AiCyberGen Blog
Digital Omnibus on AI: il Consiglio UE dà il via libera definitivo. Cosa cambia davvero per le imprese
Il 29 giugno 2026, il Consiglio dell’Unione Europea ha dato il via libera definitivo al regolamento di semplificazione dell’AI Act — il cosiddetto Digital Omnibus on AI, settimo pacchetto Omnibus della Commissione — chiudendo un iter legislativo che aveva visto il Parlamento Europeo esprimere il proprio voto favorevole il 16 giugno scorso (423 voti a favore, 57 contrari, 174 astensioni). Il regolamento entrerà in vigore tre giorni dopo la pubblicazione nella Gazzetta Ufficiale dell’UE, attesa a strettissimo giro.
Non si tratta di una riscrittura dell’AI Act (Reg. UE 2024/1689), ma di emendamenti mirati su punti critici: scadenze, semplificazioni per le imprese, nuovi divieti e governance. Il provvedimento fa parte del più ampio pacchetto Omnibus VII, il settimo dei dieci pacchetti di semplificazione normativa lanciati dalla Commissione a partire da febbraio 2025 in risposta alle raccomandazioni dei rapporti Letta e Draghi sulla competitività europea.
I principali cambiamenti operativi del Digital Omnibus on AI — 29 giugno 2026
1. Perché si è reso necessario un intervento così rapido?
L’AI Act è entrato in vigore il 1° agosto 2024 con un’applicazione scaglionata. Tuttavia, la ritardata preparazione degli standard tecnici armonizzati e la lenta costituzione delle strutture di governance e conformità a livello nazionale hanno generato un onere di compliance più pesante del previsto. Le consultazioni degli stakeholder hanno evidenziato la necessità di misure di chiarimento e facilitazione, senza però ridurre il livello di protezione di salute, sicurezza e diritti fondamentali. Il Digital Omnibus risponde a questa esigenza con precisione chirurgica.
2. Le nuove scadenze per i sistemi ad alto rischio
Questa è la modifica più attesa dalle imprese. Le date di applicazione degli obblighi più stringenti vengono posticipate con scadenze fisse:
| Categoria | Scadenza originale | Nuova scadenza |
|---|---|---|
| Sistemi Allegato III stand-alone (lavoro, istruzione, PA, forze dell’ordine) | 2 agosto 2026 | 2 dicembre 2027 |
| Sistemi Allegato I embedded in prodotti (dispositivi medici, ascensori, ecc.) | 2 agosto 2027 | 2 agosto 2028 |
Un differimento rispettivamente di 16 e 12 mesi. Il messaggio implicito del legislatore è inequivocabile: era irrealistico chiedere conformità prima che gli standard tecnici di riferimento (sviluppati dal CEN/CENELEC nell’ambito della Standardization Request M/593) fossero disponibili.
Attenzione: il 2 agosto 2026 rimane una data attiva per gli obblighi di trasparenza dell’Art. 50. Il regolamento non ha fermato l’orologio per tutti i sistemi, lo ha solo resettato per alcuni.
Una novità specifica riguarda i macchinari: i prodotti coperti dal Regolamento Macchinari sono esentati dall’applicazione diretta dell’AI Act in materia di requisiti ad alto rischio. La Commissione sarà abilitata ad adottare legislazione secondaria nell’ambito dello stesso Regolamento Macchinari per integrare i requisiti di salute e sicurezza applicabili ai sistemi di IA classificati come ad alto rischio ai sensi dell’AI Act. Si tratta di un meccanismo pensato per eliminare duplicazioni tra normative settoriali e orizzontale.
3. Nuovi divieti: deepfake sessuale e CSAM sintetico — in vigore da dicembre 2026
Il Digital Omnibus amplia l’elenco delle pratiche vietate (Art. 5), introducendo due nuovi divieti categorici con applicazione a partire dal 2 dicembre 2026:
- Contenuti intimi non consensuali (NCII/deepfake): vietata l’immissione sul mercato o l’uso di sistemi di IA che generano o manipolano immagini, video o audio delle parti intime di una persona senza consenso esplicito (le cosiddette applicazioni di nudification).
- Materiale pedopornografico sintetico (CSAM): vietata la generazione o manipolazione di materiale che costituisce abuso sessuale sui minori, anche se interamente sintetico.
È una scelta politica chiara: la stessa data del 2 dicembre 2026 vale anche per gli obblighi di watermarking dei contenuti generati dall’IA (Art. 50, par. 2), il cui periodo di grazia è stato ridotto da 6 a 3 mesi. Le due scadenze convergono, creando un blocco normativo coerente sulla trasparenza e la sicurezza dei contenuti sintetici.
4. Semplificazioni per PMI, start-up e — novità — le Small Mid-cap Enterprises (SMC)
Una delle innovazioni strutturali del Digital Omnibus è l’estensione delle agevolazioni previste per PMI e start-up alle Small Mid-cap Enterprises (SMC), le imprese a media capitalizzazione che spesso cadono fuori dalla soglia PMI pur avendo capacità amministrative comparabili. Le principali misure:
- QMS semplificato: la possibilità di adottare un sistema di gestione della qualità in forma semplificata, originariamente riservata alle sole microimprese, è estesa a tutte le PMI, start-up e SMC.
- Documentazione tecnica semplificata: moduli standardizzati resi disponibili dalla Commissione per PMI, start-up e SMC.
- Sandbox regolamentari gratuite e prioritarie: accesso prioritario e gratuito per PMI, start-up e SMC; il termine per l’istituzione delle sandbox da parte delle autorità nazionali competenti è posticipato al 2 agosto 2027.
- AI Literacy: l’obbligo non è più “garantire” un livello specifico per ogni individuo, ma “adottare misure per sostenere lo sviluppo” delle competenze. Onere di conformità significativamente ridotto.
- Sanzioni proporzionate: per PMI, start-up e SMC si applica sempre il valore più basso tra la percentuale del fatturato mondiale e l’importo fisso previsto.
5. Governance: AI Office più forte con perimetro definito
Le competenze dell’AI Office della Commissione vengono ampliate, ma con un perimetro esplicito che preserva le prerogative delle autorità nazionali. La supervisione esclusiva dell’AI Office riguarda i sistemi basati su modelli GPAI quando il modello e il sistema sono sviluppati dallo stesso fornitore. Restano però di competenza delle autorità nazionali i sistemi impiegati in settori sensibili: forze dell’ordine, gestione delle frontiere, autorità giudiziarie e istituzioni finanziarie.
Viene inoltre rafforzata la vigilanza sui sistemi di IA integrati in piattaforme online di dimensioni molto grandi (VLOP) e motori di ricerca (VLOSE), garantendo coerenza con il Digital Services Act.
6. Interoperabilità con la normativa settoriale
Il regolamento introduce un meccanismo esplicito per risolvere le sovrapposizioni tra i requisiti ad alto rischio dell’AI Act e quelli della legislazione settoriale armonizzata (dispositivi medici, giocattoli, ascensori, imbarcazioni da diporto). Dove la normativa settoriale prevede requisiti equivalenti o superiori a quelli dell’AI Act, la Commissione potrà adottare atti di esecuzione per limitare l’applicazione di specifici obblighi dell’AI Act, evitando duplicazioni senza abbassare il livello di protezione.
7. Obblighi di trattamento dati per la correzione dei bias
Viene stabilita una base giuridica esplicita per consentire ai fornitori di trattare categorie particolari di dati personali al solo scopo di rilevare e correggere bias nei sistemi di IA, nel rispetto di rigorose salvaguardie. Un elemento atteso dalla comunità tecnica che operava in un’area di incertezza normativa.
Conclusioni: pragmatismo e realismo senza arretramento
Il Digital Omnibus on AI non è un passo indietro sulla protezione, né una deregolamentazione dell’IA in Europa. È un aggiustamento del calendario di conformità dettato dalla realtà: la velocità della tecnologia e i tempi della standardizzazione tecnica erano in rotta di collisione con il 2 agosto 2026. Le imprese guadagnano tempo prezioso sui sistemi ad alto rischio, ma i nuovi divieti su deepfake e CSAM sintetico — operativi già a dicembre — segnalano che l’UE non ha intenzione di allentare la presa sulle applicazioni più pericolose.
Per chi opera in ambito AI governance e cybersecurity, il calendario operativo da tenere a mente è ora il seguente:
| Data | Evento |
|---|---|
| 2 agosto 2026 | Obblighi trasparenza Art. 50 (escluso par. 2): vigenti |
| 2 dicembre 2026 | Watermarking (Art. 50 par. 2) + nuovi divieti deepfake/CSAM: operativi |
| 2 agosto 2027 | Sandbox nazionali: operative |
| 2 dicembre 2027 | Sistemi ad alto rischio Allegato III: obblighi pieni |
| 2 agosto 2028 | Sistemi ad alto rischio Allegato I embedded: obblighi pieni |
Il regolamento viene pubblicato nella GU appena completato l’iter formale di firma.
Fonti: Comunicato stampa Consiglio UE, 29 giugno 2026 · Testo PE-CONS 30/26 · Legislative Train Schedule, Parlamento Europeo
#AIAct #DigitalOmnibus #OmnibusVII #EUAIRegulation #AIGovernance #Cybersecurity #PMI #SMC #Compliance #AIOffice #Deepfake #CSAM