Il Digital Omnibus sull’AI arriva mentre l’AI Act entra nella fase più delicata: tradurre regole e requisiti in adempimenti concreti, senza moltiplicare incertezze e costi. Tra scadenze rimodulate, decisioni attuative attese e orientamenti in ritardo sui sistemi ad alto rischio, imprese e autorità cercano certezze operative.
Indice degli argomenti
Perché il Digital Omnibus riapre il dossier sulle regole digitali
La crescente produzione normativa in ambito di innovazione digitale sta suscitando numerosi interrogativi sulla circostanza per cui tale attività possa rappresentare una reale soluzione alle inefficienze applicative e agli oneri burocratici derivanti da svariate norme stratificatesi nel tempo.
Per far fronte a tale situazione, la Commissione europea, attraverso il cosiddetto Digital Omnibus, ha presentato una serie di proposte di modifica relative ad alcune importanti normative facenti parte dell’acquis digitale dell’Unione europea e riguardanti, principalmente, gli ambiti della data protection, della cybersecurity e dell’intelligenza artificiale.
Le due proposte: Omnibus Digitale e Omnibus Digitale sull’AI
Infatti, come è noto, il pacchetto di riforme cosiddetto Digital Omnibus, promosso dalla Commissione europea, è composto da due proposte di Regolamento:
- una proposta che incide su una pluralità di normative (es. GDPR, e-Privacy, NIS2 e Data Act) e denominato Omnibus digitale[1];
- una proposta di modifiche verticali all’AI Act, finalizzate soprattutto a rendere più graduale e flessibile la sua applicazione nel tempo e denominata Omnibus digitale sull’AI[2].
Digital Omnibus sull’AI: scadenze e rimodulazione dell’AI Act
In relazione alla seconda proposta di regolamento relativa all’intelligenza artificiale, mentre l’attuale formulazione dell’AI Act prevede specifiche scadenze applicative, il testo di riforma proposto dalla Commissione europea propende per una rimodulazione delle stesse, generando non pochi interrogativi tra gli addetti ai lavori.
Essi, infatti, lamentano crescenti incertezze in merito all’applicazione della normativa, complice anche il fatto del mancato rispetto, da parte della Commissione europea, della scadenza (prevista per lo scorso 2 febbraio 2026) per emanare dei casi d’uso di sistemi di AI ad alto rischio e delle relative conseguenze, come previsto dall’art. 6, paragrafo 5, dell’AI Act stesso.
Linee guida in ritardo e incertezze: cosa manca per l’attuazione
La proposta del Digital Omnibus sull’AI si inserisce in un contesto in cui è le autorità preposte all’applicazione dell’AI Act hanno segnalato che né loro né le imprese sono pronte ad attuare le parti più complesse del Regolamento, a due anni dalla sua entrata in vigore[3].
Il nodo dell’art. 6 e dei sistemi di AI ad alto rischio
Riferendosi alla mancata pubblicazione da parte della Commissione europea degli orientamenti sull’attuazione pratica dell’art. 6 dell’AI Act (relativo ai sistemi di AI ad alto rischio), che sarebbe dovuta avvenire entro il 2 febbraio scorso, Renate Nikolay, vicedirettrice generale della Commissione europea per le reti di comunicazione, i contenuti e la tecnologia, ha affermato che: “questi standard non sono pronti, ed è per questo che nell’omnibus sull’AI ci siamo concessi un po’ più di tempo per lavorare sulle linee guida, sulle specifiche o sugli standard, in modo da poter garantire questa certezza giuridica al settore e agli innovatori, affinché il sistema sia pienamente operativo”[4].
Digital Omnibus sull’AI e l’articolo 113: nuove date per l’alto rischio
Anche per questo motivo, alcune delle modifiche previste dalla Commissione europea all’AI Act riguardano proprio un ripensamento delle attuali tempistiche relative all’applicabilità del Regolamento sull’AI (ad oggi fissate al 2 agosto 2026).
In particolare, la proposta della Commissione dispone la modifica dell’articolo 113[5] AI Act (Entrata in vigore e applicazione), con la previsione di nuove scadenze relative all’applicabilità delle norme sui sistemi di AI ad alto rischio. Infatti, il Digital Omnibus (nel testo proposto dalla Commissione europea) lega l’applicabilità delle norme relative alla classificazione dei sistemi di AI ad alto rischio, ai requisiti che questi devono rispettare e agli obblighi di fornitori e deployer[6] di sistemi di AI ad alto rischio, all’adozione di una decisione della Commissione. Pertanto, una volta che la Commissione conferma la disponibilità di tali strumenti, le norme per i sistemi di AI ad alto rischio si applicherebbero: 6 mesi dopo per i sistemi dell’Allegato III (entro il 2 dicembre 2027 al più tardi) e 12 mesi dopo per i sistemi dell’Allegato I (entro il 2 agosto 2028 al più tardi)[7].
Obblighi e deroghe: alfabetizzazione e trattamento di dati particolari
Oltre a ciò, la proposta della Commissione prevede ulteriori modifiche all’AI Act come, ad esempio:
- il fatto che l’alfabetizzazione sia da considerarsi non più come un obbligo, ma come un incoraggiamento, prevedendo la sostituzione dell’attuale articolo 4 AI Act con il seguente: “La Commissione e gli Stati membri incoraggiano i fornitori e i deployer di sistemi di AI ad adottare misure volte a garantire un livello sufficiente di alfabetizzazione in materia di AI del loro personale nonché di qualsiasi altra persona che si occupa del funzionamento e dell’utilizzo dei sistemi di AI per loro conto, prendendo in considerazione le loro conoscenze tecniche, la loro esperienza, il livello di istruzione e formazione, nonché il contesto in cui i sistemi di AI devono essere utilizzati, e tenendo conto delle persone o dei gruppi di persone su cui i sistemi di AI devono essere utilizzati”;
- l’introduzione dell’articolo 4-bis all’AI Act che costituisce una eccezione specifica per il trattamento di categorie particolari di dati personali da parte difornitori e deployer quando necessario per individuare e mitigare bias, subordinatamente a condizioni cumulative, tra le quali: impossibilità di utilizzare dati alternativi (es. dati sintetici); misure di sicurezza rafforzate e cancellazione tempestiva dei dati particolari.
Il Parlamento europeo: correzioni al Digital Omnibus sull’AI e date fisse
È opportuno, infine, considerare che il Parlamento europeo ha di recente pubblicato una prima bozza di report[8] sulla proposta di Regolamento della Commissione europea per la semplificazione dell’AI Act.
In relazione a ciò, si evidenzia che il Parlamento europeo:
- mantiene l’obbligo per i provider e deployer di promuovere l’alfabetizzazione in materia di AI;
- supera il meccanismo basato sulla adozione futura di nuovi atti (decisioni) proposto dalla Commissione europea, prevedendo scadenze fisse per i sistemi di AI ad alto rischio (segnatamente: 2 dicembre 2027 per i sistemi di AI ad alto rischio dell’Allegato III e 2 agosto 2028 per i sistemi di AI ad alto rischio dell’Allegato I);
- conferma la possibilità di trattare categorie particolari di dati personali in via eccezionale e con garanzie rafforzate per la rilevazione e mitigazione dei bias.
Tra semplificazione e mitigazione del rischio: il bilanciamento finale
Alla luce del contesto sopra descritto, che delinea una normativa ancora in fase di assestamento, si comprende meglio il mancato rispetto, da parte della Commissione europea, della scadenza del 2 febbraio scorso per produrre orientamenti che specifichino l’attuazione pratica delle norme sui sistemi di AI ad alto rischio.
L’incertezza sui tempi: effetti su imprese e autorità
Questo ritardo, come dichiarato da Laura Caroli, negoziatrice dell’AI Act ed ex consulente politica del correlatore del Parlamento Brando Benifei, non farà altro che creare maggiore incertezza, poiché non è scontato che l’omnibus venga approvato o rimanga invariato rispetto a quanto attualmente proposto e ha aggiunto: “quindi ora tutti si affannano a cercare di capire quanto tempo ci vorrà prima che venga approvato, quali saranno i tempi, se le scadenze già fissate saranno rispettate o sostituite da nuove”[9].
Innovazione, fiducia e compliance: due letture dell’AI Act
L’obiettivo della Commissione europea, attraverso il Digital Omnibus, resta quello di semplificare la normativa e superare alcune criticità. Infatti, come evidenziato anche nel documento sul Digital Omnibus sull’AI, pubblicato dal Think Tank del Parlamento Europeo[10], diversi studiosi hanno espresso preoccupazione per il fatto che gli obblighi di conformità introdotti dall’AI Act potrebbero involontariamente ostacolare l’implementazione dell’AI e rallentare l’innovazione. Ad esempio, alcuni requisiti di trasparenza potrebbero influire sull’innovazione e invitano il legislatore a fornire definizioni legali relative alla trasparenza (come il termine “trasparenza” stesso). Altri sostengono che il potenziale dell’AI Act di promuovere l’innovazione gestendo i rischi dipenda in ultima analisi dalla sua “capacità di evolversi in risposta al progresso tecnologico e alle esigenze della società”.
D’altro canto, altri studiosi sostengono “che l’AI Act stabilisce dei limiti di sicurezza, non barriere, per le iniziative di AI. Questi suggeriscono che il Regolamento sull’AI potrebbe favorire lo sviluppo di sistemi di AI affidabili e attendibili, aumentare la fiducia del pubblico e fornire il livello necessario di chiarezza giuridica che consente un’innovazione più consapevole.
Alla luce di ciò è importante che si giunga presto ad una situazione di maggior chiarezza per avere certezza del diritto e operare scelte consapevoli e ponderate sulla base di un quadro normativo definito. In quest’ottica, è condivisibile la volontà di semplificare ma deve essere garantita altresì la mitigazione dei rischi che derivano dall’utilizzo delle soluzioni di AI. Infine, è da notare in questo processo iniziale di adeguamento alla normativa come sia molto importante il contributo della Commissione europea al fine di avere una base interpretativa comune.
Note
[1] Proposta di REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO che modifica i regolamenti (UE) 2016/679, (UE) 2018/1724, (UE) 2018/1725 e (UE) 2023/2854 e le direttive 2002/58/CE, (UE) 2022/2555 e (UE) 2022/2557 per quanto riguarda la semplificazione del quadro legislativo nel settore digitale e che abroga i regolamenti (UE) 2018/1807, (UE) 2019/1150 e (UE) 2022/868 e la direttiva (UE) 2019/1024 (omnibus digitale)
[2] Proposta di REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO che modifica i regolamenti (UE) 2024/1689 e (UE) 2018/1139 per quanto riguarda la semplificazione dell’attuazione di regole armonizzate sull’intelligenza artificiale (Omnibus digitale sull’AI)
[3] IAPP, European Commission misses deadline for AI Act guidance on high-risk systems, disponibile al seguente link: European Commission misses deadline for AI Act guidance on high-risk systems | IAPP
[4] Ivi
[5] Per completezza, si segnala che è prevista altresì una modifica all’articolo 11 dell’AI (Sistemi di AI immessi sul mercato o messi in servizio e modelli di AI per finalità generali già immessi sul mercato), con l’introduzione del paragrafo 4: «I fornitori di sistemi di AI, compresi i modelli di AI per finalità generali, che generano contenuti audio, immagini, video o testi sintetici, immessi sul mercato prima del 2 agosto 2026 adottano le misure necessarie per conformarsi all’articolo 50, paragrafo 2, entro il 2 febbraio 2027».
[6] Si fa riferimento al (Sistemi di AI ad alto rischio), Sezioni 1 (Classificazione dei sistemi di AI come “ad alto rischio”), 2 (Requisiti per i sistemi di AI ad alto rischio) e 3 (Obblighi dei fornitori e dei deployer dei sistemi di AI ad alto rischio e di altre parti) dell’AI Act.
[7] Cfr. Think Tank European Parliament, Briefing “Digital Omnibus on AI”, 9 febbraio 2026 (https://www.europarl.europa.eu/thinktank/en/document/EPRS_BRI(2026)782651)
[8] https://www.europarl.europa.eu/doceo/document/CJ40-PR-782530_EN.pdf
[9] IAPP, European Commission misses deadline for AI Act guidance on high-risk systems, disponibile al seguente link: European Commission misses deadline for AI Act guidance on high-risk systems | IAPP
[10] Cfr. Think Tank European Parliament, Briefing “Digital Omnibus on AI”, 9 febbraio 2026 (https://www.europarl.europa.eu/thinktank/en/document/EPRS_BRI(2026)782651)
