Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

intelligenza artificiale

Digital omnibus, come procede l’iter in Europa: le novità più importanti

Home Sicurezza digitale Privacy
Partecipa al dibattito
Indirizzo copiato

Il Digital Omnibus apre una fase delicata per il diritto europeo. Consiglio, Parlamento ed autorità garanti stanno ridefinendo l’equilibrio tra semplificazione normativa, competitività e tutela effettiva dei diritti fondamentali. Soprattutto in merito all’AI. Vediamo come procede

Pubblicato il 26 mar 2026
Anna Cataleta

Senior Partner di P4I e Senior Advisor presso l’Osservatorio Cybersecurity & Data Protection (MIP)

Aurelia Losavio

Privacy IT Legal Consultant at P4I

digital omnibus
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Il pacchetto Digital Omnibus è destinato ad apportare modifiche sostanziali, se approvato, in relazione a diversi aspetti in merito alla protezione dei dati personali, alla cybersecurity e all’intelligenza artificiale.

Pertanto, considerando l’importanza strategica rivestita da tali proposte di modifica, è bene soffermarsi su come sta procedendo il suo iter.

Vediamo posizioni del Consiglio dell’Ue e del Parlamento europeo, che oggi ha adottato la posizione su digital omnibus con tra l’altro date certe per i rinvii dell’Act sui sistemi ad alto rischio; i pareri espressi dall’European Data Protection Board (EDPB) e dall’European Data Protection Supervisor (EDPS).

Digital Omnibus, il Consiglio UE

Occorre anzitutto menzionare le considerazioni del Consiglio dell’Ue in merito al testo dell’Omnibus sull’AI proposto dalla Commissione europea. Difatti, il 13 marzo 2026, il Consiglio ha pubblicato una propria bozza di report sulla proposta di Regolamento per la semplificazione dell’AI Act (Omnibus sull’AI).

Le misure indicate dal Consiglio dell’Ue

Dal report del Consiglio emerge quanto segue:

  • nuove pratiche di AI proibite, contenenti l’esplicita proibizione di pratiche di IA riguardanti la generazione non consensuale di materiale intimo o pedopornografico;
  • la previsione di nuove timeline per i sistemi di IA ad alto rischio: 2 dicembre 2027 e 2 agosto 2028 (così come previsto anche dal Parlamento europeo);
  • il monitoraggio dei bias e dati sensibili: ripristino degli standard necessari per il trattamento di categorie particolari di dati personali quando sono usati per rilevare o correggere bias nei sistemi di IA;
  • previsione di sandbox: gli Stati Membri avranno tempo fino al 2 dicembre 2027 per stabilire sandbox AI nazionali;
  • introduzione di una guida per ridurre le difficoltà di adeguamento: la Commissione dovrebbe rendere una guida per i sistemi di IA ad alto rischio coperti da legislazione settoriale, allo scopo di ridurre le difficoltà di adeguamento per le imprese.

La linea del Parlamento europeo tra scadenze e garanzie

Molto importante è, poi, la posizione del Parlamento europeo. Oggi ha adottato la posizione, già indicata nel report del 5 febbraio 2026, sulla proposta di Regolamento per la semplificazione dell’AI Act (Omnibus sull’AI). In relazione a ciò, il Parlamento europeo:

  • mantiene l’obbligo per i provider e deployer di promuovere l’alfabetizzazione in materia di IA;
  • supera il meccanismo basato sulla adozione futura di nuovi atti (decisioni) proposto dalla Commissione europea, prevedendo scadenze fisse per i sistemi di AI ad alto rischio (segnatamente: 2 dicembre 2027 per i sistemi di AI ad alto rischio dell’Allegato III e 2 agosto 2028 per i sistemi di AI ad alto rischio dell’Allegato I);
  • conferma la possibilità di trattare categorie particolari di dati personali in via eccezionale e con garanzie rafforzate per la rilevazione e mitigazione dei bias
  • I deputati vogliono concedere ai fornitori di servizi tempo fino al 2 novembre 2026 per conformarsi all’obbligo di apporre una filigrana (watermarking, in inglese) ai contenuti generati dall’IA quali audio, immagini, video o testi, al fine di indicarne l’origine.
  • Divieto delle app di “nudificazione”. I deputati intendono introdurre un nuovo divieto per i sistemi di IA che creano o manipolano immagini sessualmente esplicite o intime di soggetti identificabili senza il loro consenso. Il divieto non si applicherebbe ai sistemi dotati di misure efficaci di sicurezza che impediscono la creazione di tali contenuti.
  • I deputati sostengono di concedere ai fornitori dei servizi digitali la possibilità di trattare i dati personali degli utenti per individuare e correggere distorsioni nei loro sistemi di IA, introducendo però garanzie affinché ciò avvenga solo quando strettamente necessario.
  • Per sostenere la crescita delle imprese europee oltre la soglia delle piccole e medie imprese, i deputati sostengono anche l’estensione di varie misure di sostegno anche alle imprese di medie dimensioni (small mid-cap, in inglese).
  • Per evitare sovrapposizioni tra la legge sull’intelligenza artificiale e le normative settoriali dell’UE sulla sicurezza dei prodotti, il Parlamento ritiene che gli obblighi dell’AI Act possano essere meno stringenti per i prodotti già regolamentati (ad esempio dispositivi medici, apparecchiature radio, sicurezza dei giocattoli, ecc.)..

Inoltre, lo scorso 24 febbraio, è stato pubblicato un importante studio del Parlamento europeo, redatto su richiesta della Commissione IMCO, il quale analizza le proposte del pacchetto “Digital Omnibus”, distinguendo la semplificazione amministrativa da una più sostanziale ricalibrazione delle garanzie nei settori dei dati, della privacy, della sicurezza informatica e dell’intelligenza artificiale.

Lo studio evidenzia i principali punti controversi (certezza del diritto, capacità di applicazione e impatto sui diritti) e individua gli aspetti da prendere in considerazione ai fini dell’esame parlamentare.

I punti critici messi in evidenza dallo studio

Dallo studio del Parlamento europeo emergono i seguenti punti chiave:

  • con riferimento alla proposta di modifica in relazione alla definizione di dati personali, il passaggio a una valutazione dell’identificabilità specifica per soggetto viene presentato come una codificazione della giurisprudenza e una riduzione degli oneri di conformità superflui in contesti con più soggetti coinvolti. I critici sostengono che ciò potrebbe restringere nella pratica la protezione prevista dal GDPR per i dati pseudonimi e identificabili indirettamente, generando una protezione disomogenea e nuove scappatoie laddove le capacità tecniche differiscono tra i soggetti;
  • in merito alle richieste di accesso da parte degli interessati, consentendo il rifiuto o l’applicazione di tariffe nei casi in cui le richieste siano considerate eccessive o perseguite per scopi “non legati alla protezione dei dati”, la proposta mira a frenare gli abusi percepiti e gli oneri amministrativi. Le parti interessate avvertono che ciò potrebbe indebolire un “diritto di accesso” utilizzato per la responsabilità (anche nei contesti lavorativi e di ricerca) e potrebbe essere difficile da applicare in modo equo poiché i titolari del trattamento dovrebbero dedurne il motivo;
  • con riguardo al consolidamento del Data Act, il Parlamento osserva che ciò può ridurre la frammentazione formale, ma il pacchetto introduce anche alcune modifiche, in particolare restringendo l’accesso delle imprese alle amministrazioni pubbliche in caso di «emergenza pubblica», orientando l’intermediazione dei dati verso un marchio di fiducia volontario e riducendo alcuni obblighi di altruismo in materia di dati. Una questione centrale è se il consolidamento migliori l’usabilità, preservando al contempo la governance nell’interesse pubblico e la chiarezza operativa;
  • in relazione alle tempistiche, all’alfabetizzazione e alle sandbox della legge sull’IA, per il Parlamento un approccio “a singhiozzo” basato sul grado di preparazione potrebbe riflettere meglio le realtà dell’attuazione, ma può complicare la pianificazione se il criterio che determina la “preparazione” non è trasparente e prevedibile. Attenuare l’alfabetizzazione AI da un obbligo vincolante a una semplice incoraggiamento può ridurre gli obblighi formali, ma può indebolire la governance pratica se lo sviluppo delle competenze viene declassato. La sandbox proposta a livello UE e l’espansione dei test nel mondo reale sollevano questioni di progettazione relative alle garanzie, alla trasparenza e al fatto che la partecipazione alla sandbox offra un vantaggio significativo in termini di conformità (ad esempio, una maggiore certezza normativa per i sistemi testati in condizioni controllate);
  • infine, in relazione al trattamento dei dati sensibili con riguardo ai test di equità per la rilevazione dei bias, un’autorizzazione più ampia al trattamento di dati di categorie speciali per il rilevamento di pregiudizi e la tolleranza della presenza residua di dati sensibili nei set di dati di addestramento conferiscono maggiore discrezionalità ai fornitori e agli implementatori, aumentando l’importanza di chiare garanzie, verificabilità e capacità di vigilanza.

Pertanto, il Parlamento europeo propone le seguenti raccomandazioni:

  • dare priorità alla certezza del diritto, attuare linee guida, standard e modelli ove possibile e rivedere l’architettura legislativa solo ove necessario e dimostrabilmente proporzionato;
  • approfondire lo studio delle capacità di attuazione e applicazione necessarie per eseguire con successo le modifiche proposte;
  • concentrarsi sulle garanzie applicabili che possono essere aggiunte alle modifiche proposte o tutelate respingendo alcuni emendamenti;
  • tenere in considerazione il contesto strategico e geopolitico più ampio per comprendere meglio l’impatto delle modifiche proposte nel lungo termine e calibrare gli obiettivi di conseguenza.

Digital Omnibus e mandato negoziale delle commissioni LIBE e IMCO

Sempre con riguardo al Parlamento europeo, un’importante novità è rappresentata dal fatto che, il 18 marzo 2026, le relative commissioni Giustizia (LIBE) e Mercato interno (IMCO) hanno adottato un progetto di relazione sull’Omnibus sull’AI, il quale prevede quanto segue:

Le novità adottate dalle commissioni parlamentari

  • date precise per l’applicazione dei sistemi ad alto rischio: è introdotto un calendario preciso per l’applicazione differita delle norme relative ai sistemi ad alto rischio; le nuove date di applicazione sarebbero il 2 dicembre 2027 per i sistemi di IA ad alto rischio autonomi e il 2 agosto 2028 per i sistemi di IA ad alto rischio integrati nei prodotti. Gli eurodeputati sono anche favorevoli a concedere ai fornitori più tempo per conformarsi alle norme sull’apposizione di watermark sui contenuti audio, immagini, video o testuali creati dall’intelligenza artificiale, al fine di indicarne l’origine. Tuttavia, suggeriscono una proroga più breve, fino al 2 novembre 2026 (anziché il 2 febbraio 2027 come proposto dalla Commissione);
  • divieto per le app c.d. “di nudificazione”: nella loro proposta, gli eurodeputati intendono introdurre un nuovo divieto sui cosiddetti sistemi “nudificatori” che utilizzano l’intelligenza artificiale per creare o manipolare immagini sessualmente esplicite o intime che assomigliano a una persona reale identificabile, senza il consenso di quest’ultima. Il divieto non si applicherebbe ai sistemi di intelligenza artificiale dotati di efficaci misure di sicurezza che impediscano agli utenti di creare tali immagini;
  • misure per aumentare la flessibilità e sostenere le piccole e medie imprese: gli eurodeputati sono favorevoli a consentire ai fornitori di servizi di elaborare i dati personali per individuare e correggere i pregiudizi nei sistemi di intelligenza artificiale, ma hanno introdotto delle garanzie per assicurare che ciò avvenga solo quando strettamente necessario. Per aiutare le imprese dell’UE a espandersi quando superano lo status di PMI (che consente loro di beneficiare di determinate misure di sostegno), i deputati europei hanno appoggiato la proposta di estendere tali misure anche alle piccole e medie imprese (PMI). Per evitare la sovrapposizione tra le norme UE sulla sicurezza dei prodotti specifiche per settore e la legge sull’intelligenza artificiale (AI Act), i deputati europei sostengono che gli obblighi previsti da quest’ultima possano essere meno stringenti per i prodotti già regolamentati da leggi settoriali (ad esempio, dispositivi medici, apparecchiature radio, sicurezza dei giocattoli e altri). La Commissione dovrebbe colmare queste lacune aggiornando di conseguenza tali norme.

Una volta che il mandato del Parlamento sarà approvato in plenaria (la votazione è prevista per il giorno 26 marzo), potranno iniziare i negoziati con il Consiglio.

I pareri congiunti di EDPB ed EDPS

È fondamentale, poi, considerare le posizioni dell’European Data Protection Board (EDPB – Comitato europeo per la protezione dei dati) e dell’European Data Protection Supervisor (EDPS – Garante europeo della protezione dei dati), i quali hanno adottato due pareri congiunti, rispettivamente su: Omnibus sull’AI e Omnibus Digitale.

Il parere sull’Omnibus sull’AI

Con riguardo al parere congiunto in merito all’Omnibus sull’AI del 21 gennaio 2026, EDPB ed EDPS raccomandano di mantenere l’obbligo per i fornitori e gli utilizzatori di IA di garantire la formazione in materia di IA tra il proprio personale. Qualsiasi nuovo obbligo di promuovere la formazione in materia di IA imposto alla Commissione o agli Stati membri dovrebbe integrare, e non sostituire, le responsabilità delle organizzazioni che sviluppano e utilizzano effettivamente tali sistemi. Infine, EDPB ed EDPS esprimono preoccupazione in merito al proposto rinvio delle disposizioni fondamentali per i sistemi di intelligenza artificiale ad alto rischio. Data la rapida evoluzione del panorama dell’intelligenza artificiale, invitano i colegislatori a valutare se sia possibile mantenere la tempistica originale per determinati obblighi, come i requisiti di trasparenza, e a ridurre al minimo i ritardi nella misura del possibile.

Il parere sull’Omnibus Digitale

In relazione al parere congiunto sull’Omnibus Digitale dell’11 febbraio 2026, EDPS ed EDPB esortano i colegislatori a non adottare le modifiche proposte alla definizione di dati personali poiché vanno oltre una modifica mirata o tecnica del GDPR e comporterebbero una riduzione significativa del concetto di dati personali. Inoltre, EDPB ed EDPS ritengono positivi i modelli e gli elenchi comuni proposti per le violazioni dei dati e le valutazioni d’impatto sulla protezione dei dati. Infine, EDPS ed EDPB sostengono l’armonizzazione della nozione di «ricerca scientifica» e altre modifiche correlate, poiché rafforzano la certezza del diritto e contribuiscono a una maggiore armonizzazione.

Digital Omnibus e bilanciamento finale tra innovazione e diritti

Il Digital Omnibus è un tema ampiamente dibattuto e oggetto di svariate discussioni per via della sua portata potenzialmente rivoluzionaria in merito ad alcuni importanti aspetti relativi alla data protection, alla cybersecurity e all’Intelligenza Artificiale.

Ad oggi, si è ancora in una fase di incertezza, poiché i testi delle due proposte di Regolamento sono oggetto di discussione in seno al legislatore europeo (sebbene il testo dell’Omnibus sull’AI si trovi in uno stadio più avanzato rispetto all’Omnibus Digitale). Abbiamo visto, infatti, le differenti (e talvolta discordanti) posizioni della Commissione europea, da un lato, e del Consiglio dell’Ue e del Parlamento europeo dall’altro, così come anche le raccomandazioni di EDPB ed EDPS.

Particolarmente importanti sono le citate osservazioni del Parlamento europeo, contenute nello studio dello scorso 24 febbraio, le quali esprimono preoccupazioni, come visto, in merito ad alcune proposte di modifica della Commissione europea, sia rispetto all’Omnibus Digitale che con riguardo all’Omnibus sull’AI, andando a delineare, di conseguenza, alcune specifiche raccomandazioni improntate a garantire la certezza del diritto e ad attuare modifiche legislative solo ove strettamente necessario, in ottica di proporzionalità e rispetto dei diritti.

Tuttavia, tali differenti posizioni (attualmente oggetto di dibattito in sede legislativa) sono la rappresentazione del bilanciamento che si effettua, nell’alveo dell’Unione europea, in relazione ai diritti e alle libertà fondamentali degli interessati, a dimostrazione dell’esistenza di una preziosa dialettica democratica che caratterizza le nostre società. Pertanto, simili momenti di discussione, da cui possono derivare confronti e riflessioni su differenti posizioni e punti di vista, sono fondamentali in una società democratica e ne rappresentano i pilastri.

Ciò che si auspica è che il legislatore europeo possa giungere alla definizione di un nuovo corpus normativo sicuramente più efficiente, competitivo e innovativo, ma soprattutto sempre attento a mettere al primo posto i diritti e le libertà fondamentali delle persone fisiche, procedendo in ottica evolutiva e cercando di non arretrare mai in questo senso.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

C
Anna Cataleta
Senior Partner di P4I e Senior Advisor presso l’Osservatorio Cybersecurity & Data Protection (MIP)
Seguimi su
L
Aurelia Losavio
Privacy IT Legal Consultant at P4I
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • Immagine tratta da un reel pubblicato su TikTok generato con AI, che mostra un'esplosione atomica su Tehran - Screenshot di AgendaDigitale.eu

  • tecnologia e società

    Iran-Usa, disinformazione e propaganda nell'arsenale di guerra

    03 Mar 2026

    di Nicoletta Pisanu

    Condividi
  • infostealer

  • il report acn

    Infostealer: come agiscono i ladri silenziosi di password e dati bancari

    13 Feb 2026

    di Tommaso Diddi e Luisa Franchina

    Condividi
  • robotica a sciame (1)

  • scenari

    Sciami di robot al nostro servizio: ecco le nuove frontiere

    27 Nov 2025

    di Domenico Marino

    Condividi
0
Lascia un commento, la tua opinione conta.x