L’Unione europea ha scelto di correggere il calendario e una parte dell’architettura applicativa dell’Ai Act senza toccarne l’impianto di fondo. Nella notte tra mercoledì 6 e giovedì 7 maggio 2026, Parlamento europeo e Consiglio hanno raggiunto un accordo provvisorio su alcune modifiche inserite nel cosiddetto Digital Omnibus, il pacchetto di semplificazione proposto dalla Commissione il 19 novembre 2025. Il punto politico è che Bruxelles vuole rendere più praticabile il rispetto delle regole per le imprese, ma allo stesso tempo introduce un nuovo divieto esplicito contro i sistemi di intelligenza artificiale usati per creare immagini intime false o materiale di abuso sessuale su minori.
Indice degli argomenti:
Che cosa cambia davvero nell’AI Act
La modifica più rilevante riguarda i tempi. L’accordo rinvia l’applicazione di una parte degli obblighi per i sistemi di AI classificati come “ad alto rischio”, cioè quelli impiegati in settori dove un errore o un abuso può incidere su diritti, sicurezza o accesso a servizi essenziali. Secondo il testo uscito dal negoziato, le regole scatteranno dal 2 dicembre 2027 per i sistemi con casi d’uso ad alto rischio, compresi biometria, infrastrutture critiche, istruzione, lavoro, forze dell’ordine e gestione delle frontiere. Per i sistemi usati come componenti di sicurezza e già coperti da norme settoriali europee su sicurezza e sorveglianza del mercato, la data slitta invece al 2 agosto 2028.
La scelta non nasce da un ripensamento politico sull’AI Act, entrato in vigore il 1° agosto 2024, ma da un problema operativo. Commissione, Consiglio e Parlamento hanno riconosciuto che manca ancora una parte degli standard tecnici, delle linee guida e degli strumenti di supporto che dovrebbero aiutare aziende e autorità nazionali a capire con precisione come applicare le regole.
La Commissione europea, attraverso l’AI Office e il Service Desk avviato nell’ottobre 2025, ha già ammesso la necessità di accompagnare il rollout della normativa con chiarimenti pratici e un sistema più lineare di enforcement. (Fonte: European Commission)
Slitta anche l’obbligo di watermarking per i contenuti generati dall’intelligenza artificiale. Il nuovo termine è il 2 dicembre 2026. Il watermark, nelle intenzioni del legislatore europeo, serve a rendere rilevabile e tracciabile il contenuto artificiale, un punto diventato più sensibile con la diffusione di deepfake audiovisivi e contenuti sintetici realistici. (Fonte: Parlamento Europeo)
Il divieto sui nudifier e il nodo della dignità personale
Il punto più visibile, e politicamente più spendibile, è il bando dei cosiddetti nudifier. L’accordo vieta i sistemi di AI che generano materiale di abuso sessuale su minori o che raffigurano le parti intime di una persona identificabile, oppure la mostrano in attività sessualmente esplicite, senza il suo consenso. Il divieto vale per chi immette questi sistemi sul mercato europeo con questo scopo, per chi li commercializza senza ragionevoli misure di sicurezza che impediscano tale uso e per chi li utilizza proprio per creare quel contenuto.
La norma copre immagini, video e audio. Le aziende avranno tempo fino al 2 dicembre 2026 per adeguarsi. (Fonte: Parlamento Europeo)
Il tema non è marginale. Le applicazioni nudifier trasformano fotografie reali in rappresentazioni sessualizzate o nude di persone che non hanno mai posato per quelle immagini. Il danno è immediato: reputazione, privacy, integrità psicologica, diffusione non consensuale di materiale intimo. Con l’estensione del divieto anche alla creazione assistita da AI di materiale di abuso sessuale su minori, il legislatore europeo tenta di chiudere un vuoto che l’evoluzione tecnica aveva reso urgente.
Qui il Parlamento ha imposto una linea più dura rispetto all’impostazione iniziale della semplificazione, presentando il bando come una condizione per non trasformare la riduzione degli oneri in un arretramento sui diritti fondamentali.
Le dichiarazioni dei due correlatori fotografano bene questo equilibrio. Arba Kokalari, del Ppe, ha insistito sull’idea che l’Europa debba diventare “un continente dell’AI”, sostenendo startup e scaleup e rendendo più semplice costruire tecnologia in Europa.
Michael McNamara, di Renew, ha invece sottolineato che il divieto dei nudifier e della generazione di materiale di abuso su minori era un punto essenziale del mandato parlamentare, necessario per colpire sistemi che compromettono diritti fondamentali e dignità umana.
Meno doppie regole per macchine e prodotti industriali
Sul piano economico-regolatorio, la modifica più importante per molte imprese riguarda la riduzione delle sovrapposizioni tra AI Act e legislazione settoriale. Il nuovo testo chiarisce che i prodotti-macchina con componenti di AI non devono sottostare contemporaneamente alle regole dell’AI Act e a quelle settoriali sulla sicurezza, se il quadro settoriale garantisce un livello equivalente di tutela per salute e sicurezza. È un punto chiesto da mesi soprattutto da manifattura, automazione, automotive, energia e dispositivi industriali, che lamentavano una doppia o tripla stratificazione di compliance.
La nozione di “componente di sicurezza” viene anche ristretta. In pratica, se una funzione di AI assiste l’utente o ottimizza le prestazioni ma il suo guasto non crea rischi per salute e sicurezza, il prodotto non finirà automaticamente tra quelli soggetti agli obblighi più severi dei sistemi ad alto rischio. Per molte imprese questo passaggio vale quasi quanto il rinvio delle scadenze, perché riduce l’area grigia che negli ultimi mesi aveva alimentato dubbi interpretativi e costi di conformità anticipati.
Perché Bruxelles ha scelto la semplificazione
Il Digital Omnibus sull’AI fa parte della più ampia agenda europea sulla semplificazione normativa. Il Consiglio ha spiegato che l’obiettivo è alleggerire gli oneri amministrativi e creare condizioni più favorevoli per le imprese nell’Unione. La Commissione, presentando il pacchetto il 19 novembre 2025, lo aveva collegato direttamente alla competitività: meno tempo speso in adempimenti, più risorse per innovazione e crescita.
In questo quadro l’AI Act, nato come primo sistema organico al mondo per regolare l’intelligenza artificiale, viene corretto per renderne l’attuazione meno accidentata. (Fonte: European Commission)
C’è anche una ragione politica meno dichiarata ma evidente. L’Europa si trova stretta tra la pressione a non perdere terreno rispetto a Stati Uniti e Cina sull’AI generativa e la necessità di difendere la propria impostazione regolatoria.
Negli ultimi mesi la discussione a Bruxelles si è spostata: meno enfasi sul primato normativo in sé, più attenzione ai costi di implementazione per chi produce software, modelli e applicazioni industriali. I correttivi all’AI Act raccontano proprio questo passaggio: non una ritirata, ma un tentativo di rendere sostenibile l’ambizione iniziale.
Le imprese applaudono, i difensori dei diritti frenano
Le reazioni esterne confermano la faglia che accompagna ormai ogni dossier digitale europeo. Una parte dell’industria ha accolto positivamente la semplificazione, ma la considera ancora insufficiente. In una dichiarazione congiunta di marzo 2026, varie associazioni industriali hanno scritto che i negoziati rischiavano di diventare un’occasione mancata per correggere davvero i problemi applicativi dell’AI Act, soprattutto nei settori già coperti da discipline robuste come sanità, manifattura, energia e automotive.
Anche CCIA Europe ha sostenuto che la proposta della Commissione va nella direzione giusta perché punta a ridurre gli oneri regolatori e a creare condizioni più favorevoli alla competitività. (Fonte: cdn.digitaleurope.org)
Sul fronte opposto, il Bureau européen des unions de consommateurs, Beuc, ha avvertito che la semplificazione non deve indebolire le salvaguardie essenziali. Nel documento diffuso in vista dei triloghi, l’associazione dei consumatori sostiene che un alleggerimento eccessivo finirebbe per erodere la fiducia dei cittadini nei prodotti e servizi digitali.
La stessa linea è emersa nel parere congiunto del Comitato europeo per la protezione dei dati e del Garante europeo della protezione dei dati, pubblicato il 21 gennaio 2026: sì alla semplificazione e alla competitività, ma senza scaricare il costo sui diritti fondamentali, in particolare protezione dei dati, non discriminazione e governance effettiva dei sistemi. I garanti hanno contestato, tra l’altro, l’idea di ridurre alcuni obblighi legati all’AI literacy del personale. (Fonte: BEUC)
Questa tensione resterà anche dopo l’intesa. L’accordo provvisorio evita uno scontro frontale tra competitività e tutela, ma non lo risolve. Le imprese chiedono certezze, tempi e confini regolatori leggibili; autorità e organizzazioni civiche chiedono che la correzione non svuoti l’efficacia dell’AI Act prima ancora che entri pienamente in funzione.
Enforcement centralizzato e margini per le PMI
L’accordo interviene anche sulla macchina dei controlli. Una parte dell’enforcement sui sistemi di AI per finalità generali viene semplificata all’interno dell’AI Office europeo, la struttura della Commissione che ha il compito di coordinare l’attuazione dell’AI Act e vigilare in particolare sui modelli più potenti. L’idea è evitare frammentazione e alleggerire i passaggi amministrativi per gli operatori che si muovono in più mercati nazionali.
Un altro tassello riguarda le imprese di minori dimensioni. Le esenzioni già previste per alcune pmi vengono estese alle small mid-cap enterprises, cioè aziende un po’ più grandi delle pmi ma ancora lontane dalla scala dei grandi gruppi. È una modifica che parla direttamente al tessuto industriale europeo, composto in larga parte da imprese che hanno capacità tecnologiche ma non uffici legali e compliance paragonabili a quelli delle big tech.
Il testo apre inoltre alla possibilità di trattare dati personali quando sia strettamente necessario per rilevare e correggere bias nei sistemi di AI, sia ad alto rischio sia non ad alto rischio, purché con adeguate garanzie. È un passaggio delicato: sul piano tecnico risponde all’esigenza di controllare discriminazioni e distorsioni nei dataset e nei risultati; sul piano giuridico tocca un terreno sensibile, quello dell’interazione tra AI Act e quadro europeo della protezione dei dati.
I prossimi passaggi e la posta in gioco
L’intesa raggiunta dai negoziatori non è ancora legge. Parlamento e Consiglio dovranno adottarla formalmente. L’obiettivo dichiarato dei colegislatori è completare il percorso prima del 2 agosto 2026, data da cui, secondo il calendario attuale, dovrebbero partire le regole vigenti per i sistemi ad alto rischio. Il motivo della corsa è semplice: senza una modifica approvata in tempo, il rischio sarebbe aprire una fase di incertezza normativa proprio nel momento in cui aziende e autorità stanno cercando di capire come adeguarsi.
La posta in gioco supera il dossier tecnico. L’Europa sta testando un metodo politico: correggere una grande legge digitale prima che la sua applicazione integrale produca effetti distorsivi, senza però rinunciare all’idea di una regolazione basata sul rischio. Se il compromesso terrà, l’AI Act uscirà meno rigido nei meccanismi di attuazione ma più esplicito su alcuni abusi socialmente intollerabili, come i nudifier e la pornografia sintetica non consensuale.
Per Bruxelles, il messaggio è che la semplificazione non coincide automaticamente con la deregolazione. Per le imprese, il risultato è un po’ di tempo in più e qualche sovrapposizione in meno. Per i cittadini, il test vero inizierà quando i divieti e gli obblighi smetteranno di essere testo normativo e diventeranno controlli, sanzioni e casi concreti.
