01

Immagine creata con IAAI-generated image

AI Act e Digital Omnibus: il nuovo calendario dell’alto rischio, tra semplificazione e diritti fondamentali

Il Parlamento europeo ha approvato in via definitiva, il 16 giugno 2026, la modifica del Regolamento (UE) 2024/1689 nell’ambito del c.d. “Digital Omnibus on AI”: slittano al 2 dicembre 2027 e al 2 agosto 2028 gli obblighi per i sistemi ad alto rischio, si estendono le semplificazioni alle piccole imprese a media capitalizzazione e viene vietata la generazione di materiale intimo non consensuale. Ma la semplificazione del labirinto normativo europeo rischia di tradursi in un arretramento delle tutele?

Il processo di iperproduzione normativa messo in atto dal Legislatore europeo continua a creare non poche difficoltà agli esperti del settore e, questa volta, è lo stesso Legislatore a correre ai ripari. Infatti, a meno di due anni dall’entrata in vigore del Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio, che stabilisce regole armonizzate sull’intelligenza artificiale, c.d. AI Act, le istituzioni europee hanno approvato un regolamento modificativo nell’ambito del settimo pacchetto di semplificazione, il c.d. Digital Omnibus on AI – Omnibus VII, sulla base della proposta della Commissione europea COM(2025) 836 del 19 novembre 2025.

Riteniamo questa sia la sede opportuna per provare a fare un po’ di chiarezza sul nuovo assetto, tenuto conto del fatto che la generalità delle disposizioni dell’AI Act inizierà comunque ad applicarsi dal 2 agosto 2026 e che, come vedremo, il quadro delle scadenze ne esce profondamente ridisegnato.

Il percorso legislativo dell’Omnibus VII

La procedura legislativa ordinaria 2025/0359(COD), con base giuridica nell’articolo 114 TFUE, ha conosciuto un iter particolarmente serrato: proposta della Commissione il 19 novembre 2025, orientamento generale del Consiglio il 13 marzo 2026, posizione negoziale del Parlamento in plenaria il 26 marzo 2026, accordo provvisorio in trilogo il 7 maggio 2026 e approvazione definitiva in prima lettura il 16 giugno 2026, con 423 voti favorevoli, 57 contrari e 174 astensioni.

Il Consiglio ha adottato formalmente l’atto il 29 giugno 2026, precisando che l’atto legislativo sarà pubblicato a breve nella Gazzetta ufficiale dell’Unione europea ed entrerà in vigore il terzo giorno successivo a tale pubblicazione. Alla data in cui scriviamo, il regolamento modificativo non risulta ancora pubblicato in Gazzetta ufficiale dell’Unione europea e il relativo numero non è stato attribuito: il fascicolo legislativo indica lo stato “Awaiting signature of act”.

Come si legge nel comunicato ufficiale del Parlamento europeo, «il Parlamento europeo ha approvato in via definitiva una modifica di alcune norme della legge UE sull’intelligenza artificiale nell’ambito della proposta omnibus digitale». Un intervento, dunque, chirurgico nella forma, ma tutt’altro che marginale nella sostanza.

Il nuovo calendario applicativo: l’alto rischio slitta al 2027 e al 2028

Il cuore dell’intervento riguarda i sistemi di IA ad alto rischio. Infatti, leggiamo nel comunicato del Parlamento che «gli obblighi per i sistemi di IA ad alto rischio si applicheranno: dal 2 dicembre 2027 per i sistemi di IA indipendenti ad alto rischio; dal 2 agosto 2028 per i sistemi di IA integrati come componenti di sicurezza e disciplinati dalla normativa settoriale UE sulla sicurezza e sulla vigilanza del mercato».

Il Consiglio, dal canto suo, ha chiarito che i co-legislatori hanno trattato questa parte del pacchetto con la massima priorità, concordando un calendario preciso per l’applicazione differita delle regole sui sistemi ad alto rischio. In altri termini: gli obblighi per i sistemi ad alto rischio c.d. stand-alone, di cui all’Allegato III (biometria, occupazione, accesso ai servizi essenziali, istruzione, et similia), slittano dal 2 agosto 2026 al 2 dicembre 2027; quelli per i sistemi integrati come componenti di sicurezza in prodotti coperti dalla normativa settoriale di armonizzazione, di cui all’articolo 6, paragrafo 1, e all’Allegato I, al 2 agosto 2028.

Non si tratta dell’unico differimento. Il nuovo regolamento, infatti:

rinvia al 2 agosto 2027 il termine per l’istituzione delle sandbox regolamentari nazionali da parte delle autorità competenti;

rinvia al 2 dicembre 2026 l’applicazione degli obblighi di marcatura dei contenuti generati dall’IA per i sistemi immessi sul mercato prima del 2 agosto 2026, riducendo al contempo da sei a tre mesi il periodo di grazia per l’implementazione delle soluzioni di trasparenza.

Resta fermo, invece, il 2 agosto 2026 quale data di applicazione della maggior parte delle restanti disposizioni del Regolamento.

Le semplificazioni per PMI e small mid-cap

Sul versante della semplificazione, il Legislatore europeo ha scelto di estendere «alle piccole imprese a media capitalizzazione (SMC) delle esenzioni previste per le PMI da alcune norme, per sostenerne la crescita». A ciò si aggiungono la documentazione tecnica semplificata e specifiche considerazioni in materia di sanzioni, parimenti estese alle small mid-cap.

Si tratta di una scelta coerente con la ratio complessiva del pacchetto Omnibus, dichiaratamente orientata a ridurre gli oneri amministrativi per gli operatori economici. Merita attenzione un profilo sistematico: il baricentro della disciplina si sposta, almeno nella fase transitoria, dalla prescrittività degli adempimenti alla sostenibilità degli stessi per il tessuto produttivo europeo.

Il divieto delle applicazioni di “nudificazione”

Accanto ai differimenti, il regolamento introduce un nuovo divieto. Il comunicato del Parlamento è netto: «La legge vieta i sistemi di IA che generano materiale di abuso sessuale su minori o creano immagini, video e audio che raffigurano le parti intime di una persona identificabile o attività sessualmente esplicite senza il suo consenso», con termine di adeguamento fissato al 2 dicembre 2026.

Le parole del correlatore Michael McNamara rendono evidente la dimensione di tutela dei soggetti vulnerabili sottesa alla previsione: «Abbiamo concordato una modifica limitata per i prodotti macchina, con chiare salvaguardie, e ottenuto un divieto totale delle app di «nudificazione» tramite IA. Queste applicazioni colpiscono persone reali, in larga maggioranza donne, con l’obiettivo di umiliarle, degradarle e oggettificarle».

Profili critici: semplificazione o arretramento?

Come può facilmente comprendersi, l’intervento non è privo di profili problematici, e il dato numerico delle 174 astensioni in plenaria ne è un primo segnale istituzionale.

In primo luogo, le stesse autorità europee di protezione dei dati hanno posto l'attenzione sulla proposta. Nella Joint Opinion 1/2026 sul Digital Omnibus on AI, EDPB ed EDPS, pur sostenendo l’obiettivo di affrontare le difficoltà attuative dell’AI Act, hanno ammonito che la semplificazione amministrativa non deve, tuttavia, abbassare la protezione dei diritti fondamentali e, quanto ai differimenti, hanno espresso preoccupazione per il proposto rinvio di disposizioni fondamentali per i sistemi ad alto rischio, invitando i co-legislatori a valutare se il calendario originario possa essere mantenuto per taluni obblighi, quali i requisiti di trasparenza, e a ridurre al minimo i ritardi per quanto possibile. Le due autorità hanno inoltre sconsigliato la soppressione dell’obbligo di registrazione dei sistemi che i fornitori autoqualifichino come non ad alto rischio, ritenendo che tale modifica comprometterebbe in modo significativo la responsabilizzazione.

In secondo luogo, la società civile ha stigmatizzato la compressione dei tempi e l’assenza di valutazione d’impatto. La Civil Liberties Union for Europe ha osservato che questo ritmo forsennato, unito al fatto che parti dell’AI Act devono ancora entrare in vigore, rende tale processo una sconfitta per lo Stato di diritto: non vi è stata alcuna valutazione d’impatto né alcuna consultazione significativa. La medesima organizzazione ha sostenuto che l’adozione dell’Omnibus indebolisce le tutele dei diritti fondamentali previste dall’AI Act, ritarda l’applicazione di disposizioni chiave e rafforza le grandi imprese tecnologiche.

In terzo luogo, desta non poche perplessità il trasferimento dei prodotti macchina con IA integrata verso la normativa settoriale, con atti delegati della Commissione: soluzione presentata dal Consiglio come rimedio alle sovrapposizioni regolatorie, ma contestata dalla società civile quale scappatoia che risponde agli interessi dell’industria.

Infine, non può sottacersi che il differimento degli obblighi sull’alto rischio interviene su ambiti – biometria, lavoro, istruzione, accesso ai servizi essenziali – nei quali l’esigenza di tutela dei diritti fondamentali è, per definizione, più intensa. La modifica dell’AI Act prima ancora della sua piena applicazione costituisce, del resto, un unicum nella storia della regolazione digitale europea, che meriterà attenta osservazione anche sotto il profilo della certezza del diritto.

Conclusioni

Il Digital Omnibus consegna agli operatori un calendario nuovo e, almeno sulla carta, più realistico: 2 agosto 2026 per la generalità delle disposizioni, 2 dicembre 2026 per il divieto di nudificazione e per la marcatura dei contenuti generati, 2 agosto 2027 per le sandbox, 2 dicembre 2027 e 2 agosto 2028 per l’alto rischio. Il tempo guadagnato dovrà tuttavia essere impiegato, e non semplicemente atteso: dalle norme armonizzate in corso di elaborazione alla predisposizione dei sistemi di gestione, la conformità sostanziale non si improvvisa.

Alla luce di quanto esposto, ci si domanda se il rinvio degli obblighi riuscirà davvero a coniugare competitività e tutela dei diritti fondamentali, o se il tempo guadagnato si risolverà in un mero slittamento delle scadenze, senza che alla proroga corrisponda un rafforzamento sostanziale delle garanzie che l'AI Act intende assicurare.

Autore: Avv. Valentina Grazia Sapuppo