Digital Omnibus AI: accordo entro aprile ed entrata in vigore ad agosto

Chiusura dei triloghi entro aprile e accordo definitivo entro agosto: è questa la roadmap auspicata dalla relatrice del provvedimento al Parlamento Europeo, Arba Kokalari (PPE), che oggi in commissione IMCO ha confermato l'accelerazione dei negoziati sull'Omnibus Digitale AI.

Digital Europe: online l’emendamento al work programme 2025-2027

Procede, dunque, a ritmo sostenuto l'iter di approvazione dell'Omnibus Digitale AI, uno dei pacchetti legislativi lanciati a novembre 2025 dalla Commissione Europea per semplificare e armonizzare le normative digitali UE.

Dopo il voto sulle posizioni negoziali di Consiglio e Parlamento, approvate rispettivamente il 13 marzo e il 26 marzo di quest'anno, le due istituzioni hanno avviato i primi negoziati per provare a raggiungere a breve un accordo definitivo. Un traguardo che, secondo quanto dichiarato dalla rapporteur Arba Kokalari (Svezia, PPE) durante il meeting odierno in Commissione per il mercato interno e la protezione dei consumatori (IMCO), dovrebbe essere raggiunto entro aprile per consentire l'entrata in vigore del testo ad agosto, garantendo così certezza operativa alle imprese in concomitanza con la piena applicazione dell'AI Act.

La proposta della Commissione UE sul Digital Omnibus Package

Come aveva spiegato in occasione del varo del Digital Omnibus Henna Virkkunen, Vicepresidente esecutiva per la Sovranità tecnologica, la sicurezza e la democrazia, “abbiamo tutti gli ingredienti per avere successo nell'UE. Abbiamo talento, infrastrutture, un grande mercato interno unico. Ma le nostre aziende, in particolare le nostre start-up e le piccole imprese, sono spesso trattenute da strati di regole rigide. Riducendo la burocrazia, semplificando le leggi dell'UE, aprendo l'accesso ai dati e introducendo un portafoglio comune europeo per le imprese, diamo spazio all'innovazione affinché avvenga e sia commercializzata in Europa”. Tutto ciò, sottolinea però Virkkunen, “avviene in modo europeo: facendo in modo che i diritti fondamentali degli utenti rimangano pienamente tutelati”.

E’ dunque questa la ratio alla base del pacchetto Digital Omnibus, approvato il 19 novembre 2025 dalla Commissione europea, a un mese di distanza dalla chiusura della consultazione con cui Bruxelles ha raccolto feedback da parte degli stakeholder sulle semplificazioni in arrivo.

Digital Omnibus: modifiche mirate all’AI Act

Il primo ambito su cui interviene il pacchetto Digital Omnibus è quello dell’intelligenza artificiale, prevedendo alcune modifiche mirate all’AI Act, entrato in vigore nell’agosto 2024, ma non in maniera completa. La legge europea sull’intelligenza artificiale, infatti, individua quattro livelli di rischio per l’AI. Il divieto per i sistemi AI che presentano un rischio inaccettabile - e quindi non sono ammessi all’interno dell’UE - ad esempio è entrato in vigore il 2 febbraio 2025.

Vi sono poi quei sistemi AI capaci di influire negativamente sulla sicurezza o sui diritti fondamentali e che sono definiti “ad alto rischio”. Tra questi vi sono da un lato i sistemi di AI utilizzati in prodotti soggetti alla direttiva dell'UE sulla sicurezza generale dei prodotti come giocattoli, aviazione, automobili, dispositivi medici e ascensori. Dall’altro figurano, invece, sistemi AI che rientrano in otto aree specifiche e che dovranno essere registrati in un database dell'UE, come ad esempio l’identificazione e categorizzazione biometrica di persone naturali, oppure la gestione e il funzionamento di infrastrutture critiche, solo per citarne alcuni. Ebbene, per i sistemi AI ad alto rischio si prevede che gli obblighi indicati dall’AI Act diventino applicabili 36 mesi dopo l’entrata in vigore della legge e cioè ad agosto 2026.

In tale contesto, il Digital Omnibus ha posticipato il calendario per l'applicazione delle norme ad alto rischio “a un massimo di 16 mesi, in modo che le norme inizino ad applicarsi una volta che la Commissione avrà confermato la disponibilità delle norme e degli strumenti di sostegno necessari, fornendo alle imprese gli strumenti di sostegno di cui hanno bisogno”, spiegano da Bruxelles.

Inoltre sempre in relazione all’AI, il pacchetto Omnibus per il digitale prevede anche delle altre modifiche mirate all’AI Act. Tra queste, l’estensione di alcune semplificazioni concesse alle PMI anche alle piccole imprese a media capitalizzazione, compresi i requisiti semplificati in materia di documentazione tecnica. Un’operazione che dovrebbe generare 225 milioni di euro all’anno di risparmi per le imprese.

Ma anche l’ampliamento delle misure di conformità, in modo che un maggior numero di innovatori possa utilizzare gli spazi di sperimentazione normativa, tra cui uno spazio di sperimentazione a livello dell'UE a partire dal 2028 e un maggior numero di test nel mondo reale, in particolare in settori chiave come quello automobilistico.

Infine, il rafforzamento dei poteri dell'Ufficio per l'AI e la centralizzazione della sorveglianza dei sistemi basati su modelli di intelligenza artificiale per finalità generali, riducendo la frammentazione della governance.

Pacchetto Digital Omnibus: le novità sul GDPR

Il pacchetto Omnibus dedicato al digitale interviene anche sul Regolamento generale sulla protezione dei dati (GDPR).

Come aveva spiegato a novembre 2025 Michael McGrath, Commissario per la Democrazia, la giustizia, lo Stato di diritto e la tutela dei consumatori, “l'obiettivo delle modifiche mirate GDPR è mantenere l'efficacia e l'integrità di questo regolamento storico, rispondendo nel contempo alle richieste dei portatori di interessi di chiarire, semplificare e armonizzare il GDPR. È essenziale che l'Unione europea agisca per realizzare la semplificazione e la competitività, mantenendo nel contempo un elevato livello di protezione dei diritti fondamentali delle persone, e questo è esattamente l'equilibrio che questo pacchetto raggiunge”.

Inoltre l’Omnibus introduce anche un punto di ingresso unico per le aziende che devono segnalare incidenti di sicurezza informatica. Allo stato attuale, infatti, la segnalazione avviene ai sensi di diverse leggi, tra cui la direttiva NIS2, il regolamento GDPR e la legge sulla resilienza operativa digitale (DORA). Con l’Omnibus, invece, ci sarà un’unica interfaccia che sarà sviluppata con solide garanzie di sicurezza.

Il Digital Omnibus AI migliora l’accesso ai dati

Infine, tra gli altri ambiti previsti dal nuovo Omnibus, vi è anche quello relativo all’accesso ai dati che viene migliorato in quanto ritenuto motore fondamentale per l’innovazione. In particolare il pacchetto:

• consolida le norme UE in materia di dati attraverso il Data Act, fondendo quattro atti legislativi in uno per una maggiore chiarezza giuridica;
• introduce esenzioni mirate ad alcune delle norme sulla commutazione in cloud del Data Act per le PMI e gli SMC, con un conseguente risparmio una tantum di circa 1,5 miliardi di euro;
• offre nuovi orientamenti sulla conformità al Data Act attraverso clausole contrattuali tipo per l'accesso e l'uso dei dati e clausole contrattuali standard per i contratti di cloud computing;
• promuove le imprese europee di AI sbloccando l'accesso a serie di dati nuove e di alta qualità per l'intelligenza artificiale, rafforzando il potenziale di innovazione complessivo delle imprese in tutta Europa.

Consulta la proposta di Bruxelles relativa al Regolamento Digital Omnibus

La posizione del Consiglio UE sul Digital Omnibus AI

La posizione del Consiglio sul pacchetto Digital Omnibus, raggiunta lo scorso 13 marzo, mantiene a grandi linee la stessa impostazione della proposta dell’Esecutivo UE, intervenendo però su alcuni punti rilevanti.

Innanzitutto, il mandato del Consiglio aggiunge al regolamento una nuova disposizione tesa a vietare pratiche di IA che riguardano la generazione di contenuti sessuali e intimi non consensuali o di materiale di abuso sessuale sui minori. 

Si introduce, inoltre, un calendario fisso per l'applicazione ritardata delle norme in materia di alto rischio: le nuove date di applicazione sarebbero il 2 dicembre 2027 per i sistemi di IA ad alto rischio indipendenti e il 2 agosto 2028 per i sistemi di IA ad alto rischio integrati in prodotti.

Il Consiglio propone inoltre di reintrodurre l'obbligo per i fornitori di registrare i sistemi di IA nella banca dati dell'UE per i sistemi ad alto rischio, qualora ritengano che i loro sistemi siano esentati dalla classificazione come ad alto rischio. Parallelamente, la posizione del Consiglio punta a ripristinare il criterio di stretta necessità per il trattamento di categorie particolari di dati personali allo scopo di garantire il rilevamento e la correzione delle distorsioni.

In aggiunta, il testo posticipa al 2 dicembre 2027 il termine per l'istituzione di spazi di sperimentazione normativa per l'IA da parte delle autorità competenti a livello nazionale.

Vengono chiarite, inoltre, le competenze dell'ufficio per l'IA per quanto riguarda il controllo dei sistemi di IA basati su modelli di IA per finalità generali nel caso in cui il modello e il sistema siano sviluppati dallo stesso fornitore, attraverso un elenco di eccezioni che restano di competenza delle autorità nazionali, comprese le autorità di contrasto, le autorità di gestione delle frontiere, le autorità giudiziarie e gli istituti finanziari.

Infine, il mandato del Consiglio aggiunge un nuovo obbligo, a carico della Commissione, di fornire orientamenti, con lo scopo di assistere gli operatori economici di sistemi di IA ad alto rischio disciplinati dalla normativa di armonizzazione settoriale a conformarsi ai requisiti relativi all'alto rischio del regolamento sull'IA in modo da ridurre al minimo l'onere di conformità.

Consulta la posizione del Consiglio UE 

La posizione del Parlamento UE sul Digital Omnibus AI

Il 26 marzo è stata invece la volta dell'approvazione della posizione negoziale del Parlamento Europeo che, con 569 voti favorevoli, 45 contrari e 23 astensioni ha adottato le proprie proposte emendative sul Digital Omnibus AI. 

Partendo dalla volontà della Commissione europea di rinviare l’applicazione di alcune norme relative ai sistemi di IA ad alto rischio (per garantire che linee guida e standard utili alle imprese siano pronti al momento dell’attuazione), il PE conferma la tabella di marcia delle proroghe per garantire prevedibilità e certezza giuridica già delineata dal Consiglio, che fissa le scadenze del:

• 2 dicembre 2027 per i sistemi di IA ad alto rischio esplicitamente elencati nel regolamento, tra cui quelli relativi alla biometria e quelli utilizzati in infrastrutture critiche, istruzione, occupazione, servizi essenziali, giustizia e gestione delle frontiere;
• 2 agosto 2028 per i sistemi di IA disciplinati da normative settoriali dell’UE in materia di sicurezza e vigilanza del mercato.

Inoltre, i deputati voglio concedere ai fornitori di servizi fino al 2 novembre 2026 per conformarsi all’obbligo di apporre una filigrana (o "watermarking") ai contenuti generati dall’IA quali audio, immagini, video o testi, al fine di indicarne l’origine.

In linea con il Consiglio UE, gli eurodeputati intendono anche introdurre un nuovo divieto per i sistemi di IA che creano o manipolano immagini sessualmente esplicite o intime di soggetti identificabili senza il loro consenso. Questa restrizione - rivolta alle cosiddette "app di nudificazione" - non si applicherebbe ai sistemi dotati di misure efficaci di sicurezza che impediscono la creazione di questo tipo di contenuti.

Un altro tema al centro delle modifiche previste dall’Eurocamera è quello relativo alla maggiore flessibilità. In particolare, si intende concedere ai fornitori dei servizi digitali la possibilità di trattare i dati personali degli utenti per individuare e correggere distorsioni nei loro sistemi di IA, introducendo però garanzie affinché ciò avvenga solo quando strettamente necessario.

Inoltre, con l'obiettivo ultimo di sostenere la crescita delle imprese europee oltre la soglia delle piccole e medie imprese, i deputati spingono verso una certa estensione di varie misure di sostegno anche alle imprese a media capitalizzazione ("small mid-cap", in inglese).

Infine, per evitare sovrapposizioni tra la legge sull’intelligenza artificiale e le normative settoriali dell’UE sulla sicurezza dei prodotti, il Parlamento ritiene che gli obblighi dell’AI Act possano essere meno stringenti per i prodotti già regolamentati (ad esempio dispositivi medici, apparecchiature radio, sicurezza dei giocattoli, ecc.).

Consulta la posizione del Parlamento UE sul Digital Omnibus 

Novità: Roadmap Digital Omnibus IA, le ipotesi dal PE

Gli ultimi aggiornamenti sul pacchetto Omnibus Digitale sono arrivati oggi, 15 aprile, dalla riunione della Commissione IMCO del PE durante la quale la rapporteur Arba Kokalari (Svezia, PPE) ha definito una ipotetica roadmap relativa all'approvazione della normativa.

I negoziati, ha spiegato Kokalari, procedono molto rapidamente poiché "abbiamo urgenza di concludere con un accordo che potrebbe entrare in vigore entro agosto, quindi durante l'estate", quando le disposizioni dell'AI Act devono entrare in vigore. Per questo motivo, quindi, il PE sta lavorando "per rispettare questa scadenza in modo tale da avere prevedibilità e certezza per il mercato e tutti coloro che utilizzano e sviluppano intelligenza artificiale in Europa".

Come spiegato nello stesso intervento, "abbiamo avuto un trilogo iniziale qualche settimana fa dove abbiamo presentato le nostre posizioni". Nonostante ci siano molti punti in comune tra le istituzioni, a seguito di questo primo confronto sono emerse anche alcune differenze tra la posizione del PE e quella del Consiglio che riguardano il modo in cui si affrontano i seguenti tre nodi:

• la "Sectorial Legislation" nell'Allegato I,
• le "Prohibitions" nell'art. 5, e
• "Governance and competences" nell'art. 75.

"L'ultimo trilogo - ha aggiunto Kokalari - è previsto per l'ultima settimana di aprile. Stiamo facendo del nostro meglio per poter trovare un terreno comune e raggiungere un accordo in tempo. L'ambizione mia e dei miei co-rapporteurs è quella di porre in essere il Digital Omnibus entro agosto".

Quantum: 'UE accelera su sovranità tecnologica e leadership industriale