Con il nuovo accordo politico provvisorio raggiunto il 7 maggio 2026 tra Parlamento europeo e Consiglio nell’ambito del cosiddetto Omnibus VII, l’UE vieta i “nudifier”, le app basate sull’AI che simulano immagini sessualmente esplicite senza consenso, ma nello stesso tempo rinvia e alleggerisce alcune delle disposizioni più incisive dell’AI Act.
Misure altamente simboliche e facilmente comunicabili sul piano mediatico, si fondono con un progressivo ammorbidimento degli obblighi destinati ai sistemi ad alto rischio, il vero cuore della regolazione europea dell’intelligenza artificiale.
La narrazione ufficiale parla di “semplificazione”, riduzione degli oneri e sostegno alla competitività europea. Dietro il lessico tecnocratico emerge in realtà un cambiamento molto più profondo: l’Unione europea sembra passare da una governance dell’AI fondata sui diritti fondamentali a una governance sempre più condizionata dalla competizione geopolitica, dalle esigenze industriali e dalla pressione americana sul fronte tecnologico.
Sebbene, dopo anni di negoziati, sia politicamente difficile mettere in discussione un regolamento divenuto simbolo dell’ambizione normativa europea, il rischio reale è che l’AI Act venga progressivamente svuotato dall’interno attraverso rinvii, deroghe, eccezioni e reinterpretazioni motivate dalla necessità di “non frenare l’innovazione”.
Ed è proprio questo che il nuovo compromesso sembra anticipare.
Indice degli argomenti
L’Omnibus VII e la nuova stagione della semplificazione europea
L’intesa raggiunta tra Consiglio e Parlamento si inserisce all’interno della più ampia agenda europea sulla semplificazione normativa. La Commissione ha infatti presentato negli ultimi mesi una lunga serie di pacchetti “Omnibus” destinati a ridurre obblighi amministrativi, compliance e reporting burden in diversi settori strategici: sostenibilità, digitale, difesa, automotive, agricoltura e industria.
La linea politica è ormai esplicita: dopo i rapporti Letta e Draghi sulla competitività europea e dopo la dichiarazione di Budapest del novembre 2024, Bruxelles ha adottato come sua priorità la costruzione di un quadro regolatorio “chiaro, semplice e smart” per le imprese europee. L’obiettivo dichiarato è evitare che l’eccessiva complessità normativa penalizzi la capacità industriale dell’Unione rispetto a Stati Uniti e Cina.
Nel comunicato del Consiglio UE il compromesso sull’AI Act viene presentato proprio come uno strumento per “ridurre i costi amministrativi ricorrenti”, rafforzare la “sovranità digitale europea” e garantire un’applicazione “più armonizzata” delle regole nel mercato unico.
Il problema è che questa nuova fase politica rischia di ridefinire anche la filosofia originaria della regolazione tecnologica europea.
Il nuovo compromesso europeo sull’AI Act
L’intesa modifica alcuni aspetti centrali dell’applicazione dell’AI Act. Il punto più rilevante riguarda il rinvio degli obblighi relativi ai sistemi ad alto rischio.
Secondo il nuovo accordo, gli obblighi per i sistemi AI ad alto rischio entreranno in vigore dal 2 dicembre 2027 per gli use case più sensibili (biometria, infrastrutture critiche, istruzione, occupazione, law enforcement e gestione delle frontiere), mentre per i sistemi utilizzati come componenti di sicurezza incorporati in prodotti regolati dalla normativa settoriale europea la decorrenza slitterà al 2 agosto 2028.
La Commissione aveva inizialmente proposto un rinvio fino a 16 mesi per consentire l’adozione degli standard tecnici necessari e ridurre l’incertezza applicativa; Parlamento e Consiglio hanno mantenuto sostanzialmente questa impostazione, introducendo però un calendario fisso per l’entrata in vigore delle nuove scadenze.
Il testo interviene anche sulla governance del sistema europeo dell’AI. Vengono rafforzati i poteri dell’AI Office per la supervisione dei sistemi basati su modelli general purpose sviluppati dallo stesso provider che realizza il sistema finale, pur lasciando competenze nazionali in settori sensibili come law enforcement, giustizia, gestione delle frontiere e servizi finanziari.
L’accordo reintroduce inoltre l’obbligo di registrazione nel database europeo anche per i provider che ritengano di beneficiare di esenzioni dalla classificazione high-risk, nel tentativo di evitare zone grigie troppo ampie sul piano della trasparenza.
Parallelamente, il compromesso conferma la possibilità di trattare categorie particolari di dati personali per finalità di rilevazione e correzione dei bias algoritmici, ma ripristina il requisito della “stretta necessità”, limitando almeno formalmente l’estensione di questa eccezione.
Le semplificazioni che il mercato chiedeva davvero
Va detto che non tutte le modifiche introdotte dal nuovo accordo europeo sono prive di razionalità tecnica. Una parte delle semplificazioni risponde infatti a criticità concrete emerse durante i primi mesi di implementazione dell’AI Act, soprattutto per quanto riguarda la sovrapposizione tra normative settoriali e nuovi obblighi introdotti dal regolamento sull’intelligenza artificiale.
Particolarmente rilevante è il compromesso raggiunto sull’interazione tra AI Act e legislazione armonizzata di settore (dispositivi medici, macchinari, ascensori, giocattoli, imbarcazioni e altri prodotti industriali). Il nuovo meccanismo consente di limitare l’applicazione delle disposizioni AI nei casi in cui la normativa settoriale contenga già requisiti specifici equivalenti, evitando duplicazioni di compliance.
Per il settore machinery è stato inoltre introdotto un meccanismo volto a limitare l’applicazione diretta di alcune disposizioni dell’AI Act nei casi già coperti dalla regolazione settoriale, con la possibilità per la Commissione di introdurre requisiti specifici tramite atti delegati nell’ambito della regolazione settoriale.
In molti casi le imprese rischiavano infatti di dover affrontare duplicazioni documentali, procedure parallele di conformità e obblighi potenzialmente incoerenti tra loro. La scelta di ridurre le sovrapposizioni può quindi contribuire concretamente a diminuire costi amministrativi e incertezza giuridica, soprattutto per gli operatori industriali europei.
Anche il restringimento della definizione di “safety component” risponde all’esigenza di evitare che semplici funzionalità accessorie basate sull’AI facciano automaticamente scattare il regime dei sistemi ad alto rischio. Se un sistema utilizza algoritmi solo per ottimizzare prestazioni o assistere l’utente senza impatti diretti su salute e sicurezza, l’applicazione integrale degli obblighi previsti dall’AI Act rischiava effettivamente di apparire sproporzionata.
Nello stesso senso si muove l’estensione di alcune esenzioni alle small mid-cap enterprises, nel tentativo di evitare che il peso regolatorio favorisca indirettamente solo i grandi operatori già strutturati sul piano della compliance.
Il compromesso rinvia inoltre al 2 agosto 2027 la creazione dei sandbox regolatori nazionali, strumenti pensati per consentire test controllati dei sistemi AI in collaborazione con le autorità competenti. Anche qui la motivazione ufficiale è garantire maggiore uniformità e preparazione operativa.
L’accordo interviene anche sugli obblighi di trasparenza per i contenuti artificialmente generati. I provider avranno infatti tre mesi di tempo in meno rispetto alla proposta iniziale per implementare le misure di watermarking e identificazione dei contenuti AI-generated: il nuovo termine viene fissato al 2 dicembre 2026.
Bisognerebbe, tuttavia, capire dove finisca la semplificazione tecnica e dove inizi invece un progressivo alleggerimento politico dell’impianto originario dell’AI Act.
Deepfake e nudifier: il divieto UE sui contenuti sessualmente espliciti
Un capitolo specifico del nuovo accordo riguarda i sistemi AI utilizzati per generare contenuti sessualmente espliciti senza consenso, inclusi i cosiddetti “nudifier”, cioè le applicazioni capaci di simulare artificialmente nudità o atti sessuali partendo da immagini reali di persone identificabili.
La nuova intesa vieta espressamente sia l’immissione sul mercato di sistemi progettati per creare questo tipo di contenuti, sia l’utilizzo di strumenti privi di adeguate misure di sicurezza per impedirne l’abuso. Il divieto copre immagini, video e contenuti audio generati artificialmente, con particolare attenzione anche alla creazione di materiale assimilabile ad abusi sessuali su minori. La misura risponde a un’esigenza concreta di tutela della dignità personale, della privacy e dell’integrità dell’identità digitale, soprattutto considerando che molte vittime di deepfake sessuali sono donne, minorenni o persone esposte pubblicamente.
Si tratta di uno dei primi interventi normativi a livello europeo che affrontano in modo diretto il problema dei deepfake pornografici non consensuali, fenomeno cresciuto rapidamente negli ultimi due anni grazie alla diffusione di modelli generativi sempre più accessibili e realistici.
Anche il legislatore italiano si è mosso nella stessa direzione con l’introduzione del reato di deepfake (art. 612-quater c.p., introdotto con la legge 23 settembre 2025, n. 132). Una scelta che, tuttavia, ha sollevato diverse perplessità tra i giuristi, in quanto molte delle condotte più gravi erano già potenzialmente perseguibili attraverso fattispecie esistenti (dalla diffamazione alla pornografia non consensuale fino al trattamento illecito di dati personali) con il rischio che la proliferazione di nuovi reati simbolici produca soprattutto un effetto comunicativo più che un reale rafforzamento della tutela.
Sotto il profilo politico, il divieto rappresenta infatti la parte più immediatamente efficace a livello di comunicazione del nuovo accordo europeo: un intervento ad alto consenso pubblico, facilmente comprensibile anche al di fuori degli ambienti specialistici della regolazione tecnologica.
Proprio questa forte visibilità politica, però, rende ancora più evidente il contrasto con il parallelo rinvio degli obblighi destinati ai sistemi ad alto rischio, cioè quelli che incidono su biometria, lavoro, infrastrutture critiche e attività di law enforcement.
Dalla “trustworthy AI” alla paura di perdere la corsa
Quando la Commissione europea presentò la proposta di AI Act nel 2021, il contesto geopolitico era radicalmente differente. Bruxelles immaginava di poter esportare un modello normativo fondato su trasparenza, accountability e tutela dei diritti fondamentali, replicando almeno in parte il cosiddetto “Brussels Effect” già sperimentato con il GDPR.
L’idea era chiara: mentre Stati Uniti e Cina correvano verso un modello di sviluppo tecnologico poco regolato, l’Europa avrebbe costruito una terza via basata sull’AI affidabile e umanocentrica.
Oggi quella impostazione appare molto più fragile.
L’esplosione dell’AI generativa, il dominio infrastrutturale delle Big Tech statunitensi, la concentrazione dei modelli foundation in pochissimi operatori globali e, soprattutto, il ritorno di Donald Trump alla Casa Bianca hanno cambiato il clima politico internazionale. Washington si sta muovendo verso una linea apertamente deregolatoria sull’intelligenza artificiale, accompagnata da una crescente ostilità verso le normative europee considerate ostacoli competitivi per le imprese americane.
L’Unione europea sembra aver progressivamente interiorizzato la paura di diventare il continente delle regole mentre innovazione, investimenti e capacità computazionale si concentrano altrove.
La pressione americana e il fattore Trump
A rendere ancora più significativa la svolta europea contribuisce anche la nuova congiuntura politica internazionale. Il ritorno di Donald Trump alla Casa Bianca ha infatti riaperto una stagione di forte tensione commerciale tra Stati Uniti e Unione europea, con minacce ricorrenti di nuovi dazi, pressioni sulle regolazioni digitali europee e accuse rivolte a Bruxelles di utilizzare le norme tecnologiche come strumenti protezionistici contro le imprese americane.
Negli ultimi mesi l’amministrazione statunitense e numerosi esponenti dell’ecosistema Big Tech hanno intensificato gli attacchi contro il modello regolatorio europeo, descritto come eccessivamente burocratico, ostile all’innovazione e penalizzante per la competitività occidentale rispetto alla Cina. AI Act, Digital Markets Act e Digital Services Act sono diventati sempre più spesso parte di un confronto geopolitico più ampio, che intreccia tecnologia, commercio e rapporti transatlantici.
È difficile leggere il nuovo approccio europeo all’AI senza considerare questo contesto. L’Unione si trova stretta tra due paure contrapposte: perdere la corsa globale all’intelligenza artificiale e inasprire ulteriormente lo scontro con Washington in una fase già segnata da tensioni commerciali e minacce di nuovi dazi (ancora più aspre dopo lo scoppio del recente conflitto in Iran).
Il risultato è una crescente tentazione accomodante, in cui la semplificazione delle regole digitali può essere letta anche uno strumento diplomatico per ridurre l’attrito con gli Stati Uniti e rassicurare i grandi operatori tecnologici americani. Dovremmo pertanto capire fino a che punto l’Europa sia disposta ad attenuare le proprie ambizioni regolatorie pur di evitare uno scontro economico con Washington.
Se la regolazione dell’intelligenza artificiale viene progressivamente subordinata agli equilibri geopolitici e commerciali transatlantici, il modello europeo potrebbe perdere progressivamente la sua autonomia strategica, prima ancora che la sua efficacia normativa.
La nuova parola d’ordine: non disturbare le Big Tech
Non è casuale che nel comunicato ufficiale i co-relatori insistano sulla necessità di “rendere più facile costruire AI in Europa” e di “mettere in pausa” gli obblighi sui sistemi ad alto rischio. Il lessico utilizzato richiama apertamente la narrativa industriale promossa negli ultimi mesi dai grandi operatori tecnologici: meno vincoli, meno compliance preventiva, più spazio all’innovazione.
La logica è ormai evidente. Se l’Europa vuole attrarre investimenti nell’intelligenza artificiale, deve ridurre il costo regolatorio; e, poiché gran parte degli operatori dominanti sono americani, qualsiasi irrigidimento normativo rischia di trasformarsi immediatamente in un problema geopolitico.
Di fatto, il nuovo AI omnibus sembra segnare il passaggio da un approccio “rights-based” a un approccio sempre più “market-based”. Anziché domandarsi come intendiamo limitare i rischi dell’AI, ci si chiede come evitare che la regolazione rallenti lo sviluppo dell’AI.
Il nodo dei sistemi ad alto rischio
Il punto più problematico riguarda proprio l’indebolimento in fieri del regime dedicato ai sistemi ad alto rischio.
L’AI Act era stato concepito come una regolazione fondata sul rischio: maggiore è l’impatto di un sistema sui diritti fondamentali, maggiore deve essere il livello di obblighi e controlli. Per questo gli ambiti più sensibili come la biometria, selezione del personale, scoring, infrastrutture critiche e law enforcement, erano stati sottoposti a obblighi rigorosi di documentazione, governance dei dati, supervisione umana e valutazione del rischio.
Rinviare o restringere questi obblighi significa ridefinire la gerarchia delle priorità politiche europee, ben oltre la semplice necessità di guadagnare tempo.
Non è un caso che il compromesso arrivi mentre cresce la pressione delle imprese tecnologiche contro gli oneri di conformità previsti dall’AI Act. Negli ultimi mesi numerosi operatori industriali hanno sostenuto che il framework europeo rischiava di scoraggiare investimenti e rallentare la capacità competitiva dell’UE rispetto a Stati Uniti e Cina.
Il problema è che proprio i sistemi ad alto rischio rappresentano la parte dell’AI dove la regolazione è maggiormente necessaria, non tanto per ragioni astratte di compliance, quanto perché incidono direttamente su diritti, libertà individuali e asimmetrie di potere.
L’erosione silenziosa del modello europeo
L’aspetto più interessante di questa vicenda è che il cambiamento non avviene attraverso uno scontro aperto contro l’AI Act, poiché nessuno mette formalmente in discussione il regolamento e nessuno propone di cancellarne l’impianto.
La trasformazione avviene in modo incrementale: un rinvio, una definizione ristretta, un’esenzione aggiuntiva, una semplificazione dell’enforcement, una riduzione degli overlap normativi.
Una dinamica già vista in altri ambiti della regolazione digitale europea. Basti pensare a GDPR, DMA e DSA, che hanno progressivamente subito pressioni politiche e industriali finalizzate a renderne l’applicazione più compatibile con gli equilibri di mercato esistenti.
Tuttavia, la peculiarità dell’AI Act era il fatto che non era nato come semplice normativa tecnica, bensì come un progetto politico. Forse il più ambizioso tentativo occidentale di costituzionalizzare il potere algoritmico attraverso il diritto. Oggi quella ambizione sembra entrare in collisione con la realtà geopolitica e averne così paura da retrocedere nei suoi intenti.
I prossimi step e l’impatto per le aziende
Sul piano procedurale, il testo dovrà ora superare le ultime fasi formali previste dal processo legislativo europeo.
Dopo la validazione politica interna da parte dei negoziatori di Parlamento e Consiglio, l’accordo sarà sottoposto al voto della plenaria del Parlamento europeo e all’approvazione definitiva del Consiglio UE. Seguirà quindi la revisione giuridico-linguistica del testo da parte dei servizi dell’Unione, chiamati a verificarne coerenza normativa e uniformità nelle diverse versioni linguistiche ufficiali. La pubblicazione nella Gazzetta ufficiale dell’UE segnerà infine l’entrata in vigore delle modifiche, prevista pochi giorni dopo l’Official Journal.
Per le imprese, il segnale che sembra giungere da Bruxelles sia rallentare l’applicazione rigorosa dell’AI Act ed evitare che gli operatori economici si trovino esposti a obblighi e sanzioni in un contesto ancora incompleto sul piano tecnico e organizzativo.
La scelta dei co-legislatori va quindi letta anche come un messaggio al mercato: l’AI Act non viene smantellato, ma la sua implementazione viene resa più lenta, flessibile e negoziabile per ridurre l’impatto immediato sull’industria europea e, soprattutto, sui grandi operatori internazionali dell’intelligenza artificiale. In poche parole, le norme restano formalmente ambiziose, ma la loro applicazione concreta viene progressivamente adattata alle esigenze di competitività e alle pressioni del mercato globale.
Il prezzo geopolitico della semplificazione
Anche se l’AI Act sopravvivrà formalmente, il tema sarà capire quanta della sua forza originaria resterà intatta dopo anni di compromessi, rinvii e alleggerimenti motivati dalla competitività.
L’Europa aveva promesso di diventare la potenza normativa dell’intelligenza artificiale, ma, nel momento in cui la priorità politica diventa rassicurare investitori, startup, Big Tech americane e l’attuale Presidente degli Stati Uniti, il rischio è che la regolazione venga progressivamente piegata alle esigenze del mercato globale.
Ormai è chiaro che la semplificazione non è mai neutra, soprattutto quando riguarda tecnologie che ridefiniscono rapporti di potere, sorveglianza, accesso ai diritti e controllo delle informazioni.
L’impressione è che l’Unione europea stia iniziando a parlare una lingua diversa rispetto a quella con cui aveva presentato l’AI Act: meno diritti fondamentali, meno precautionary approach, meno “trustworthy AI”. Più competitività, più flessibilità, più accomodamento geopolitico.
Forse il segnale più preoccupante è proprio la lenta normalizzazione politica di questo regolamento in un quadro sempre più favorevole agli interessi verso Stati Uniti e grandi piattaforme globali.
