Maggiori certezze per le aziende, un primo argine a un dilagante pericolo sociale, alcune importanti conferme, ma anche dei punti interrogativi. Può essere questo un primo bilancio dell’accordo raggiunto giovedì scorso tra Consiglio e Parlamento europeo sulla proposta di regolamento presentata dalla Commissione europea per la semplificazione dell’Artificial Intelligence Act (il cosiddetto “Digital Omnibus”).
Un bilancio che, da un lato, aspetta di trovare conferma in attesa del testo ufficiale approvato in sede di trilogo, dall’altro si pone in una posizione mediana, senza scontentare troppo i sostenitori dell’AI Act senza modifiche, né assecondare quanti invece invocavano sostanziali modifiche al testo. Un compromesso tra effetti positivi e preoccupazioni sistemiche che caratterizza strutturalmente ogni processo di semplificazione di regole e leggi in vigore.
Con l’ulteriore insormontabile e per certi versi inaccettabile complicazione che il regolamento emendato è stato approvato appena due anni fa e la maggior parte delle sue norme non sono ancora pienamente applicabili.
Indice degli argomenti
L’iter di approvazione del Digital Omnibus
Per cogliere la portata dell’accordo raggiunto questa settimana in seno al trilogo europeo occorre innanzitutto ripercorrere brevemente le tappe che lo hanno preceduto e che hanno accompagnato le cronache negli ultimi mesi.
Il punto di partenza è dello scorso 19 novembre, quando la Commissione europea ha presentato due proposte di regolamento finalizzate a semplificare e razionalizzare le norme comunitarie in materia di dati, intelligenza artificiale e cybersicurezza.
La prima proponeva modifiche al Regolamento Generale sulla Protezione dei Dati (GDPR) e alla Direttiva ePrivacy (ma anche a Data Governance Act e Data Act). La seconda riguardava specificamente l’AI Act, con l’obiettivo di intervenire su una serie di istituti e meccanismi di applicazione della legge.
Quest’ultima è la proposta che ha visto la luce nel trilogo di giovedì scorso. Nel mezzo c’è stato il parere congiunto di European Data Protection Board ed European Data Protection Supervisor del 20 gennaio 2026. Soprattutto, ci sono state la posizione del Consiglio (13 marzo 2026) e quella del Parlamento (26 marzo 2026), che hanno poi portato all’apertura dei negoziati tra le istituzioni europee.
L’andamento del processo di approvazione è stato particolarmente ritmato. Ciò anche per via dell’avvicinarsi della prossima fondamentale tappa di entrata in applicazione delle norme dell’AI Act, fissata per il 2 agosto 2026, e uno tra i punti oggetto dell’intervento di semplificazione.
L’iter relativo alle modifiche al GDPR vive, invece, un momento di sostanziale stallo e difficoltà. Vedremo nelle prossime settimane cosa avverrà su questo fronte.
L’accordo raggiunto sul Digital Omnibus
Come anticipato, nella giornata di giovedì Consiglio e Parlamento europeo hanno raggiunto un accordo provvisorio sul testo del Digital Omnibus. In attesa di poter leggere il provvedimento definitivo, le due istituzioni hanno reso noti i principali punti della posizione di compromesso raggiunta.
Partendo dai profili di applicazione temporale dell’AI Act, sono state confermate le nuove scadenze per le regole sui sistemi di IA ad alto rischio, che diventeranno applicabili, a seconda del sistema considerato, dal 2 dicembre 2027 (invece che dal 2 agosto 2026) e dal 2 agosto 2028 (invece che dal 2 agosto 2027).
Sempre in termini di proroga dell’entrata in applicazione degli obblighi originariamente introdotti dal regolamento europeo sull’IA, ha trovato accoglimento anche lo slittamento dell’obbligo di watermarking per i sistemi a rischio limitato già immessi sul mercato, limitato però a tre mesi. L’obbligo, dunque, diventerà applicabile a partire dal 2 novembre 2026.
È stata inoltre confermata l’introduzione di una nuova pratica vietata: si tratta dei sistemi di IA per la generazione di contenuti sessuali o intimi non consensuali o di materiale pedopornografico. Un divieto aggiuntivo che, con tutta evidenza, recepisce nel testo di legge un fenomeno che negli ultimi anni ha registrato una preoccupante esplosione.
Nei negoziati tra Consiglio e Parlamento europeo è stato altresì deciso di ripristinare l’obbligo per i fornitori di sistemi di IA di registrare i propri sistemi ad alto rischio nel database europeo istituito dall’AI Act, anche quando il sistema rientra in una delle esenzioni previste dalla legge. È stato inoltre confermato il requisito della stretta necessità per il trattamento di categorie particolari di dati personali a fini di rilevazione e correzione dei bias.
Tra le ulteriori rilevanti modifiche approvate figura l’introduzione di un meccanismo normativo per limitare l’applicazione di alcuni requisiti dell’Artificial Intelligence Act quando le norme europee di natura settoriale includono già obblighi equivalenti in materia di IA. È stato altresì deciso di esentare il regolamento sui macchinari dall’applicabilità diretta dell’AI Act.
Altri emendamenti approvati riguardano, ad esempio, dei nuovi orientamenti della Commissione europea per i sistemi di IA ad alto rischio disciplinati dalle normative di armonizzazione, il rinvio al 2 agosto 2027 della scadenza per l’istituzione delle sandbox normative a livello nazionale e le competenze dell’AI Office.
Digital Omnibus AI Act tra diverse luci e alcune ombre
L’accordo provvisorio raggiunto sul Digital Omnibus – che di fatto ridisegna solo l’Artificial Intelligence Act in alcuni punti essenziali – ha sicuramente diversi elementi di valore.
Innanzitutto, dopo molte discussioni e altrettante previsioni, finalmente l’orizzonte temporale di applicazione del corpo centrale delle norme dell’AI Act – ovvero quelle dedicate ai sistemi ad alto rischio – si colora di certezza. Non si tratta in questo caso di discutere se la proroga sia stata effettivamente una misura positiva o negativa. Piuttosto, prendendo atto delle ragioni che l’hanno resa necessaria, è evidente che le organizzazioni potranno ora e finalmente contare su date certe per definire i propri piani di compliance. Lo stesso in parte può dirsi per quanto riguarda lo specifico obbligo di trasparenza per i sistemi a rischio limitato interessato dal processo di semplificazione.
Deve essere inoltre accolta con favore la nuova pratica di intelligenza artificiale vietata introdotta dal Digital Omnibus che, come detto, intercetta un fenomeno pericoloso e che richiedeva con urgenza degli argini normativi. Naturalmente, ora partirà la partita dell’interpretazione e applicazione concreta della norma, che dovrà essere verificata sul campo della pratica e dell’operatività.
Altri punti dell’accordo provvisorio potrebbero essere commentati mettendone in luce gli effetti potenzialmente positivi per il mercato, i cittadini e le organizzazioni. E in questo senso, dunque, il Digital Omnibus può essere visto come un intervento efficace e funzionale. Al contempo, però, esistono anche dei profili di analisi di questo provvedimento che richiedono una riflessione più alta e di carattere sistemico.
I rischi della semplificazione normativa sistematica
Modificare un quadro normativo in vigore – a maggior ragione quando ciò si verifica a pochissimo tempo dalla sua approvazione e pendenti ancora i termini per l’effettiva applicazione – è un’operazione delicata e potenzialmente foriera di amplificare fenomeni di incertezza normativa e sfiducia verso il valore competitivo delle regole.
Questo naturalmente non significa considerare le norme come dei manufatti sacri e intoccabili. Le regole, infatti, devono poter evolvere con l’evolversi dei fenomeni che regolamentano. E tuttavia, ogni intervento che modifica, più o meno radicalmente, regole e processi già acquisiti dovrebbe essere valutato con grande attenzione e sottoposto a criteri di proporzionalità ed eccezionalità.
Occorrerà del tempo per saggiare gli effettivi impatti del Digital Omnibus sulla società ed il mercato. E non c’è motivo per non avere fiducia che di questo intervento organizzazioni e cittadini potranno beneficiare sotto diversi punti di vista. Ciò che però fin subito e fin da oggi deve essere scongiurata è una sistematizzazione della semplificazione normativa.
Nelle regole, soprattutto quelle in materia di data economy, risiedono la tutela profonda dei diritti e delle libertà fondamentali dei cittadini e un evidente capitale di competitività per le aziende. Ogni processo di razionalizzazione teso al miglioramento di queste regole per migliorare gli effetti positivi per cittadini e imprese deve essere sempre accolto con favore. Occorre invece evitare che, a causa di una semplificazione reiterata, disorientata e sistematica, questo duplice valore intrinseco delle regole europee possa venire disperso e degradato.
