Digital Omnibus on AI: cosa cambia nel Draft Report del Parlamento europeo rispetto alla proposta della Commissione
Questo articolo prosegue la serie dedicata al Digital Omnibus Package avviata su questo blog nel settembre 2025. Nel primo articolo avevamo esaminato il contesto e le motivazioni dell’iniziativa della Commissione quando era ancora in fase di consultazione. Con la pubblicazione della proposta formale il 19 novembre 2025, avevevamo poi analizzato in dettaglio le modifiche all’AI Act contenute nella COM(2025) 836 e, in un articolo separato, le modifiche al GDPR e alle regole sui cookie.
Ora il dossier entra in una nuova fase.
Il 5 febbraio 2026 i comitati congiunti IMCO e LIBE del Parlamento europeo hanno adottato il Draft Report (PE782.530v01-00) sulla proposta COM(2025) 836 — il Digital Omnibus on AI — a firma dei co-relatori Arba Kokalari (EPP) e Michael McNamara (Renew). Il testo contiene 24 emendamenti alla proposta della Commissione e rappresenta la prima posizione ufficiale del Parlamento su questo dossier.
Abbiamo analizzato il Draft Report confrontandolo direttamente con la proposta della Commissione. In questo articolo illustriamo le modifiche introdotte dal Parlamento, raggruppandole per area tematica, e le ragioni che le sostengono alla luce dell’Explanatory Statement dei co-relatori.
La filosofia di fondo: certezza giuridica al posto della flessibilità discrezionale
L’Explanatory Statement che accompagna il Draft Report chiarisce la posizione dei co-relatori in modo inequivocabile. Kokalari e McNamara condividono l’obiettivo della Commissione di semplificare l’attuazione dell’AI Act, ma divergono sul metodo. La Commissione aveva costruito il rinvio delle scadenze per i sistemi ad alto rischio attorno a un meccanismo flessibile, incentrato su una propria decisione discrezionale. Il Parlamento sostituisce quel meccanismo con date fisse. Lo statement lo dice con chiarezza: il report suggerisce di “replace the Commission’s proposal of linking the date of application to a decision by the Commission with a set timeline of 2 December 2027 for Annex III systems and 2 August 2028 for Annex I systems”.
Questa scelta riflette un principio giuridico preciso: chi deve conformarsi a una norma ha bisogno di sapere con certezza quando quella norma si applicherà, non di attendere una decisione che potrebbe arrivare in qualsiasi momento.
Le scadenze per i sistemi ad alto rischio: l’emendamento cardine
La modifica più rilevante dell’intero Draft Report riguarda il considerando 22 e l’articolo 113, paragrafo 3, dell’AI Act (Emendamenti 6 e 24).
La Commissione aveva proposto un sistema a due livelli. In primo luogo, l’entrata in applicazione degli obblighi del Capitolo III (Sezioni 1, 2 e 3) sarebbe dipesa dall’adozione di una decisione della Commissione stessa che confermasse la disponibilità di misure a supporto della compliance — standard armonizzati, specifiche comuni, linee guida. Dopo tale decisione, gli obblighi sarebbero entrati in vigore con un periodo transitorio di 6 mesi (per i sistemi Allegato III) o 12 mesi (per i sistemi Allegato I). In assenza di tale decisione, le date limite sarebbero state comunque il 2 dicembre 2027 e il 2 agosto 2028.
Il Parlamento elimina l’intero meccanismo della decisione della Commissione. L’Emendamento 24 riscrive il punto in modo che le scadenze siano direttamente fissate nel testo normativo: 2 dicembre 2027 per i sistemi classificati ad alto rischio ai sensi dell’articolo 6(2) e dell’Allegato III; 2 agosto 2028 per quelli ai sensi dell’articolo 6(1) e dell’Allegato I. Nessuna decisione intermedia, nessuna discrezionalità.
A completamento di questa scelta, il nuovo considerando 22a (Emendamento 7) introduce un impegno positivo: la Commissione è tenuta ad assicurare che le misure di supporto alla compliance — standard, specifiche comuni, linee guida — siano predisposte “in due time” per garantire un’attuazione tempestiva ed efficace. In altri termini, il Parlamento fissa la scadenza e chiede alla Commissione di adeguarsi, non il contrario.
L’Emendamento 6 al considerando 22 adegua di conseguenza il testo esplicativo, rimuovendo ogni riferimento al meccanismo di decisione e sostituendolo con la formulazione diretta delle nuove date.
Scadenze a confronto: Commissione vs. Parlamento
La tabella che segue evidenzia le scadenze per i sistemi ad alto rischio confrontando il meccanismo proposto dalla Commissione (COM(2025) 836) con la posizione del Parlamento nel Draft Report PE782.530. La scadenza originaria dell’AI Act vigente per tutti gli obblighi del Capitolo III è il 2 agosto 2026.
| Scadenza | Proposta Commissione — COM(2025) 836 | Draft Report Parlamento — PE782.530 |
|---|---|---|
| Sistemi alto rischio — Allegato III (Art. 6(2), Cap. III Sez. 1-3) | 6 mesi dopo decisione della Commissione che conferma la disponibilità di misure di supporto alla compliance; in ogni caso non oltre il 2 dicembre 2027 | 2 dicembre 2027 — data fissa, senza alcuna decisione intermedia della Commissione (Em. 6, 24) |
| Sistemi alto rischio — Allegato I (Art. 6(1), Cap. III Sez. 1-3) | 12 mesi dopo decisione della Commissione; in ogni caso non oltre il 2 agosto 2028 | 2 agosto 2028 — data fissa, senza alcuna decisione intermedia della Commissione (Em. 6, 24) |
| Classificazione alto rischio (Art. 6(5)) | Soggetto al medesimo meccanismo di rinvio condizionato | Escluso dal rinvio: si applica alla scadenza originaria del 2 agosto 2026 (Em. 24: “with the exception of Article 6(5)”) |
| Misure di supporto alla compliance (standard armonizzati, specifiche comuni, linee guida) | Presupposto necessario per la decisione della Commissione che attiva le scadenze | La Commissione deve predisporle “in due time” per garantire un’attuazione tempestiva — non sono più condizione ma obbligo autonomo (nuovo cons. 22a, Em. 7) |
La differenza sostanziale non è nelle date finali — che restano identiche — ma nel meccanismo: la Commissione prevedeva una scadenza mobile agganciata a una propria decisione discrezionale, con le date del 2027 e del 2028 come soli limiti esterni. Il Parlamento fissa direttamente quelle date come scadenze certe e inderogabili, e trasforma la predisposizione delle misure di supporto da condizione per l’attivazione a obbligo a carico della Commissione.
AI Literacy: l’obbligo resta in capo ai fornitori e deployer
Nell’analisi della proposta della Commissione avevamo descritto il passaggio dall’obbligo diretto su fornitori e deployer a una responsabilità istituzionale come un “cambio radicale di approccio”. Il Parlamento corregge parzialmente quella rotta.
Il Parlamento interviene su questo punto con due emendamenti distinti (Emendamenti 8 e 9) che modificano la struttura dell’articolo 4 in modo sostanziale.
L’Emendamento 8 reintroduce l’obbligo in capo ai fornitori e deployer, con una modifica terminologica significativa: il verbo passa da “ensure” (testo vigente dell’AI Act) a “promote”. Non si tratta più di un obbligo di risultato ma di un obbligo di condotta. I fornitori e i deployer devono adottare misure per promuovere l’AI literacy del proprio personale, tenendo conto delle conoscenze tecniche, dell’esperienza, del contesto d’uso e delle persone interessate.
L’Emendamento 9 aggiunge un nuovo paragrafo 1a che assegna alla Commissione e agli Stati membri un ruolo di supporto: essi devono sostenere l’AI literacy nella società e supportare fornitori e deployer nell’adempimento del loro obbligo.
La riscrittura del considerando 5 (Emendamento 3) coerentemente adegua la motivazione: scompare il passaggio in cui la Commissione descriveva l’obbligo di AI literacy come un onere di compliance eccessivo per le imprese più piccole. Il nuovo testo riconosce che differenti attività richiedono competenze diverse e che, per rendere efficace il requisito di AI literacy, occorre combinare l’obbligo in capo agli operatori con il supporto istituzionale.
Si tratta di un equilibrio diverso sia rispetto al testo vigente dell’AI Act sia rispetto alla proposta della Commissione: l’obbligo sui privati non viene eliminato ma attenuato nel suo contenuto, e affiancato da un ruolo istituzionale di sostegno.
Dati personali particolari per il rilevamento dei bias: garanzie rafforzate
Nel precedente articolo sulla COM(2025) 836 avevamo segnalato, tra le questioni aperte, il rischio che la formulazione generica delle “appropriate safeguards” del nuovo articolo 4a potesse condurre a interpretazioni divergenti e possibili abusi. Il Parlamento interviene proprio su questo punto, con tre emendamenti calibrati (Emendamenti 4, 10 e 11) che innalzano le garanzie.
L’Emendamento 10 aggiunge un avverbio che può sembrare marginale ma che ha un peso giuridico rilevante: il trattamento è consentito “to the extent strictly necessary” anziché semplicemente “to the extent necessary”. L’inserimento di “strictly” eleva lo standard di proporzionalità, avvicinandolo al criterio utilizzato dalla Corte di Giustizia dell’UE per i trattamenti di dati sensibili.
L’Emendamento 11 aggiunge la parola “exceptionally” nel paragrafo 2 dell’articolo 4a, che estende la possibilità di trattamento ai fornitori e deployer di sistemi di IA diversi da quelli ad alto rischio. La Commissione già prevedeva le condizioni di necessità e proporzionalità, ma il Parlamento rafforza il carattere eccezionale di questa estensione.
L’Emendamento 4 al considerando 6 aggiunge un passaggio significativo: le disposizioni dell’articolo 4a devono applicarsi “from the entry into application of this Regulation” per consentire ai fornitori di sistemi ad alto rischio di svolgere legittimamente attività di rilevamento, monitoraggio e mitigazione dei bias in preparazione alla compliance con i requisiti dell’articolo 10(2), punti (f) e (g). Si tratta di una disposizione transitoria che evita un vuoto normativo: poiché le scadenze per i sistemi ad alto rischio sono state rinviate, senza questa previsione i fornitori non avrebbero una base giuridica per trattare dati sensibili durante il periodo di preparazione.
Vigilanza dell’AI Office: competenze delimitate con maggiore precisione
La Commissione proponeva di attribuire all’AI Office la competenza esclusiva per la supervisione di determinati sistemi di IA, in particolare quelli basati su modelli GPAI quando fornitore del modello e del sistema coincidono, e quelli integrati in piattaforme online molto grandi (VLOP) e motori di ricerca molto grandi (VLOSE).
L’Emendamento 22 interviene sull’articolo 75, paragrafo 1, aggiungendo un’esclusione esplicita: restano fuori dalla competenza dell’AI Office i sistemi di IA messi in servizio o utilizzati da istituzioni, organi, uffici e agenzie dell’Unione soggetti alla supervisione del Garante europeo della protezione dei dati (EDPS) ai sensi dell’articolo 74(9) dell’AI Act. Questa delimitazione è coerente con il quadro istituzionale di protezione dei dati dell’UE: l’EDPS mantiene la propria competenza di supervisione sulle istituzioni europee senza interferenze con le nuove prerogative dell’AI Office.
Parallelamente, l’Emendamento 5 (nuovo considerando 18a) introduce un principio che manca nella proposta della Commissione: l’AI Office deve disporre di risorse umane, finanziarie e tecniche adeguate per svolgere effettivamente i propri compiti, in particolare alla luce dei nuovi poteri conferiti dall’Omnibus. Nell’analisi della COM(2025) 836 avevamo indicato la capacità operativa dell’AI Office come una delle questioni critiche aperte. Il Parlamento la affronta con un segnale politico preciso: accetta la centralizzazione ma chiede che sia accompagnata da risorse effettive.
Sandbox regolamentari: più garanzie sulla protezione dei dati
Il Parlamento introduce tre modifiche alle disposizioni sulle sandbox regolamentari che spostano l’accento dalla mera semplificazione alla tutela dei diritti.
L’Emendamento 17 estende l’accesso prioritario alla sandbox dell’AI Office, che la Commissione riservava alle sole PMI, anche alle small mid-cap e alle startup — un ampliamento del perimetro dei beneficiari.
L’Emendamento 18 è forse il più incisivo: impone all’AI Office di assicurare che, laddove i sistemi innovativi testati nella sandbox comportino trattamenti di dati personali, le autorità competenti in materia di protezione dei dati siano “associated with the operation” della sandbox e “involved in the supervision” degli aspetti di propria competenza, in conformità con il GDPR, il Regolamento 2018/1725 e la Direttiva 2016/680. La Commissione non aveva previsto nulla di simile per la sandbox a livello UE.
L’Emendamento 20 estende questa logica alle regole di governance delle sandbox: gli atti di esecuzione della Commissione sulle modalità operative dovranno disciplinare anche il coinvolgimento e la supervisione delle autorità di protezione dei dati.
Organismi di valutazione della conformità: cooperazione e coerenza
Gli Emendamenti 12, 13 e 14 intervengono sull’articolo 28 dell’AI Act relativo agli organismi notificati.
L’Emendamento 13 aggiunge un obbligo di cooperazione tra le autorità di notifica designate ai sensi dell’AI Act e quelle designate ai sensi della legislazione di armonizzazione settoriale dell’Allegato I, “in particular to avoid an inconsistent or divergent interpretation of Union law”. La Commissione aveva previsto la procedura unica di valutazione e designazione ma non aveva esplicitato un obbligo di cooperazione sostanziale.
L’Emendamento 14 introduce un nuovo paragrafo 8a che risolve una questione pratica: l’autorità di notifica già designata ai sensi della legislazione settoriale è anche quella competente per la procedura unica, salvo diversa designazione da parte dello Stato membro. Si tratta di una regola di default che evita incertezze nella fase di transizione.
Cybersecurity: presunzione di conformità con il Cyber Resilience Act
L’Emendamento 15 introduce una disposizione che non trova corrispondenza nella proposta della Commissione: un nuovo paragrafo 2a all’articolo 42 dell’AI Act che stabilisce una presunzione di conformità ai requisiti di cybersecurity dell’articolo 15 per i sistemi di IA che rispettano i requisiti essenziali del Regolamento (UE) 2024/2847 (Cyber Resilience Act — CRA), nella misura in cui tali requisiti siano coperti dalla dichiarazione UE di conformità rilasciata ai sensi del CRA.
Questa disposizione elimina la duplicazione degli adempimenti in materia di cybersecurity tra AI Act e CRA — una delle criticità segnalate con maggiore frequenza dagli operatori del settore.
Applicazione uniforme e coerenza dell’enforcement
I primi due emendamenti del Draft Report (Emendamenti 1 e 2) intervengono sul considerando 3 e introducono principi generali che orientano l’intero testo.
L’Emendamento 1 aggiunge due aggettivi alla descrizione dell’obiettivo degli emendamenti: le modifiche devono assicurare un’applicazione non solo efficace ma anche “simple and uniform” delle norme pertinenti. Il richiamo all’uniformità è un messaggio rivolto agli Stati membri e alla Commissione: la semplificazione non deve tradursi in frammentazione applicativa.
L’Emendamento 2 introduce un nuovo considerando 3a che impegna la Commissione, l’AI Office e le autorità competenti degli Stati membri a evitare “overlaps, inconsistent interpretations or divergent enforcement” tra la legislazione settoriale, quella nazionale e l’AI Act, al fine di consentire l’innovazione in materia di IA sia nel settore privato sia in quello pubblico. È una risposta diretta a una delle preoccupazioni più diffuse tra gli operatori: il rischio di un enforcement scoordinato tra autorità diverse.
Codici di pratica sulla trasparenza: competenza alla Commissione
L’Emendamento 16, apparentemente tecnico, corregge un punto dell’articolo 50, paragrafo 7: la competenza a promuovere e facilitare la redazione di codici di pratica a livello UE per l’etichettatura e il rilevamento di contenuti generati artificialmente passa dall’AI Office alla Commissione. La Commissione mantiene inoltre il potere di adottare atti di esecuzione qualora ritenga il codice inadeguato.
Panel scientifico: mantenimento del potere di rimborso
L’Emendamento 21 è un rigetto diretto: la Commissione proponeva di eliminare il paragrafo 3 dell’articolo 69, che conferisce alla Commissione il potere di adottare un atto di esecuzione relativo al rimborso degli esperti del panel scientifico consultati dagli Stati membri. Il Parlamento conserva questa disposizione, ritenendola evidentemente necessaria per garantire il funzionamento del panel.
I soggetti consultati dai relatori
L’allegato al Draft Report rivela le interlocuzioni che hanno informato la posizione dei relatori: AI Sweden, Allied for Startups, Applia, Mistral e Coimisiún na Meán (l’autorità regolatoria irlandese per i media). La presenza sia di soggetti industriali sia di un’autorità regolatoria nazionale riflette la duplice sensibilità del testo: attenzione alla fattibilità per le imprese e attenzione alla coerenza dell’enforcement.
Una valutazione d’insieme
Il Draft Report PE782.530 non è una riscrittura radicale della proposta della Commissione. Dei 33 paragrafi di modifica contenuti nell’articolo 1 della COM(2025) 836, il Parlamento ne emenda una parte mirata, lasciando inalterata la struttura portante — l’estensione del regime semplificato alle SMC, le modifiche alla valutazione di conformità, l’ampliamento delle sandbox. Ma là dove interviene, lo fa con precisione chirurgica e con una direzione coerente.
Le modifiche parlamentari rispondono a tre principi: la prevedibilità normativa (scadenze fisse, non condizionate), la tutela dei diritti fondamentali (standard di stretta necessità per i dati sensibili, coinvolgimento delle autorità di protezione dei dati nelle sandbox, esclusione dell’EDPS dalla competenza dell’AI Office) e la coerenza dell’ordinamento (presunzione di conformità con il CRA, cooperazione tra autorità notificanti, obbligo di uniformità nell’enforcement).
Il testo dei co-relatori dovrà ora affrontare gli emendamenti dei gruppi politici. Il parere del comitato JURI (relatore Lagodinsky), che include la proposta di aggiungere il divieto esplicito della nudificazione non consensuale tra le pratiche vietate dall’articolo 5 dell’AI Act, sarà votato il 24 febbraio. Le prossime settimane diranno se il Parlamento manterrà questo equilibrio tra semplificazione e tutela, oppure se la pressione politica per un’adozione rapida — dettata dalla scadenza originaria del 2 agosto 2026 — spingerà verso compromessi più marcati.
Articoli precedenti della serie Digital Omnibus
- The EU Digital Omnibus: Europe’s Bold Move to Simplify Digital Regulation — Panoramica del pacchetto e analisi della call for evidence (settembre 2025)
- Digital Omnibus on AI: European Commission Proposes Simplifications to the AI Act — Analisi della proposta COM(2025) 836 (novembre 2025)
- Digital Omnibus: Cookies, GDPR and AI Training - New European Privacy Rules — Modifiche al GDPR e alle regole sui cookie (novembre 2025)
Documenti di riferimento
- Draft Report IMCO-LIBE, PE782.530v01-00, 5.2.2026: CJ40-PR-782530_EN.pdf
- Proposta della Commissione, COM(2025) 836 final, 19.11.2025: COM_COM(2025)0836_EN.pdf
- Procedura legislativa: 2025/0359(COD)
- Draft Opinion JURI, PE784.179, rel. Lagodinsky: JURI-PA-784179_EN.pdf
- EDPB-EDPS Joint Opinion 1/2026: link
Hashtag Correlati
#AIAct #DigitalOmnibus #EuropeanParliament #ArtificialIntelligence #EURegulation #AICompliance #GDPR #DataProtection #BiasDetection #CyberResilienceAct #AIOffice #RegulatorySimplification #HighRiskAI #AILiteracy #PrivacyByDesign #LegalTech #AIGovernance #IMCO #LIBE #TechRegulation