L’accordo politico raggiunto il 7 maggio 2026 tra Parlamento europeo e Consiglio sul Regolamento “Digital Omnibus”[1] segna un passaggio che va ben oltre una semplice operazione di manutenzione normativa dell’AI Act.
Il messaggio, infatti, è: provare a correggere il tiro prima ancora che il sistema entri pienamente a regime, cercando un equilibrio più realistico tra compliance, competitività industriale e tutela dei diritti fondamentali.
La revisione nasce da una constatazione difficilmente contestabile, ossia che l’AI Act, nella sua formulazione originaria, aveva costruito un impianto regolatorio estremamente ambizioso, ma con evidenti criticità operative: sovrapposizioni con discipline settoriali già esistenti, tempi di attuazione troppo compressi, standard tecnici non ancora pronti e costi di adeguamento particolarmente onerosi soprattutto per imprese innovative e operatori intermedi del mercato europeo.
É bene notare come il testo del compromesso intervenga su determinati profili, quali:
- la semplificazione, il coordinamento tra legislazioni e la riduzione degli oneri
- la proroga dei termini
- il sostegno all’innovazione
- i nuovi divieti
- la revisione della governance.
senza tuttavia smontare l’architettura del Regolamento. Anzi, la scelta sembra essere quella di preservare il modello risk-based dell’AI Act, alleggerendone però gli attriti applicativi.
Indice degli argomenti:
Coordinamento con le normative di settore e semplificazioni
In tal senso, uno degli aspetti più significativi riguarda il rapporto tra AI Act e normativa settoriale, laddove viene introdotto un principio di coordinamento più forte tra AI Act e legislazione di armonizzazione dell’Unione già applicabile a prodotti regolamentati (come dispositivi medici, macchine o giocattoli con componenti intelligenti) con l’obiettivo dichiarato di evitare duplicazioni documentali, valutazioni parallele e interpretazioni divergenti tra autorità competenti.
In termini pratici, quindi, il legislatore europeo va riconoscendo che imporre due percorsi di conformità sostanzialmente sovrapposti rischiava di trasformare la compliance in un esercizio burocratico più che in una reale misura di sicurezza, in totale contrapposizione con la lettura ormai consolidata dei principi fondanti la European Data Strategy.
Questa, infatti, è orientata a un adeguamento che sia sostanziale e non meramente formale o documentale.
Per questo motivo viene, altresì, prevista la possibilità di limitare l’applicazione di alcuni requisiti dell’AI Act quando la normativa settoriale garantisca già un livello di protezione equivalente o superiore.
Con riferimento al Regolamento (UE) 2023/1230 (Macchine), in particolare, il testo sposta i prodotti coperti da questo nella Sezione B dell’Allegato I, con ciò intendendo che i requisiti dell’AI ACt saranno integrati direttamente nella legislazione sulle macchine tramite atti delegati della Commissione, per garantire che i fabbricanti non debbano affrontare processi di certificazione separati e ridondanti.
La manovra di semplificazione proposta, però, non si estrinseca solo negli aspetti appena evidenziati, ma prevede di investire anche le procedure di valutazione della conformità, tanto che gli organismi notificati potranno seguire un percorso unificato di designazione, evitando duplicazioni amministrative che, nella versione originaria del Regolamento – come già accennato -, rischiavano di rallentare drasticamente l’intero ecosistema certificativo europeo.
Proroga dei termini
Sul piano temporale, il testo di compromesso introduce un rilevante rinvio per i sistemi di AI ad alto rischio, sia per quelli stand-alone, sia – tanto più, per quelli integrati in prodotti regolamentati.
E così, schematizzando:
| Tipologia di Sistema di AI ad Alto Rischio | Nuova Data di Applicazione |
| Sistemi classificati ex Articolo 6(2) e Allegato III | 2 Dicembre 2027 |
| Sistemi classificati ex Articolo 6(1) e Allegato I (prodotti regolamentati) | 2 Agosto 2028 |
| Obblighi di marcatura per IA generativa (Art. 50(2)) o Watermarking | Periodo transitorio di 4 mesi per sistemi già sul mercato prima del 2 agosto 2026. |
La scelta è meno “politica” di quanto possa sembrare, poichè senza standard armonizzati, linee guida tecniche mature e autorità nazionali pienamente operative, il rischio concreto era quello di produrre un sistema formalmente applicabile, ma sostanzialmente ingestibile.
Il rinvio, quindi, rappresenta un tentativo di evitare una compliance al buio, scenario che avrebbe penalizzato gli operatori europei, specie quelli più strutturati e maggiormente esposti ai controlli.
Sostegno all’innovazione
Particolarmente interessante è, poi, l’estensione delle misure di favore alle cosiddette Small Mid-Caps.
Il legislatore europeo prende atto di una criticità spesso ignorata nelle regolazioni digitali: molte imprese superano formalmente la soglia delle PMI, ma non dispongono ancora della capacità organizzativa e finanziaria delle grandi corporation.
Ecco, dunque, che – a queste realtà – vengono estese diverse misure di semplificazione originariamente riservate alle sole PMI, inclusi facilitazioni documentali e accesso prioritario agli ambienti di sperimentazione regolamentare, come sintetizzato nella tabella che segue:
| Categoria | Definizione | Agevolazioni Previste |
| PMI e Startup | Ai sensi della Raccomandazione 2003/361/CE. | Accesso prioritario a sandbox, documentazione tecnica semplificata, riduzione oneri per sistemi di gestione qualità. |
| SMC (Small Mid-caps) | Imprese a media capitalizzazione di piccole dimensioni (Raccom. 2025/3500/UE). | Estensione di molte misure di favore precedentemente riservate solo alle PMI per favorire la transizione e la crescita. |
Nuovi divieti e revisione di obblighi esistenti
Va chiarito, però, che tra tante semplificazioni e “snellimenti”, il testo del compromesso introduce anche delle novità restrittive, per così dire. Nello specifico preme evidenziare un irrigidimento netto sul fronte dei divieti, laddove si prevede un ampliamento della portata dell’articolo 5 dell’AI Act (dedicato ai sistemi vietati), inteso oggi ad includere sistemi destinati alla generazione o manipolazione di materiale intimo non consensuale e contenuti pedopornografici sintetici.
Il testo, infatti, riporta quanto segue:
“l’immissione sul mercato, la messa in servizio o l’utilizzo di un sistema di intelligenza artificiale che genera o manipola immagini realistiche, video, audio o materiale simile raffigurante parti intime di una persona fisica identificabile, o di una persona fisica identificabile impegnata in attività sessualmente esplicite, senza il consenso libero, specifico, informato, inequivocabile ed esplicito di tale persona per tale generazione o manipolazione”.
Il punto giuridicamente più interessante è che il divieto non limita la propria portata ai casi in cui tale produzione costituisca lo scopo dichiarato del sistema di AI, ma prevede l’inclusione anche di tutti quei risultati “ragionevolmente prevedibili e riproducibili” in assenza di adeguate misure di sicurezza tecnica.
E così:
“La progettazione, la formazione, l’architettura, le capacità o le funzionalità rivolte all’utente del sistema rendono tale generazione o manipolazione un risultato riproducibile ragionevolmente prevedibile, senza richiedere modifiche tecniche significative, e il sistema non dispone di misure di sicurezza tecniche ragionevoli e adeguate e di altre salvaguardie per prevenire in modo affidabile tale generazione o manipolazione, tenendo conto di un uso improprio ragionevolmente prevedibile, e per correggere l’uso improprio osservato o segnalato”.
In altre parole, la responsabilità si sposta sempre più dalla mera intenzione alla prevedibilità del rischio, rendendo centrali – anche sotto il profilo regolatorio – elementi quali i filtri di output, i sistemi di refusal training, il data cleaning e, più in generale, le misure di mitigazione.
Questo passaggio rafforza una tendenza già visibile nella regolazione europea delle piattaforme digitali, ad esempio: non basta dichiarare un uso lecito del sistema se l’architettura tecnica rende facilmente prevedibile un utilizzo illecito massivo.
Ma più in generale tende a riportarci ad un approccio prospettico, anche detto di forward looking che permea tutte le normative caratterizzate da un risk-based approach.
Più morbida, invece, la revisione dell’obbligo di AI literacy.
Laddove, infatti, la formulazione originaria imponeva ai fornitori e ai deployer di “garantire” l’alfabetizzazione del personale, ad oggi il testo di compromesso prevede un obbligo più flessibile di adottare misure di supporto allo sviluppo delle competenze, ma “(…) Tale obbligo non deve essere inteso come un obbligo per i fornitori o gli implementatori di garantire un livello specifico di alfabetizzazione all’IA per qualsiasi individuo”.
Si badi bene, la modifica non è soltanto lessicale, poichè nel diritto europeo della compliance digitale la differenza tra un obbligo di risultato e un obbligo organizzativo cambia radicalmente il livello di esposizione giuridica degli operatori.
Di particolare rilievo pare essere anche l’introduzione di un articolo dedicato al trattamento – in via eccezionale – di categorie particolari di dati personali ai fini del rilevamento e della mitigazione di pregiudizi/bias discriminatori.
Tale possibilità – “Nella misura strettamente necessaria per garantire l’individuazione e la correzione dei pregiudizi in relazione a sistemi di IA ad alto rischio (…)” – viene estesa non solo ai fornitori di sistemi ad alto rischio, ma anche ai deployer e ad altri operatori, purché il trattamento sia strettamente necessario e fatte salve le opportune garanzie per i diritti fondamentali e libertà delle persone fisiche.
In particolare, si legge che dovranno essere soddisfatte, tra le altre, le seguenti condizioni:
“(…)
(b) le categorie particolari di dati personali sono soggette a limitazioni tecniche sul riutilizzo dei dati personali e a misure di sicurezza e di tutela della privacy all’avanguardia, inclusa la pseudonimizzazione;
(c) le categorie particolari di dati personali sono soggette a misure atte a garantire che i dati personali trattati siano protetti, tutelati e soggetti a garanzie adeguate, inclusi controlli rigorosi e documentazione dell’accesso, al fine di evitare abusi e garantire che solo le persone autorizzate abbiano accesso a tali dati personali, con adeguati obblighi di riservatezza;
(d) le categorie particolari di dati personali non sono trasmesse, trasferite o altrimenti accessibili a terzi;
(e) le categorie particolari di dati personali sono cancellate una volta che il pregiudizio è stato corretto o che i dati personali hanno raggiunto la fine del periodo di conservazione, a seconda di quale dei due eventi si verifichi per primo”.
È un passaggio che conferma una dinamica ormai evidente nella European Data Strategy: la protezione dei dati non viene più letta esclusivamente in chiave restrittiva, ma anche come leva per costruire sistemi affidabili e meno discriminatori, rendendo la qualità dei dati e la governance algoritmica diventano due facce della stessa infrastruttura regolatoria.
Governance
Sul fronte istituzionale, infine, il testo pare rafforzare sensibilmente il ruolo dell’AI Office europeo, che:
- da un lato, acquisisce competenze esclusive nella supervisione di sistemi basati su modelli di general purpose AI (GPAI) sviluppati dallo stesso fornitore o da imprese appartenenti allo stesso gruppo, e
- dall’altro, ottiene la supervisione per i sistemi di IA che si qualificano come piattaforme online di dimensioni molto grandi (VLOP) o motori di ricerca (VSE), dietro coordinamento con i servizi competenti per il Regolamento (UE) 2022/2065 (Digital Services Act) e nel rispetto del principio del ne bis in idem.
Anche qui emerge un disegno politico preciso: centralizzare la supervisione dei grandi operatori sistemici per evitare frammentazioni interpretative tra Stati membri, secondo un’impostazione che richiama da vicino il modello già adottato dal Digital Services Act per le Very Large Online Platforms.
Nel complesso, dunque, sembra che l’Unione Europea voglia passare un duplice messaggio: da una parte la scelta di continuare a difendere la propria ambizione regolatoria sull’intelligenza artificiale, e dall’altro la ricerca di un approccio più pragmatico e maggiormente consapevole delle dinamiche industriali, mantenendo però alte le aspettative sulla governance del rischio, sulla responsabilità tecnica e sulla capacità di prevenire usi abusivi dei sistemi di AI.
. ↑
