Digital Omnibus on AI: La Commissione Europea Propone Semplificazioni all'AI Act

Introduzione

Il 19 novembre 2025 segna una data importante per la regolamentazione dell’intelligenza artificiale in Europa. La Commissione Europea ha pubblicato la proposta COM(2025) 836, nota come “Digital Omnibus on AI”, che modifica il Regolamento (UE) 2024/1689 (AI Act) e il Regolamento (UE) 2018/1139 (regolamento EASA sull’aviazione civile).

Questa iniziativa legislativa risponde a una necessità concreta emersa nei primi mesi di applicazione dell’AI Act: bilanciare l’ambizione di una regolamentazione rigorosa con la fattibilità operativa per imprese e pubbliche amministrazioni.

Nota bene: Questa analisi si basa sul testo della proposta pubblicato il 19 novembre 2025. Il testo potrà subire modifiche durante il processo legislativo ordinario.

Contesto e Motivazioni

L’AI Act, entrato pienamente in vigore il 1° agosto 2024, ha stabilito un framework regolatorio ambizioso ma complesso. Le prime implementazioni hanno evidenziato alcune criticità:

Oneri amministrativi elevati per fornitori e deployer di sistemi AI
Timeline stringenti non sempre allineate con la disponibilità di standard tecnici
Complessità burocratiche particolarmente onerose per le piccole e medie imprese
Governance frammentata tra autorità nazionali con rischio di interpretazioni divergenti

La proposta Digital Omnibus si propone di affrontare questi nodi critici mantenendo inalterati gli obiettivi di tutela di salute, sicurezza e diritti fondamentali.

Le Principali Modifiche Proposte

1. Timeline di Implementazione Flessibili

Una delle modifiche più significative riguarda i tempi di applicazione per i sistemi AI ad alto rischio.

Situazione attuale:

L’AI Act prevede l’applicazione delle regole per i sistemi high-risk a partire dal 2 agosto 2027.

Novità proposta:

L’applicazione è collegata alla disponibilità di standard armonizzati, specifiche comuni o linee guida della Commissione
Nuove date limite:
- Sistemi Annex III (alto rischio per definizione): massimo 2 dicembre 2027 (6 mesi dopo la decisione della Commissione);
- Sistemi Annex I (prodotti regolamentati): massimo 2 agosto 2028 (12 mesi dopo la decisione).

Implicazioni pratiche:

Questa modifica riconosce che l’implementazione efficace richiede strumenti operativi chiari. Le imprese avranno più tempo per conformarsi, ma solo se necessario per permettere lo sviluppo degli standard tecnici. È un approccio pragmatico che evita compliance formali ma inefficaci.

2. Estensione dei Privilegi alle Small Mid-Cap (SMC)

L’AI Act prevede già semplificazioni per le PMI.

Il Digital Omnibus estende questi benefici alle piccole mid-cap (imprese con meno di 1.000 dipendenti).

Semplificazioni previste:

Documentazione tecnica proporzionata
Sistema di gestione della qualità adattato alle dimensioni aziendali
Considerazione della capacità economica nell’applicazione delle sanzioni

Definizione di Small Mid-Cap:
Imprese che soddisfano entrambe le condizioni:

Meno di 1.000 dipendenti
Non soddisfano i criteri per essere considerate PMI

Questa estensione è particolarmente rilevante per l’ecosistema tech europeo, dove molte scale-up si trovano in questa fascia dimensionale.

3. AI Literacy: Da Obbligo Individuale a Responsabilità Istituzionale

Cambiamento radicale nell’approccio alla formazione sull’AI.

Regime attuale (Art. 4 AI Act):

Obbligo per fornitori e deployer di garantire un livello sufficiente di AI literacy al proprio personale.

Nuovo approccio proposto:

Eliminazione dell’obbligo diretto sugli operatori;
Responsabilità istituzionale: Commissione e Stati membri devono promuovere e facilitare la AI literacy;
Focus su programmi pubblici di formazione e sensibilizzazione.

Razionale del cambiamento:

La Commissione ha riconosciuto che l’obbligo individuale era:

Difficilmente verificabile e applicabile;
Eccessivamente oneroso per le imprese;
Inefficace senza un framework di supporto pubblico.

Il nuovo approccio punta su iniziative sistemiche anziché su obblighi diffusi e non controllabili.

4. Trattamento di dati sensibili per bias mitigation

Questa è forse la modifica più rilevante dal punto di vista della privacy. Viene introdotto un nuovo Articolo 4a che fornisce una base giuridica specifica per il trattamento di categorie particolari di dati personali (ex art. 9 GDPR).

Finalità consentite:

Rilevamento, correzione e monitoraggio dei bias nei sistemi AI;
Applicabile sia in fase di sviluppo che di deployment.

Garanzie richieste:

Misure tecniche e organizzative appropriate;
Limitazione alla finalità specifica;
Applicazione dei principi di minimizzazione e proporzionalità;
Conformità con il GDPR.

Soggetti abilitati:

Fornitori di tutti i sistemi AI (non solo high-risk);
Deployer di sistemi AI ad alto rischio.

Analisi critica:

Questa modifica rappresenta un punto di equilibrio interessante tra due esigenze:

La necessità tecnica di utilizzare dati sensibili per identificare e mitigare i bias algoritmici;
La protezione rafforzata prevista dall’art. 9 GDPR per dati particolarmente delicati.

La formulazione attuale richiede “appropriate safeguards”, ma sarà cruciale che le linee guida attuative specifichino nel dettaglio quali misure siano considerate sufficienti. Il rischio è che una regola troppo generica porti a interpretazioni divergenti e possibili abusi.

5. Riduzione degli oneri di registrazione

Modifica proposta:
Eliminazione dell’obbligo di registrazione nel database UE per i sistemi AI di cui all’Art. 6(3) - sistemi che, pur rientrando in categorie ad alto rischio, sono destinati a compiti ristretti e procedurali con rischio effettivo limitato.

Rimane l’obbligo di:

Documentare la valutazione che ha portato alla classificazione;
Rendere disponibile la documentazione alle autorità su richiesta.

Impatto operativo:

Questa semplificazione riduce significativamente gli oneri burocratici per una categoria ampia di sistemi AI (es. chatbot di customer service, sistemi di scheduling, assistenti virtuali per task specifici), senza compromettere la tracciabilità e la supervisione.

6. Centralizzazione della governance presso l’AI Office

Una delle modifiche più strutturali riguarda il rafforzamento del ruolo dell’AI Office della Commissione Europea.

Nuove competenze:

Supervisione diretta sui fornitori di modelli AI general-purpose (GPAI);
Coordinamento delle autorità nazionali;
Sviluppo di linee guida vincolanti e specifiche comuni;
Gestione del database UE dei sistemi ad alto rischio;
Potere sanzionatorio diretto per i GPAI.

Implicazioni per la governance:

Questo accentramento risponde all’esigenza di:

Evitare frammentazioni interpretative tra Stati membri;
Garantire uniformità nell’applicazione delle regole;
Assicurare expertise tecnica specializzata;

Tuttavia, solleva anche questioni sulla distribuzione del potere regolatorio e sull’effettiva capacità dell’AI Office di gestire un carico di lavoro così ampio.

7. Modifiche al Regolamento EASA

Il Digital Omnibus modifica anche il Regolamento (UE) 2018/1139 sull’aviazione civile, per garantire coerenza con l’AI Act.

Principali modifiche:

I sistemi AI nei prodotti aeronautici sono soggetti alle regole settoriali EASA, non all’AI Act generale
EASA mantiene competenza esclusiva per la certificazione
Cooperazione rafforzata tra EASA e AI Office
Allineamento delle procedure di valutazione della conformità

Razionale:

Il settore aeronautico ha già standard di sicurezza rigorosi e consolidati. La modifica evita sovrapposizioni normative e conflitti di competenza, garantendo un unico framework certificativo gestito da EASA.

8. Tempistiche legislative

Processo ordinario previsto:

Fase attuale: Proposta della Commissione (19 novembre 2025)
Prima lettura: Parlamento Europeo e Consiglio dell’UE
Negoziati trilaterali: Se necessario, trilogo tra Commissione, Parlamento e Consiglio
Adozione finale: Presumibilmente nel corso del 2026
Entrata in vigore: 20 giorni dopo la pubblicazione in Gazzetta Ufficiale
Applicazione: Immediata per le modifiche alle timeline; graduale per le altre disposizioni

Timeline stimata:

Q2 2026: Possibile adozione finale
Estate 2026: Entrata in vigore
Agosto 2027 - Agosto 2028: Applicazione graduale per i sistemi ad alto rischio

9. Implicazioni pratiche per le imprese

Per i fornitori di sistemi AI

Azioni immediate:

Valutare le classificazioni dei sistemi AI in portafoglio, verificando se rientrano nell’Art. 6(3)
Pianificare la documentazione per la gestione dei bias, se si trattano dati sensibili
Monitorare lo sviluppo degli standard armonizzati per i sistemi high-risk

Azioni a medio termine:

Adeguare i sistemi di gestione della qualità se si rientra nelle SMC
Preparare le procedure per il bias detection conforme al nuovo Art. 4a
Implementare i processi di registrazione semplificati quando disponibili

Per i deployer

Azioni immediate:

Mappare i sistemi AI utilizzati, identificando quelli ad alto rischio
Verificare le valutazioni di conformità dei fornitori
Documentare le finalità d’uso per dimostrare la conformità alle condizioni dell’Art. 6(3)

Azioni a medio termine:

Implementare procedure di monitoraggio dei bias se si utilizzano sistemi high-risk
Preparare accordi contrattuali con i fornitori che specifichino responsabilità e garanzie
Formare il personale sulle nuove procedure di compliance

Per le Autorità nazionali

Sfide operative:

Coordinamento con l’AI Office: definire chiaramente la divisione di competenze
Capacità ispettive: sviluppare expertise tecnica per valutare la conformità
Interpretazione uniforme: partecipare ai lavori dell’AI Board per linee guida condivise

10. Questioni aperte e criticità

1. Ambiguità sul bias mitigation

La formulazione “appropriate safeguards” nell’Art. 4a lascia ampio margine interpretativo.

È necessario che la Commissione pubblichi rapidamente linee guida dettagliate che specifichino:

Quali misure tecniche sono considerate appropriate
Come bilanciare l’esigenza di utilizzare dati sensibili con la minimizzazione
Come documentare la necessità e proporzionalità del trattamento

2. Capacità operativa dell’AI Office

La centralizzazione di competenze sull’AI Office solleva interrogativi sulla sua capacità operativa:

Avrà risorse umane e tecniche sufficienti?
Come gestirà il carico di lavoro della supervisione diretta sui GPAI?
Quali meccanismi di accountability saranno previsti?

Il nuovo Art. 4a crea una base giuridica specifica per il trattamento di dati sensibili, ma:

Come si coordina con le altre basi giuridiche dell’Art. 9 GDPR?
È necessaria una valutazione d’impatto GDPR in aggiunta alla conformità AI Act?
Come gestire situazioni in cui la normativa nazionale è più restrittiva?

11. Prospettive future

Evoluzione attesa

È probabile che durante il processo legislativo si verifichino:

Aggiustamenti tecnici alle definizioni e alle timeline
Chiarimenti sulle responsabilità dell’AI Office
Specifiche più dettagliate sui requisiti per il trattamento di dati sensibili

Impatto sull’ecosistema AI europeo

Le semplificazioni proposte potrebbero:

Ridurre il divario competitivo tra Europa e altre giurisdizioni (USA, Cina)
Facilitare l’innovazione nelle PMI e scale-up
Migliorare la chiarezza normativa e ridurre l’incertezza giuridica

Tuttavia, molto dipenderà dall’efficacia delle linee guida attuative e dalla capacità delle autorità di fornire supporto proattivo, non solo controlli ex post.

Conclusioni

Il Digital Omnibus on AI rappresenta un’evoluzione pragmatica del framework regolatorio europeo sull’intelligenza artificiale. La Commissione dimostra capacità di ascolto e adattamento rispetto alle criticità emerse nella fase iniziale di implementazione.

Punti di forza:

Maggiore flessibilità nelle timeline senza compromettere gli obiettivi di tutela
Semplificazioni amministrative concrete per imprese di dimensioni diverse
Centralizzazione della governance presso l’AI Office per maggiore coerenza
Approccio pragmatico alla AI literacy

Questioni aperte:

Necessità di linee guida dettagliate sul bias mitigation e trattamento dati sensibili
Capacità operativa dell’AI Office di gestire le nuove competenze
Coordinamento con il GDPR e le normative nazionali

Per le imprese, il messaggio è chiaro: il quadro normativo si sta stabilizzando, ma richiede preparazione, documentazione accurata e monitoraggio continuo. Non è più tempo di attendere; è tempo di implementare processi conformi costruiti su principi solidi di etica, trasparenza e accountability.

Riferimenti

Disclaimer: Questa analisi ha carattere informativo e non costituisce consulenza legale. Per valutazioni specifiche sulla conformità della vostra organizzazione, è consigliabile rivolgersi a professionisti specializzati.

Hashtag correlati

#AIAct #DigitalOmnibus #ArtificialIntelligence #EURegulation #AICompliance #PrivacyByDesign #GDPR #BiasMitigation #AIOffice #LegalTech #AIRegulation #EULaw #TechCompliance #AIGovernance #DataProtection

Introduzione#

Contesto e Motivazioni#

Le Principali Modifiche Proposte#

1. Timeline di Implementazione Flessibili#

2. Estensione dei Privilegi alle Small Mid-Cap (SMC)#

3. AI Literacy: Da Obbligo Individuale a Responsabilità Istituzionale#

4. Trattamento di dati sensibili per bias mitigation#

5. Riduzione degli oneri di registrazione#

6. Centralizzazione della governance presso l’AI Office#

7. Modifiche al Regolamento EASA#

8. Tempistiche legislative#

9. Implicazioni pratiche per le imprese#

Per i fornitori di sistemi AI#

Per i deployer#

Per le Autorità nazionali#

10. Questioni aperte e criticità#

1. Ambiguità sul bias mitigation#

2. Capacità operativa dell’AI Office#

3. Coordinamento con il GDPR#

11. Prospettive future#

Evoluzione attesa#

Impatto sull’ecosistema AI europeo#

Conclusioni#

Riferimenti#