Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

l’approfondimento

Semplificare l’AI Act ha un costo: il monito di EDPB e EDPS sulla credibilità delle regole

Home Norme e adeguamenti
Partecipa al dibattito
Indirizzo copiato

EDPB ed EDPS hanno pubblicato un parere congiunto sulla proposta di Digital Omnibus AI della Commissione UE per semplificare l’attuazione dell’AI Act. Secondo le Autorità, alleggerire le regole potrebbe significare, in concreto, indebolire la tutela dei diritti. Ecco perché

Pubblicato il 22 gen 2026
Tania Orrù

Privacy Officer e Consulente Privacy

Digital Omnibus on AI

Dietro il linguaggio della semplificazione e dell’efficienza, il Digital Omnibus on AI tocca alcuni degli snodi più delicati dell’AI Act, come la registrazione dei sistemi ad alto rischio, l’uso dei dati sensibili, il ruolo delle Autorità di controllo.

Il parere congiunto di EDPB e EDPS mette in guardia da un rischio preciso: alleggerire le regole potrebbe significare, in concreto, indebolire la tutela dei diritti.

2025-1124-edpb-edps-joint-opinion_simplification-implementation-harmonised-rules-ai_enDownload

Digital Omnibus on AI: la Joint Opinion di EDPB e EDPS

Il parere congiunto adottato da European Data Protection Board (EDPB) ed European Data Protection Supervisor (EDPS) il 20 gennaio 2026 sul cosiddetto Digital Omnibus on AI, è una presa di posizione istituzionale che intercetta una preoccupazione diffusa tra operatori, imprese e professionisti della compliance, ovverossia la sensazione che la regolazione europea sull’intelligenza artificiale rischi di essere progressivamente svuotata nel nome della semplificazione.

I contenuti chiave del parere di EDPB e EDPS

Il Digital Omnibus on AI interviene sulle norme già previste dall’AI Act, incidendo su obblighi di registrazione, tempistiche di applicazione, modalità di controllo e governance istituzionale ed è su questo terreno che EDPB ed EDPS concentrano le loro osservazioni (e critiche).

Il parere nasce, infatti, come reazione alla proposta della Commissione europea di introdurre un Digital Omnibus on AI, cha ha l’obiettivo dichiarato di semplificare l’attuazione dell’AI Act e renderne più agevole l’applicazione pratica.

EDPB ed EDPS accolgono invero positivamente l’intento generale, in quanto riconoscono che l’AI Act è un regolamento complesso, che l’ecosistema tecnologico evolve rapidamente e che esistono reali difficoltà applicative, soprattutto per le PMI.

Tuttavia, considerano, come principio non negoziabile, il fatto che semplificazione e riduzione degli oneri amministrativi non possano tradursi in un arretramento delle tutele dei diritti fondamentali.

Uso di categorie particolari di dati personali

La proposta Omnibus estenderebbe la possibilità di trattare dati particolari (origine etnica, salute, ecc.) per finalità di bias detection e bias correction a una platea molto ampia di fornitori e utilizzatori di sistemi di AI.

Secondo EDPB ed EDPS, questa estensione è ammissibile solo in situazioni rigorosamente circoscritte, quando il rischio di effetti discriminatori è sufficientemente grave e quando siano previste garanzie stringenti.

L’idea che la correzione dei bias possa diventare una giustificazione generalizzata per l’uso di dati sensibili viene nettamente respinta.

Registrazione dei sistemi AI ad alto rischio

Uno dei passaggi più rilevanti del parere riguarda la proposta di eliminare l’obbligo di registrazione per alcuni sistemi che rientrano nelle categorie di high-risk AI, qualora il provider li consideri, di fatto, non ad alto rischio.

Per le Autorità, questa modifica minerebbe alla radice l’accountability del sistema in quanto consentire l’autoqualificazione equivale a creare un incentivo strutturale all’elusione del controllo pubblico.

In questo modo, la semplificazione rischia di trasformarsi in una sorta di “privatizzazione” della valutazione del rischio.

Regulatory sandboxes e ruolo delle Autorità privacy

Il parere guarda con favore alla creazione di AI regulatory sandboxes a livello europeo, come strumenti di innovazione controllata; chiarisce tuttavia che tali spazi di sperimentazione devono prevedere il coinvolgimento diretto delle Autorità di protezione dei dati, con un ruolo consultivo dell’EDPB a livello europeo.

Il fine è quello di evitare che le sandbox diventino aree grigie sottratte alla piena applicazione del GDPR e che, in assenza di un presidio delle Autorità privacy, le sandbox diventino spazi di sperimentazione accelerata in cui le garanzie vengono sospese di fatto.

Governance e sovrapposizione dei poteri

EDPB ed EDPS chiedono inoltre una chiara delimitazione del ruolo dell’AI Office, soprattutto rispetto ai modelli di AI di uso generale, per evitare interferenze con la supervisione indipendente esercitata dall’EDPS sulle istituzioni europee.

Analogamente, la semplificazione dei meccanismi di cooperazione tra autorità non deve mai comprimere l’indipendenza e i poteri delle Data Protection Authorities.

L’Autorità tiene infatti a sottolineare che la sovrapposizione dei ruoli di controllo incide direttamente sulla chiarezza delle responsabilità e, quindi, sulla certezza del diritto.

Rinvio degli obblighi per i sistemi ad alto rischio

Infine, il parere esprime una preoccupazione esplicita per il possibile rinvio temporale di obblighi chiave dell’AI Act, in particolare quelli relativi alla trasparenza, poiché, in un contesto di così rapida evoluzione tecnologica, il tempo rischia di diventare uno strumento di deregolamentazione di fatto.

Ogni rinvio riduce infatti la pressione all’adeguamento e sposta in avanti il momento in cui i diritti diventano effettivamente esigibili.

Timori condivisi: perché questo parere non sorprende

Letto nel suo insieme, il parere di EDPB e EDPS non introduce affatto timori inediti; al contrario, formalizza, a livello istituzionale, preoccupazioni che molti operatori già nutrono da tempo.

Interventi come l’uso esteso dei dati sensibili per correggere bias algoritmici, l’alleggerimento degli obblighi di registrazione, la flessibilizzazione delle scadenze, seppur effettuati nel nome dell’efficienza, rischiano di produrre un effetto collaterale evidente.

Se la semplificazione incide sugli obblighi sostanziali, nell’intento di ridurre la complessità amministrativa, rischia di abbassare il livello di responsabilità richiesto ai soggetti regolati.

Le Autorità dichiarano apertamente ciò che molti professionisti della compliance sanno già, e cioè che il confine tra semplificazione e neutralizzazione della norma molto è sottile, e spesso viene superato senza esplicitarlo apertamente.

Semplificazione o svuotamento? Il rischio di un AI Act solo procedurale

Un nodo centrale del dibattito è la distinzione (spesso trascurata) tra semplificazione amministrativa e semplificazione sostanziale: mentre la prima riguarda le modalità con cui gli obblighi vengono adempiuti; la seconda incide direttamente sulla loro esistenza e intensità.

Quando la semplificazione si traduce in meno registrazioni, meno controlli ex ante o più ampie possibilità di auto-valutazione, il diritto diventa meno incisivo, anziché più efficiente.

Il rischio concreto è quello di un AI Act che, pur sopravvivendo come impianto formale, perde la sua capacità di orientare concretamente i comportamenti e diventa un regolamento prevalentemente procedurale, affidato alla buona volontà dei soggetti regolati e a controlli ex post sempre più difficili.

Il punto più critico: la credibilità della regolazione europea

Il profilo forse più delicato, che va oltre il merito delle singole modifiche, è che unaregolazione che sembra nascere già accompagnata da interventi correttivi e semplificazioni successive, rischia davvero di trasmettere un messaggio preciso, ossia che le regole non siano da considerarsi stabili.

Per le imprese, questo significa investire in una compliance che diventa una scommessa, quindi perché allocare risorse significative oggi, se domani gli obblighi potrebbero essere attenuati o riscritti?

Per i cittadini, il messaggio è altrettanto problematico, perché, se le tutele vengono costantemente rinegoziate, la protezione promessa non appare solida.

In sintesi: nel tentativo di rendere l’AI Act più “applicabile”, si rischia di comprometterne l’autorevolezza e, senza quest’ultima, anche la migliore architettura normativa perde inevitabilmente appeal ed efficacia.

L’AI Act come regolazione “permanentemente provvisoria”

C’ è poi una lettura più radicale, ma difficilmente eludibile: il fatto che una norma venga presentata, subito dopo la sua adozione, come eccessivamente onerosa e bisognosa di semplificazione, compromette seriamente il modo in cui la norma stessa viene percepita.

Di fronte ad una regolazione che appare strutturalmente transitoria, sempre in attesa di essere corretta, adattata, alleggerita, viene inevitabilmente considerata come non definitiva e, nel tempo, smette di essere presa sul serio.

Il parere di EDPB ed EDPS può allora essere letto come un tentativo di arginare questa deriva, piuttosto che come una difesa burocratica dello status quo: le Autorità si sono sentite in dovere di ribadire la necessità di preservare la credibilità normativa come bene pubblico.

Take away operativi per imprese e professionisti

Dal parere emergono alcune indicazioni pratiche che il mercato farebbe bene a non sottovalutare:

  • non fare affidamento sulle semplificazioni future, perché impostare oggi la governance AI come se gli obblighi fossero destinati a indebolirsi sarebbe una strategia miope;
  • trattare la registrazione e la trasparenza come asset reputazionali, non come meri adempimenti formali;
  • integrare la protezione dei dati nella progettazione dei sistemi AI, anche quando il quadro normativo sembra concedere margini di flessibilità;
  • investire in AI literacy interna, perché la formazione resta una responsabilità primaria dei soggetti che sviluppano e utilizzano sistemi di AI;
  • prepararsi a un enforcement selettivo ma incisivo, in quanto meno obblighi formali non significa minori controlli, bensì controlli più mirati e potenzialmente più impattanti.

Semplificare senza perdere autorevolezza

Il parere congiunto di EDPB ed EDPS è, in questo momento, un promemoria essenziale, nonché un monito in merito all’uso della semplificazione, utile solo se e nella misura in cui rafforzi la fiducia nel diritto.

In un ecosistema come quello dell’intelligenza artificiale, dove il potere tecnologico cresce sempre più rapidamente delle garanzie, la credibilità della regolazione è parte integrante della sua efficacia.

Ignorare questo aspetto significherebbe rischiare che le future norme europee sull’AI vengano accolte con crescente diffidenza, come strumenti temporanei e negoziabili, anziché come regole stabili su cui costruire un’innovazione responsabile.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

O
Tania Orrù
Privacy Officer e Consulente Privacy
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • AI Act Digital Omnibus EDPB EDPS

  • intelligenza artificiale

    AI Act e Digital Omnibus: EDPB e EDPS frenano sulla semplificazione a scapito dei diritti

    22 Gen 2026

    di Rosario Palumbo

    Condividi
  • Quantum computing

  • soluzioni

    Quantum computing, una minaccia per la crittografia: come prepararsi oggi

    22 Gen 2026

    di Veronica Balocco

    Condividi
  • Nomina referente CSIRT

  • SCAdenza nis2

    NIS2 e nomina del referente CSIRT, si apre la procedura sul portale ACN: che c’è da sapere

    19 Nov 2025

    di Sandro Sana

    Condividi
  • Cultura aziendale e cyber security; Comandare nel caos: la logica come disciplina nelle crisi digitali

  • security awareness

    Cultura aziendale e cyber security: la lezione di Nokia per i CISO del futuro

    02 Dic 2025

    di Fabrizio Saviano

    Condividi
0
Lascia un commento, la tua opinione conta.x