Il Parlamento europeo ha approvato il 16 giugno 2026 il pacchetto di semplificazione dell’AI Act, il cosiddetto Digital Omnibus AI, con 423 voti favorevoli, 57 contrari e 174 astensioni. Il testo modifica il calendario di applicazione di alcune regole sui sistemi di AI ad alto rischio, chiarisce il rapporto con la normativa di prodotto e introduce un divieto esplicito per le applicazioni di “nudificazione” e per i sistemi che generano materiale di abuso sessuale su minori. Prima dell’entrata in vigore manca ancora l’adozione formale da parte del Consiglio Ue. (Fonte: europarl.europa.eu)
La scelta politica è doppia: alleggerire l’avvio della compliance per imprese e sviluppatori, in attesa di standard armonizzati e strumenti di supporto, e rafforzare al tempo stesso la risposta normativa contro alcuni usi abusivi dell’AI generativa. La Commissione europea aveva presentato il Digital Omnibus AI il 19 novembre 2025; l’accordo in trilogo tra Parlamento e Consiglio è arrivato il 7 maggio 2026, poi confermato dal Coreper il 13 maggio e dalle commissioni Imco e Libe il 2 giugno.
Indice degli argomenti:
AI Act Digital Omnibus, il nuovo calendario per le imprese
Il cambiamento più rilevante per aziende, fornitori e pubbliche amministrazioni riguarda i sistemi di AI ad alto rischio. Gli obblighi per i sistemi autonomi ricadenti nelle aree dell’allegato III, come biometria, infrastrutture critiche, istruzione, lavoro, accesso a servizi essenziali, migrazione, giustizia e processi democratici, si applicheranno dal 2 dicembre 2027. Per i sistemi integrati in prodotti disciplinati da normative settoriali su sicurezza e sorveglianza del mercato, la data passa al 2 agosto 2028.
La Commissione collega questo rinvio alla necessità di rendere disponibili standard, linee guida e strumenti pratici prima dell’applicazione piena delle regole. Il punto operativo è chiaro: le imprese non ottengono un’esenzione dalla compliance, ma un periodo più lungo per costruire documentazione tecnica, sistemi di gestione del rischio, qualità dei dati, tracciabilità, supervisione umana, cybersecurity e monitoraggio post-market.
Ecco la mappa delle principali scadenze che emergono dal testo approvato e dalle pagine di attuazione della Commissione.
| Data | Ambito | Effetto operativo |
|---|---|---|
| 2 febbraio 2025 | Disposizioni generali, alfabetizzazione AI e divieti già previsti | Prima fase applicativa dell’AI Act |
| 2 agosto 2025 | Modelli di AI per finalità generali e governance | Obblighi per i provider di modelli general-purpose |
| 2 agosto 2026 | Applicazione della maggior parte delle regole | Avvio del quadro generale di enforcement nazionale ed europeo |
| 2 dicembre 2026 | App nudifier, materiale sessuale non consensuale e marcatura machine-readable per sistemi già sul mercato | Divieto delle nuove pratiche abusive e adeguamento di alcuni obblighi di trasparenza |
| 2 dicembre 2027 | Sistemi ad alto rischio dell’allegato III | Applicazione degli obblighi high-risk per sistemi stand-alone |
| 2 agosto 2028 | Sistemi high-risk incorporati in prodotti regolati | Applicazione per prodotti coperti da normativa settoriale |
Divieto nudifier: cosa viene proibito dal 2 dicembre 2026
La novità più visibile è il divieto delle app nudifier e dei sistemi che generano o manipolano immagini, video, audio o materiali simili raffigurando parti intime o attività sessualmente esplicite di una persona identificabile senza consenso esplicito. Il divieto copre anche i sistemi che generano o manipolano materiale di abuso sessuale su minori, compreso quello sintetico, salvo le eccezioni previste dal diritto nazionale per attività legittime delle autorità competenti.
Il testo non vieta in blocco ogni capacità tecnica di generare o manipolare contenuti audiovisivi. La proibizione riguarda i sistemi progettati per produrre quel materiale o quelli per cui tale produzione è un esito ragionevolmente prevedibile e riproducibile, quando mancano misure tecniche adeguate per prevenirla e correggere gli abusi segnalati. Tra le misure indicate nel testo concordato rientrano pulizia dei dati, refusal training, controlli sui prompt, filtri sui contenuti, restrizioni d’uso, sistemi di rilevamento degli abusi e meccanismi di notice and action.
Per i deployer, cioè i soggetti che usano sistemi di AI sotto la propria responsabilità, il divieto scatta quando il sistema viene usato per generare o manipolare quel materiale. La distinzione è importante per imprese, piattaforme e sviluppatori open source: la norma guarda sia all’intento del sistema sia ai rischi prevedibili di abuso, ma non trasforma automaticamente ogni strumento generativo in un prodotto vietato.
Trasparenza dei contenuti generati dall’AI
Il Digital Omnibus interviene anche sugli obblighi di trasparenza per i contenuti generati dall’AI. Per i sistemi già immessi sul mercato prima del 2 agosto 2026, il testo prevede l’adeguamento all’articolo 50, paragrafo 2, entro il 2 dicembre 2026, con marcatura dei contenuti sintetici in forma leggibile da macchina.
Il passaggio arriva pochi giorni dopo la pubblicazione, da parte della Commissione europea, del Codice di buone pratiche sulla marcatura e l’etichettatura dei contenuti generati dall’AI, diffuso il 10 giugno 2026. Il codice è volontario, ma serve a guidare fornitori e deployer nell’applicazione degli obblighi di trasparenza che riguardano, tra l’altro, deepfake, testi generati o manipolati dall’AI pubblicati su temi di interesse pubblico e interazioni con chatbot. (
A supporto del codice, la Commissione ha pubblicato l’8 maggio 2026 tre studi tecnici su marcatura e rilevamento di contenuti AI in audio, immagini/video e testo. Gli studi, dedicati all’articolo 50 dell’AI Act, valutano tecniche esistenti ed emergenti, efficacia, limiti e applicabilità pratica. Per le imprese significa che la compliance non potrà ridursi a un’etichetta visibile: serviranno soluzioni coerenti con la modalità del contenuto e con il rischio di alterazione o rimozione dei marcatori.
Meno sovrapposizioni per macchinari e prodotti regolati
Un altro punto rilevante riguarda i prodotti che incorporano sistemi di AI e sono già soggetti a normative europee settoriali. Il testo chiarisce il rapporto tra AI Act e Regolamento macchine 2023/1230, con l’obiettivo di evitare duplicazioni quando la normativa di prodotto assicura un livello equivalente o superiore di tutela per salute, sicurezza e diritti fondamentali.
La definizione di componente di sicurezza viene resa più precisa. Un sistema AI non diventa automaticamente componente di sicurezza solo perché integrato in un prodotto regolato: lo è quando ha la funzione prevista di prevenire o mitigare rischi per salute e sicurezza, oppure quando un suo malfunzionamento può mettere in pericolo persone o beni.
Restano fuori, invece, funzioni di assistenza all’utente, ottimizzazione delle prestazioni, efficienza del servizio, automazione, convenienza o controllo qualità non collegato alla sicurezza.
Per l’industria manifatturiera il chiarimento riduce il rischio di doppie procedure e interpretazioni divergenti. Non elimina però la necessità di mappare con precisione le funzioni AI incorporate nei prodotti, distinguendo tra automazione operativa, supporto all’utente e impatto diretto sulla sicurezza.
Small mid-cap, sandbox e dati sensibili per correggere bias
Il pacchetto estende alcune misure pensate per le piccole e medie imprese anche alle small mid-cap enterprises, le imprese che hanno superato la soglia Pmi ma non hanno ancora dimensione da grande azienda. Nel testo concordato rientrano semplificazioni su documentazione, codici di condotta e criteri di proporzionalità nelle sanzioni.
La logica è evitare che la crescita dimensionale produca un salto regolatorio troppo brusco, soprattutto per aziende innovative che sviluppano o integrano sistemi AI. La Commissione indica anche un ampliamento dell’accesso alle sandbox regolatorie, compresa una sandbox a livello Ue, per testare soluzioni in condizioni reali sotto supervisione.
Sul piano dei dati, il testo consente in via eccezionale il trattamento di categorie particolari di dati personali quando strettamente necessario per individuare e correggere bias. La base giuridica viene estesa oltre i soli provider di sistemi high-risk, ma resta vincolata a salvaguardie stringenti: controllo degli accessi, documentazione, limitazione della condivisione, cancellazione dei dati al termine della correzione o del periodo di conservazione, e motivazione del perché l’obiettivo non possa essere raggiunto con altri dati.
Il ruolo dell’AI Office e il nodo dell’enforcement
Il Parlamento conferma anche un rafforzamento dell’AI Office, con centralizzazione di alcuni poteri sui sistemi basati su modelli di AI per finalità generali. La Commissione presenta questa scelta come uno strumento per ridurre la frammentazione della governance e rendere più coerente l’applicazione delle regole tra livello europeo e autorità nazionali.
Il nodo resta l’attuazione. L’AI Act è entrato in vigore il 1° agosto 2024 e procede per fasi; alcune disposizioni sono già applicabili, altre richiedono ancora standard tecnici, linee guida, autorità nazionali pienamente operative e strumenti di supporto. Il Digital Omnibus sposta in avanti una parte degli obblighi più onerosi, ma concentra la responsabilità delle imprese su un lavoro preparatorio più ordinato: inventario dei sistemi, classificazione del rischio, tracciabilità dei dati, governance dei fornitori, controlli sugli output generativi e procedure interne per l’uso dei sistemi.
Gli studi della Commissione sull’articolo 5, pubblicati l’8 maggio 2026, mostrano quanto sia delicata la traduzione pratica dei divieti in controlli applicabili. Le tre analisi riguardano manipolazione e sfruttamento delle vulnerabilità, social scoring, predictive policing, riconoscimento delle emozioni, categorizzazione biometrica, identificazione biometrica remota e scraping non mirato di immagini facciali. Pur non essendo dedicate al nuovo divieto sulle app nudifier, confermano la direzione del regolatore: le pratiche vietate vanno definite in modo circoscritto, ma con esempi e criteri tecnici abbastanza chiari da essere applicati da imprese, autorità e giudici.
Cosa devono fare ora aziende e PA
Per aziende e pubbliche amministrazioni il rinvio non dovrebbe essere letto come una pausa. I soggetti che sviluppano, acquistano o impiegano sistemi AI dovranno aggiornare le roadmap di compliance distinguendo tre piani:
- obblighi già applicabili,
- obblighi in arrivo nel 2026 sulla trasparenza e sui divieti,
- obblighi high-risk posticipati al 2027 e 2028.
La priorità immediata riguarda i sistemi generativi che producono immagini, audio, video o testo. Provider e deployer devono verificare se esistono rischi prevedibili di uso per materiale intimo non consensuale, abuso sessuale sintetico o deepfake ingannevoli, e documentare le misure tecniche e organizzative adottate. Per chi opera in settori regolati, dalla manifattura ai dispositivi integrati in prodotti di sicurezza, diventa essenziale separare le funzioni AI realmente legate alla sicurezza da quelle di ottimizzazione o assistenza.
Il compromesso approvato dall’Eurocamera sposta alcune scadenze, ma rende più chiari i punti su cui l’Europa intende misurare l’affidabilità dell’AI: capacità di prevenire abusi, qualità della documentazione, proporzionalità degli oneri e coerenza tra norme orizzontali e regole settoriali.
La formalizzazione da parte del Consiglio chiuderà il passaggio legislativo; per imprese e PA il lavoro più concreto comincia prima, nella revisione dei cataloghi AI e dei controlli sugli usi generativi ad alto impatto.
Partecipa alla community