Digital Omnibus on AI: tra rinvii e nuove pratiche vietate, anche il Parlamento europeo interviene sul regolamento

Con il voto del 26 marzo 2026, il Parlamento europeo ha approvato gli emendamenti alla proposta di Regolamento nota come Digital Omnibus on AI: parte del pacchetto Digital Omnibus per l’ottimizzazione dell’acquis normativo europeo sul digitale, l’iniziativa, come è noto, mira alla semplificazione del Regolamento (UE) 2024/1689, l’AI Act. 

La proposta della Commissione nasce dall’esigenza di semplificare una normativa complessa, anche per le intersezioni con altre discipline europee, in particolare quelle sulla protezione dei dati personali e sulla sicurezza dei prodotti, in una stratificazione normativa che rende difficile applicare le regole in modo coordinato. In seguito all’assunzione della propria posizione da parte del Consiglio, il 13 marzo 2026, anche il Parlamento conferma questa direzione e interviene sull’AI Act, senza metterne in discussione l’impostazione di fondo. Non mancano interventi di carattere sostanziale, dalle scelte in materia di trattamento di categorie particolari di dati personali, fino all’introduzione di nuove pratiche vietate.

Tra le questioni più discusse figura quella delle tempistiche di applicazione delle norme relative ai sistemi di IA ad alto rischio. La proposta della Commissione rinvia l’entrata in vigore degli obblighi collegandola alla disponibilità di standard e strumenti di guidance, prevedendo termini di salvaguardia entro i quali gli obblighi sarebbero comunque applicati. Il Parlamento, invece, in linea con il Consiglio, propone l’introduzione diretta di precise date di applicazione. Secondo questo approccio, i sistemi ad alto rischio autonomi – quelli di cui all’art. 6, comma 2 e all’Allegato III del Regolamento – dovranno rispettare i numerosi obblighi previsti dal Regolamento a partire dal 2 dicembre 2027, mentre quelli integrati in prodotti già regolati dalla normativa europea – ossia i sistemi di cui all’art. 6, comma 1 del Regolamento – avranno tempo fino al 2 agosto 2028. Il Parlamento si muove dunque nel senso di garantire maggiore certezza agli operatori del mercato.

Subisce una dilazione anche il termine per l’applicazione dell’obbligo di trasparenza previsto per i sistemi di intelligenza artificiale che generano contenuti. Mentre nella proposta della Commissione si prevede che l’obbligo di etichettare i contenuti artificiali si applichi, per i sistemi immessi sul mercato prima del 2 agosto 2026, entro il 2 febbraio 2027, il Parlamento stabilisce che i fornitori debbano adeguarsi entro il 2 novembre 2026. La misura acquisterebbe, dunque, maggiore concretezza, attraverso la previsione di un termine anticipato, seppure successivo rispetto alla previsione originaria dell’AI Act. Resta aperto, per il momento, il punto degli standard tecnici di riferimento.

I sistemi di intelligenza artificiale che generano contenuti continuano a richiamare grande attenzione e il Digital Omnibus on AI li riguarda, sia nella posizione del Parlamento che del Consiglio, anche sotto altro profilo.

Il Consiglio e il Parlamento, infatti, propongono, pur con formulazioni differenti, l’introduzione di una nuova pratica di IA vietata. Si tratta, nella versione del Parlamento europeo, del divieto di immettere, mettere in servizio o utilizzare sul mercato europeo il sistema che “altera, manipola o genera artificialmente immagini o video realistici in modo da rappresentare attività sessualmente esplicite o parti intime di una persona fisica identificabile senza il suo consenso”. Tuttavia, il divieto non è formulato in termini assoluti. Esso non riguarda la tecnologia in sé: il divieto non si applica se sono adottate misure efficaci per prevenire usi abusivi “in modo continuo”. Alla stessa logica sembra corrispondere la precisazione che “tale divieto non impedisce ai fornitori di IA di sviluppare le capacità di cui al primo comma”. Sebbene la formulazione appaia poco efficace, si intende bilanciare due esigenze: da un lato, proteggere le persone da utilizzi particolarmente invasivi e dannosi dell’IA; dall’altro, non bloccare lo sviluppo tecnologico né l’utilizzo di una tecnologia che è ormai diffusissima.

Giova menzionare, a questo proposito, la proposta del Consiglio di introdurre un’ulteriore, nuova pratica vietata, riguardante l’immissione, la messa in servizio e l’uso sul mercato europeo di sistemi “capable of generating, manipulating or reproducing child pornography or pornographic performance”. La previsione non compare nel testo approvato dal Parlamento europeo.

Il Parlamento, come già il Consiglio, interviene anche sulla previsione in materia di trattamento dei dati personali, confermando l’applicazione della deroga che consente il trattamento di categorie particolari di dati personali quando ciò sia necessario per rilevare e correggere bias anche ai fornitori e ai deployer degli altri sistemi oltre a quelli ad alto rischio e dei modelli di IA, nonché ai deployer dei sistemi ad alto rischio.

La ratio è chiara: per evitare che l’IA produca effetti discriminatori, può essere necessario utilizzare dati che riguardano, ad esempio, l’origine etnica o altre caratteristiche della persona alle quali è riconosciuta una tutela rafforzata. Senza questi dati, il rischio è di non riuscire a individuare e correggere gli output discriminatori. La previsione già presente nell’AI Act, riferita ai soli fornitori di sistemi di IA ad alto rischio, merita, dunque, di essere valorizzata. Allo stesso tempo, l’impostazione è prudente: il Parlamento (in linea, anche in questo caso, con il Consiglio) emenda la norma formulata dalla Commissione per sottolineare che il trattamento di tali dati è autorizzato se “strettamente” necessario, in via eccezionale e laddove siano assicurate determinate garanzie. Nel caso dei sistemi diversi da quelli ad alto rischio e dei modelli di IA, il trattamento deve essere “necessario per garantire il rilevamento e la correzione di possibili distorsioni suscettibili di incidere sulla salute e sulla sicurezza delle persone, di avere un impatto negativo sui diritti fondamentali o di comportare discriminazioni vietate dal diritto dell’Unione, specie laddove gli output di dati influenzano gli input per operazioni future”.

Gli emendamenti del Parlamento riguardano anche il coordinamento tra l’AI Act e la normativa di armonizzazione europea. L’obiettivo è evitare duplicazioni di obblighi e procedure per i prodotti già regolati dalla normativa di armonizzazione. Come è noto, il 1° comma dell’art. 6 dell’AI Act classifica come ad alto rischio i sistemi destinati a essere utilizzati come componenti di sicurezza di prodotti, o i sistemi che siano essi stessi prodotti, tutelati dalla normativa di armonizzazione, se detta normativa ne subordina l’immissione sul mercato o la messa in servizio a una valutazione della conformità da parte di terzi.

In primo luogo, dunque, si propone di emendare il 1° comma dell’art. 6, per precisare che i sistemi destinati a essere utilizzati come componenti di sicurezza di un prodotto rientrino nella nozione di sistema ad alto rischio solo laddove, secondo la nuova condizione introdotta dal Parlamento, “il funzionamento sia necessario per garantire la conformità del prodotto o del sistema di IA ai requisiti di sicurezza dell’Unione applicabili”. 

Ancora, si propone la novella della normativa di armonizzazione affinché stabilisca, in breve, che nell’adottare gli atti delegati o le specifiche comuni a norma di questa normativa, per quanto riguarda i prodotti che sono sistemi di IA ad alto rischio o che utilizzano sistemi di IA ad alto rischio come componenti di sicurezza, la Commissione tenga conto dei requisiti previsti dall’AI Act, e “non va[da] oltre” rispetto ad essi.

L’impressione, analizzando il testo della Commissione e poi quello del Consiglio e del Parlamento, è che si stia affermando un approccio pragmatico, con una nuova attenzione alla necessità di una regolazione efficace, ossia applicabile nella pratica. Tuttavia, come anticipato, non mancano ipotesi di intervento di carattere sostanziale, su temi altamente sensibili. È possibile che alcune soluzioni, nel prosieguo del percorso legislativo del Digital Omnibus on AI, vengano modificate o precisate, proprio sui temi più sensibili, come la definizione di nuove pratiche vietate. L’auspicio è che nelle maglie del processo legislativo questo approccio pragmatico non venga perso di vista, per giungere ad una autentica semplificazione delle regole in materia di IA.

________

*Giorgia Bianchini, Studio Legale Finocchiaro