: (1) mappare quali sistemi AI usi in azienda e in quale categoria di rischio rientrano; (2) verificare se i fornitori di AI tools che usi sono "modelli ad alto impatto" o meno; (3) preparare una policy interna d'uso anche per i sistemi a rischio minimo, perché sarà richiesta per i bandi pubblici già a partire dal 2027 in molti settori.
Il testo consolidato dell'AI Act (Regolamento UE 2024/1689) è pubblicato su EUR-Lex e rimane il riferimento normativo primario.
Le modifiche del Digital Omnibus entreranno nel testo ufficiale tramite un regolamento delegato, probabilmente pubblicato entro settembre 2026. Per chi ha posizioni di compliance o di gestione tecnologica in azienda, monitorare quel regolamento delegato è più rilevante di seguire le dichiarazioni politiche. L'AgID (Agenzia per l'Italia Digitale) è l'ente di riferimento italiano per l'implementazione dell'AI Act e pubblicherà linee guida nazionali entro fine 2026.
Un dato che manca ancora dal dibattito italiano: quante delle PMI che dichiarano di usare AI hanno verificato che i tool che usano rispettino i nuovi obblighi di trasparenza verso gli utenti finali, uno dei requisiti rimasti invariati anche nel Digital Omnibus. Google, Microsoft e Anthropic hanno già allineato i propri prodotti enterprise. Per chi usa tool di nicchia o soluzioni sviluppate internamente, la verifica è ancora in gran parte da fare.
