di Pietro Parente
Il “Digital Omnibus sull’ AI” (c.d. “Omnibus VII” 2025/0359(COD)) è stato proposto dalla Commissione Europea il 19 novembre 2025 e si inserisce nel pacchetto di norme noto come “Digital Package” (cfr. https://digital-strategy.ec.europa.eu/en/faqs/digital-package) che include, insieme al già citato Omnibus sull’AI, un Digital Omnibus sui dati, cybersecurity e le norme sulla privacy (cfr. https://eur-lex.europa.eu/resource.html?uri=cellar:ebf17714-c56e-11f0-8da2-01aa75ed71a1.0023.02/DOC_1&format=PDF), la cosiddetta “Strategia dell’Unione Europea sui dati” (cfr. https://digital-strategy.ec.europa.eu/it/policies/data-union) e un Regolamento per l’Istituzione dei portafogli europei delle imprese (cfr. https://eur-lex.europa.eu/resource.html?uri=cellar:bfd78780-c5de-11f0-8da2-01aa75ed71a1.0002.02/DOC_1&format=PDF).
L’iter legislativo ha condotto la Presidenza del Consiglio dell’Unione e i negoziatori del Parlamento Europeo a raggiungere un accordo provvisorio sull’Omnibus sull’AI il 7 maggio 2026 (cfr. https://data.consilium.europa.eu/doc/document/ST-9247-2026-INIT/en/pdf).
Alla luce dello sviluppo dell’innovazione e della competitività, che rappresenta un nodo centrale nella strategia e politica dell’Unione Europea, il Digital Omnibus sull’AI solleva un tema di grande attualità, considerando l’impatto sulla società e l’economia. Anche la recente Enciclica di Papa Leone XIV “Magnifica humanitas” (cfr. https://www.vatican.va/content/leo-xiv/it/encyclicals/documents/20260515-magnifica-humanitas.html), riflettendo sulla dottrina sociale della Chiesa nel tempo dell’intelligenza artificiale, sottolinea che “esiste spesso uno squilibrio tra la velocità dello sviluppo tecnologico e il ritmo con cui maturano consapevolezza, norme, controlli e istituzioni capaci di governarne gli effetti. Non basta invocare genericamente l’etica: servono quadri giuridici adeguati, vigilanza indipendente, educazione degli utenti, una politica che non abdichi al proprio compito”.
La proposta iniziale della Commissione conteneva una serie di emendamenti all’AI ACT e al Regolamento 2018/1139 (“norme comuni nel settore dell’aviazione civile”) che miravano a semplificare la normativa al fine di garantirne un’implementazione effettiva e proporzionata ma a rischio di una riduzione delle protezioni per gli utenti.
Proprio per questa ragione, la proposta ha ricevuto, sin dal principio, diverse critiche da parte della società civile e gruppi di interesse che auspicavano una decisa regolamentazione dei sistemi di AI, per fornitori e distributori, volta a proteggere gli utilizzatori. Risulterebbe complesso, infatti, raggiungere una semplificazione delle norme dell’AI ACT senza che si produca un ulteriore impatto sulla protezione dei diritti fondamentali nell’ambito dell’Unione Europea (in particolare, per quel che riguarda i diritti digitali).
Prima, dunque, di analizzare nel dettaglio il contenuto della proposta di regolamento “Omnibus VII” in materia d’intelligenza artificiale (2025/0359(COD)), occorre considerare gli aspetti principali dell’AI ACT, che rappresenta di fatto in ordine di tempo, il primo atto legislativo sull’intelligenza artificiale al mondo, mettendo in evidenza la sua rilevanza per il diritto comunitario e per la protezione dei diritti fondamentali in UE.
AI ACT
L’obiettivo principale dell’AI ACT (Regolamento (EU) 2024/1689), proposto dalla Commissione Europea il 21 aprile 2021, è stato quello di creare un quadro normativo armonizzato per l’Intelligenza artificiale nell’ottica di assicurare ai cittadini europei l’uso dei sistemi d’intelligenza artificiale senza rischi per la salute, per la sicurezza e per la protezione dei diritti fondamentali in UE. Il Regolamento utilizza un “risk-based approach” (approccio basato sul livello di rischio), vietando le pratiche di AI che rientrano nella categoria di “rischio inaccettabile” e poi stabilendo una serie di requisiti per i sistemi di AI ad “alto rischio”. Il Regolamento comprende anche requisiti specifici per i sistemi di AI che pongono rischi legati alla trasparenza e, per i fornitori di modelli AI per finalità generali (GPAI), obblighi di trasparenza e norme sul copyright.
Particolarmente rilevanti, tra tutte, anche nel contesto del Digital Omnibus sull’AI, sono le norme legate ai sistemi d’intelligenza artificiale ad alto rischio. L’AI ACT, dapprima presenta una lista di attività e strumenti legati all’intelligenza artificiale che possono creare seri rischi per salute, sicurezza e per il rispetto dei diritti fondamentali; poi espone una lista di obblighi, requisiti e misure da rispettare, tra i quali assumono rilevanza:
L’istituzione di un sistema di gestione dei rischi, ovvero un processo iterativo continuo eseguito durante l’intero ciclo di vita del sistema di AI.
L’introduzione di una documentazione tecnica redatta prima dell’immissione sul mercato o della messa in servizio del sistema e tenuta aggiornata. La documentazione tecnica fa sì che si verifichi che il sistema di AI sia conforme ai requisiti.
È prevista la registrazione di eventi pertinenti nell’attività del sistema AI per garantire un livello adeguato di tracciabilità.
Una volta immessi nel mercato, i sistemi di AI ad alto rischio verranno accompagnati da istruzioni per l’uso con le informazioni pertinenti. Questi sistemi di AI devono infatti essere progettati anche per garantire che il loro funzionamento sia sufficientemente trasparente da consentire ai distributori di utilizzare l’output adeguatamente.
È prevista una sorveglianza umana commisurata al rischio, al livello di autonomia ed al contesto di utilizzo del sistema di AI ad alto rischio.
È previsto l’obbligo, per i fornitori, di segnare i sistemi di AI ad alto rischio con il marchio “CE” e, ove ciò non sia possibile, indicarne la conformità all’AI ACT.
Vi sono poi obblighi specifici per i fornitori e distributori.
Le norme dettagliate per i sistemi ad alto rischio avrebbero dovuto essere pubblicate e rese operative ad agosto 2026 e agosto 2027, considerata l’entrata in vigore progressiva del Regolamento, ma, con l’introduzione del “Digital Omnibus sull’AI”, il quadro normativo subirà una serie di modifiche anche per quanto riguarda le scadenze previste inizialmente.
Digital Omnibus sull’AI: l’originale proposta della Commissione europea
L’analisi della proposta originale della Commissione Europea sull’Omnibus VII in materia d’intelligenza artificiale (2025/0359(COD)) è utile a comprendere da un lato l’evoluzione di questa legislazione dall’altro il suo impatto normativo. La base legale della proposta si trova nell’articolo 114 TUE (la stessa dell’AI ACT) che consente all’UE di adottare misure per promuovere l’instaurazione ed il funzionamento del mercato interno.
Nella proposta, la Commissione europea prevedeva di modificare la data limite di implementazione delle norme per i sistemi d’intelligenza artificiale ad alto rischio. Inizialmente i requisiti sarebbero stati vincolanti dal 2 agosto 2026, ma la Commissione aveva proposto di prorogare tale data per i sistemi d’intelligenza artificiale indicati nell’Allegato III e per i sistemi d’intelligenza artificiale indicati nell’Allegato I a, rispettivamente, 6 e 12 mesi dopo che gli strumenti a supporto dell’effettiva applicazione delle norme e gli standard armonizzati sarebbero stati resi disponibili (quindi rispettivamente al massimo per il 2 dicembre 2027 e 2 agosto 2028). Inoltre, per i sistemi d’intelligenza artificiale generativa già sul mercato prima del 2 agosto 2026, sono concessi altri 6 mesi per conformarsi ai requisiti di marcatura, previsti dall’AI ACT.
La proposta della Commissione, inoltre, prevedeva la cancellazione dell’obbligo di registrazione del sistema di AI da parte di un fornitore quando quest’ultimo non lo considerasse “ad alto rischio” per le attività e funzioni svolte. Gli stessi fornitori ed i distributori poi avrebbero potuto, secondo la proposta originale, in alcuni casi specifici ed in via eccezionale, processare alcune categorie specifiche di dati personali degli utilizzatori per garantire l’individuazione e correzione dei “bias” di sistema (i “pregiudizi” del sistema d’intelligenza artificiale).
Mentre alcuni gruppi industriali e compagnie vedono la proposta di regolamento Omnibus VII in materia d’intelligenza artificiale (2025/0359(COD)), come un necessario passo in avanti per semplificare l’applicazione e messa in atto dell’AI ACT, nonché un aiuto essenziale per la competitività e l’innovazione delle industrie del settore, le organizzazioni della società civile, sindacati e rappresentanti dell’interesse pubblico hanno espresso riserve richiamando l’attenzione sulla protezione dei diritti digitali in UE. Dubbi infatti sorgono sull’eliminazione dell’obbligo di registrazione per i fornitori dei sistemi di AI, sulla protezione dei dati personali e, in generale, sulla protezione che l’AI ACT fornisce ai cittadini dell’Unione Europea, regolamentando l’utilizzo dell’Intelligenza artificiale e monitorandolo con requisiti e misure più rigide, rispetto a quanto previsto dalla proposta di Regolamento Omnibus VII 2025/0359(COD).
Digital Omnibus sull’AI: Il nuovo accordo provvisorio
Il 7 maggio 2026, la Presidenza del Consiglio dell’Unione ed il Parlamento Europeo hanno trovato un accordo provvisorio, dopo una serie di negoziazioni, sulla proposta di Regolamento “Omnibus VII” in materia d’intelligenza artificiale (2025/0359(COD)), introducendo una serie di emendamenti alla proposta originale della Commissione europea (cfr. https://data.consilium.europa.eu/doc/document/ST-9247-2026-INIT/en/pdf).
Nell’accordo provvisorio vengono definite le date limite per l’implementazione delle obbligazioni dell’AI ACT per i sistemi di AI ad alto rischio dell’Allegato III e I: rispettivamente 2 dicembre 2027 e 2 agosto 2028.
L’accordo prevede, inoltre, che l’applicazione dell’AI ACT ai sistemi di AI ad alto rischio sia limitata nei casi in cui la legislazione settoriale non abbia un’equivalente protezione per gli utilizzatori. Ciò significherebbe che per fornitori e distributori di alcuni specifici sistemi d’intelligenza artificiale ad alto rischio (che verranno poi specificatamente definiti dalla Commissione) gli obblighi derivanti dall’AI ACT non sarebbero vincolanti e, di conseguenza, i requisiti da rispettare e le misure da adottare sarebbero quelli previsti dalla specifica legislazione settoriale (solo nel caso in cui provveda ad una protezione equivalente o superiore a quella fornita dall’AI ACT).
Tra le più rilevanti modifiche all’AI ACT apportate dal nuovo accordo tra Parlamento e Consiglio si evince il trasferimento della sezione A alla sezione B dell’Allegato I. Questo emendamento rimuove il cosiddetto Regolamento Macchine (Regolamento (EU) 2023/1230) dalla sezione A dell’allegato I e, spostandolo alla sezione B, evita che sistemi d’intelligenza artificiale integrati in macchine siano soggetti all’AI ACT. La Commissione Europea dovrà quindi, tramite atti delegati, entro il 2 agosto 2027, modificare il Regolamento Macchine, al fine d’ introdurre requisiti relativi all’utilizzo d’intelligenza artificiale in macchine corrispondenti a quelli dell’AI ACT.
I sistemi di AI possono, proprio in relazione alle “macchine”, svolgere anche azioni e funzioni di sicurezza. Ciò non impatterebbe però la normativa applicabile che rimarrà, anche per questi specifici sistemi di AI ad alto rischio, quella settoriale.
Considerando dunque l’evoluzione normativa dell’AI ACT e della proposta di Regolamento “Omnibus VII” (2025/0359 (COD)), si nota il passaggio ad una politica più orientata alla semplificazione delle norme, volta a promuovere la competitività e l’innovazione nell’industria e nel mercato dell’Intelligenza Artificiale.
L’innovazione e la competitività all’interno del mercato interno dell’Unione Europea sono indubbiamente essenziali per lo sviluppo economico dell’UE e per la sua rilevanza nel mercato internazionale, ma resta di centrale importanza sottolineare quanto sia imprescindibile la protezione dei diritti fondamentali sanciti dalla Carta.
Per esempio, in merito al diritto alla protezione dei dati personali, tutelata dall’articolo 8 della Carta dei Diritti Fondamentali dell’UE, dalla proposta di Regolamento “Omnibus VII” (2025/0359 (COD)) si evince una mitigazione dei rischi. Inoltre, la proposta di Regolamento prevede la possibilità per i fornitori di processare alcune categorie specifiche di dati personali degli utilizzatori al fine di correggere gli eventuali “bias”, distorsioni o pregiudizi generali dall’intelligenza artificiale.
L’effettivo bilanciamento nella nuova normativa tra esigenze della competitività nel mercato e protezione dei diritti fondamentali sarà chiaro solo quando la proposta di Regolamento “Omnibus VII” in materia d’intelligenza artificiale verrà definitivamente approvata dai co-legislatori e pubblicata nella Gazzetta Ufficiale. Sarà, tuttavia, cruciale esaminare se quanto previsto dalla normativa sarà effettivamente messo in pratica negli anni a seguire, considerando il suo prevedibile impatto sulla società e sul mercato interno ed esterno dell’Unione Europea.