Ci sono volute migliaia di immagini di donne e bambine generate e diffuse online in pochi giorni perché l’Europa traducesse in norma vincolante ciò che era già, nei fatti, inaccettabile. Il caso Grok, il chatbot di xAI Corp. integrato nel social network X di Elon Musk, ha fatto da detonatore. Tra il 5 e il 6 gennaio 2026, i ricercatori di AI Forensics hanno stimato che almeno 6.700 immagini sessualizzate siano state generate tramite lo strumento, a partire da fotografie di persone completamente vestite. xAI ha limitato la funzionalità solo dopo un’ondata di critiche. Troppo tardi per impedire i danni, abbastanza presto per accelerare una risposta istituzionale che era già in cantiere.
Quella risposta si è concretizzata in due mosse ravvicinate. Il 13 marzo 2026 il Consiglio UE ha adottato formalmente la propria posizione negoziale sull’AI Omnibus, includendo il divieto dei sistemi AI capaci di generare contenuti sessualmente espliciti senza consenso. Due giorni prima, l’11 marzo, il Parlamento europeo aveva già raggiunto un accordo politico sullo stesso testo, con Francia e Spagna tra i promotori più determinati e Germania e Slovacchia pronte a bloccare l’intero pacchetto Omnibus se il divieto non fosse stato incluso. Il 18 marzo le commissioni IMCO e LIBE hanno ratificato il testo con 101 voti a favore, 9 contrari e 8 astensioni. Il voto in plenaria è atteso per il 26 marzo 2026.
Indice degli argomenti
Come l’Europa interviene sui deepfake sessuali
Una lacuna ammessa, poi colmata.
La rapidità dell’iter politico si spiega anche con un dato scomodo: l’11 marzo la Commissione europea ha formalmente riconosciuto, in una lettera a un eurodeputato, che il diritto UE vigente non vietava i sistemi AI capaci di generare materiale pedopornografico o deepfake sessuali espliciti.
Quella lacuna, ammessa pubblicamente, ha fornito la spinta politica decisiva per l’emendamento all’Omnibus. Il testo approvato vieta qualsiasi sistema di AI che alteri, manipoli o generi artificialmente immagini o video realistici tali da raffigurare attività sessualmente esplicite o le parti intime di una persona fisica identificabile senza il suo consenso. Il divieto non si applica qualora l’azienda abbia adottato misure tecniche verificabili per impedire la generazione di tali contenuti, aprendo così il terreno della compliance by design: la conformità normativa non come adempimento ex post, ma come requisito architetturale del sistema.
Dal divieto d’uso al divieto di sistema
La distinzione rispetto al quadro normativo preesistente è cruciale. La direttiva 2024 sulla violenza contro le donne configurava già come reato l’utilizzo dell’AI per produrre immagini sessuali senza consenso, colpendo l’utente che commette l’abuso. Il Digital Services Act sanzionava le piattaforme che ne consentivano la diffusione, X ne ha già fatto le spese, con una multa di 120 milioni di euro per violazione degli obblighi di trasparenza. Entrambe le norme però intervengono a valle. L’emendamento all’Omnibus colpisce invece lo strumento stesso: la responsabilità risale lungo la filiera fino al creatore del modello. Rimane aperta una questione tecnica non banale: come possono i sistemi di AI verificare se la persona raffigurata abbia o meno espresso il proprio consenso? La risposta normativa, per ora, segue la logica già applicata al riconoscimento biometrico: privilegiare il divieto preventivo accompagnato da un obbligo di compliance documentata, trasferendo l’onere della prova in capo al fornitore del sistema.
AI Omnibus, rinvii e nuovi obblighi
L’emendamento sui deepfake sessuali si inserisce nell’AI Omnibus, il regolamento che punta a semplificare e razionalizzare l’AI Act approvato nel marzo 2024. L’Omnibus posticipa le scadenze per le cosiddette applicazioni ad alto rischio, ovvero quei sistemi di AI utilizzati in ambiti sensibili come la selezione del personale, la valutazione del credito, la medicina o la sicurezza pubblica, dove un errore algoritmico può avere conseguenze concrete sulla vita delle persone.
Per questi sistemi, gli obblighi previsti dall’AI Act slittano: quelli classificati nell’Allegato III (tra cui sistemi usati in istruzione, occupazione e servizi essenziali) dovranno essere conformi entro dicembre 2027, mentre quelli dell’Allegato I (sistemi integrati in prodotti già regolati da normative di settore, come dispositivi medici o macchinari industriali) avranno tempo fino ad agosto 2028. Il rinvio serve a consentire lo sviluppo di standard tecnici condivisi e di linee guida pratiche che ancora mancano, senza le quali molte imprese non saprebbero concretamente come adeguarsi.
Su un fronte opposto, il pacchetto accelera invece sull’obbligo di watermarking, cioè l’apposizione di una marcatura digitale invisibile che consenta di riconoscere che un’immagine, un video o un testo sono stati prodotti da un sistema di AI e non da un essere umano. Questa scadenza viene anticipata da febbraio 2027 a novembre 2026: un segnale che, nel giudizio del legislatore europeo, la trasparenza sull’origine artificiale dei contenuti non può aspettare. Il percorso verso l’adozione definitiva non è tuttavia privo di attriti.
Le obiezioni dei Verdi sul pacchetto
I Verdi si oppongono ad alcune disposizioni del pacchetto che, a loro avviso, alleggeriscono eccessivamente gli obblighi per i sistemi di AI impiegati in contesti industriali. I Verdi contestano in particolare due disposizioni. La prima riguarda i sistemi di AI integrati in prodotti industriali già regolati da normative di settore, come dispositivi medici, macchinari o veicoli, per i quali l’Omnibus propone di applicare le sole regole del settore di appartenenza, esentandoli dagli obblighi più stringenti dell’AI Act. Per i Verdi si tratta di un varco attraverso cui proprio i sistemi più diffusi nell’economia reale rischiano di sfuggire ai controlli più rigorosi.
La seconda riguarda l’obbligo di formare i propri dipendenti e utenti sull’uso dell’AI, la cosiddetta AI literacy, che l’Omnibus sposta dai produttori e sviluppatori di sistemi AI alla Commissione europea e agli Stati membri: un alleggerimento che, secondo i Verdi, riduce la responsabilità diretta di chi quei sistemi li crea e li distribuisce. La loro opposizione lascia aperta la possibilità di modifiche al testo nelle fasi parlamentari ancora da completare.
Deepfake sessuali, indagini e nodo politico europeo
Parallelamente all’iter legislativo, si moltiplicano le indagini in corso. La Commissione europea ha aperto un procedimento formale su X per accertare violazioni del DSA. Il regolatore irlandese per la protezione dei dati ha avviato un’indagine separata sul trattamento dei dati personali sotto il GDPR. I procuratori francesi hanno ampliato un’indagine già esistente su X per includervi la diffusione di materiale pedopornografico tramite Grok. Anche il Regno Unito sta esaminando condotte analoghe attraverso proposte di modifica al Crime and Policing Bill. Questo è il modello tipico del diritto europeo: stratificazione normativa progressiva, in cui ogni strumento si innesta sul precedente ampliandone la portata. Non sempre tempestivo, ma strutturalmente orientato a reggere alla prova dei fatti.
Lo standard-setter sotto esame
L’Europa è ora uno standard-setter globale per un’IA affidabile, aveva dichiarato nel 2024 l’ex Commissario Thierry Breton all’indomani dell’approvazione dell’AI Act. A due anni di distanza, quella affermazione si confronta con una realtà più complessa: l’AI Act è legge, ma il suo completamento attuativo slitterà di anni; gli Stati Uniti hanno scelto la strada opposta della deregolamentazione, il caso Grok ha dimostrato che le lacune normative possono essere sfruttate su scala industriale prima ancora che vengano colmate.
Come ha ricordato il deputato tedesco Sergey Lagodinsky, non si tratta solo di Grok. Si tratta di quanta capacità siamo disposti a dare all’AI di degradare le persone. Il voto in plenaria del 26 marzo dirà se quella consapevolezza si è tradotta in una maggioranza abbastanza solida da resistere alle pressioni di chi, nell’Omnibus, vede soprattutto un’occasione per alleggerire il carico regolatorio sull’industria.
