Cosa è il Digital Omnibus on AI
Il Digital Omnibus on AI è una proposta di regolamento della Commissione UE del 19 novembre 2025 che modifica l’AI Act (Reg. 2024/1689). Fa parte del pacchetto Digital Omnibus, assieme al Digital Omnibus “regolare” che modifica GDPR, ePrivacy, NIS2, DORA e Data Act.
Obiettivo dichiarato: semplificare l’implementazione, ridurre l’onere amministrativo, allineare le tempistiche con lo stato reale dell’ecosistema (standard, notified body, autorità nazionali).
Dove siamo nel processo legislativo
| Data | Evento |
|---|---|
| 19 novembre 2025 | Commissione pubblica la proposta |
| 12 febbraio 2026 | EDPB-EDPS Joint Opinion 01/2026 |
| 13 marzo 2026 | Consiglio UE adotta posizione negoziale |
| 18 marzo 2026 | Commissioni IMCO+LIBE adottano report (101-9-8) |
| 26 marzo 2026 | Plenaria PE adotta posizione (569-45-23) |
| Apr-Giu 2026 | Triloghi in corso |
| 28 aprile 2026 | Data target per accordo finale |
I 7 punti chiave del testo
1. Scadenze per sistemi AI ad alto rischio
La Commissione aveva proposto un “trigger flessibile” legato alla disponibilità di standard e tool. Consiglio e Parlamento hanno preferito date fisse:
- 2 dicembre 2027 per sistemi stand-alone Annex III (biometria, educazione, lavoro, servizi essenziali, law enforcement, migrazione, giustizia, infrastrutture critiche). +16 mesi rispetto all’originale.
- 2 agosto 2028 per sistemi Annex I (AI embedded in prodotti sotto legislazione settoriale). +12 mesi.
Parlamento e Consiglio sono allineati. Date fisse arriveranno quasi certamente in Gazzetta.
2. Nuova pratica proibita (art. 5)
La Commissione non aveva proposto nuove pratiche proibite. Consiglio e Parlamento hanno aggiunto insieme una nuova categoria: AI che generano contenuti sessuali o intimi senza consenso esplicito della persona raffigurata, o materiale di abuso sessuale su minori (CSAM).
Il Parlamento ha aggiunto formulazione specifica contro le “nudifier apps” (app che generano immagini nude da foto vestite). Questa modifica è data per praticamente certa.
3. Dati particolari per bias detection (art. 10(5))
La Commissione aveva ampliato la possibilità di trattare categorie speciali di dati per rilevare e correggere bias nei sistemi AI. Consiglio e Parlamento hanno ristretto, tornando al principio di stretta necessità e mantenendo il focus sui soli sistemi ad alto rischio.
Sulla modifica ha pesato la Joint Opinion 01/2026 EDPB-EDPS, che ha chiesto chiarimenti sullo scope. EDPB-EDPS ha ottenuto il risultato.
4. Registrazione nel database EU
La Commissione aveva proposto un’esenzione per sistemi considerati “not significant risk”. Consiglio e Parlamento hanno mantenuto l’obbligo di registrazione (art. 71) ma con requisiti più leggeri. Nessuna esenzione: tutti i sistemi ad alto rischio vanno registrati.
5. AI literacy (art. 4)
L’articolo 4 obbliga provider e deployer a garantire un livello adeguato di alfabetizzazione AI del personale. La Commissione voleva spostare la responsabilità dalle organizzazioni alle autorità (depotenziamento da obbligo a “incoraggiamento”).
Il Parlamento ha riportato l’obbligo sulle organizzazioni, ma con un compromesso: da “ensure” a “support improvement”. Più morbido del testo originale, ma resta un obbligo delle aziende.
6. Obblighi di trasparenza (art. 50)
La scadenza originale per gli obblighi di trasparenza (dichiarare che un contenuto è AI-generated, identificare chatbot come non-umani) era il 2 agosto 2026. La Commissione aveva proposto un rinvio al 2 febbraio 2027 (+6 mesi). Il Parlamento ha proposto un rinvio più breve: 2 novembre 2026 (+3 mesi).
L’esito del trilogo porterà probabilmente a un compromesso tra 3 e 6 mesi.
7. Governance AI Office vs autorità nazionali
La Commissione voleva rafforzare il ruolo dell’AI Office centralizzato. Consiglio e Parlamento hanno mantenuto competenze nazionali per settori specifici (law enforcement, border management, istituzioni finanziarie). Per le banche, in particolare, questo significa autorità nazionale sotto il cappello DORA, non AI Office.
Le preoccupazioni EDPB-EDPS
L’EDPB e l’EDPS hanno emesso due pareri congiunti critici:
- Joint Opinion 01/2026 sul Digital Omnibus on AI
- Joint Opinion 02/2026 sul Digital Omnibus generale (GDPR, ePrivacy, NIS2, DORA)
La critica più forte riguarda la definizione di dati personali: le modifiche proposte “go far beyond a targeted or technical amendment of the GDPR”, non riflettono la giurisprudenza CGUE e risulterebbero in un restringimento significativo del concetto. Su questo punto il dibattito resta aperto.
Cosa NON cambia
- Pratiche proibite (art. 5): in vigore dal 2 febbraio 2025. Social scoring, manipolazione subliminale, sorveglianza biometrica real-time restano vietati.
- Obblighi GPAI (art. 51-55): in vigore dal 2 agosto 2025. Provider di modelli general-purpose devono avere documentazione tecnica, policy copyright, trasparenza.
- Il backstop: se il trilogo si prolunga oltre agosto 2026 e il Digital Omnibus non viene adottato, le scadenze originali dell’AI Act restano automaticamente in vigore.
Cosa fare adesso
Per i provider di sistemi ad alto rischio:
- Continuare il percorso di compliance AI Act — il lavoro non è perso, solo più disteso nel tempo
- Usare il tempo extra per attendere gli standard CEN-CENELEC definitivi (Q4 2026)
- Monitorare l’esito del trilogo (target 28 aprile 2026)
- Prenotare per tempo la conformity assessment con i notified body — le loro agende sono già piene
Per chi usa modelli GPAI di terzi: continuare a verificare la compliance del provider, classificare il proprio sistema, avviare il conformity assessment per sistemi ad alto rischio.
La consulenza AI Act specializzata permette di partire con la classificazione e la gap analysis adesso, senza aspettare gli standard definitivi. Il vantaggio competitivo si costruisce prima della scadenza, non dopo.
Fonti primarie verificate: Consiglio UE – Press release (13/03/2026) | Parliament Legislative Train | EDPB-EDPS Joint Opinion 01/2026