Il Parlamento europeo ha approvato in via definitiva una modifica mirata dell’AI Act nell’ambito del cosiddetto Digital Omnibus VII, il pacchetto di semplificazione presentato dalla Commissione europea il 19 novembre 2025.
Con 423 voti favorevoli, 57 contrari e 174 astensioni, l’Aula ha dato il via libera a una revisione che non modifica l’impianto sostanziale della normativa europea sull’intelligenza artificiale, ma interviene su alcuni aspetti applicativi ritenuti particolarmente onerosi per le imprese.
L’obiettivo dichiarato è duplice: garantire maggiore certezza giuridica e concedere più tempo agli operatori economici per adeguarsi, nonché preservare l’approccio basato sul rischio, che costituisce il cuore dell’AI Act.
Indice degli argomenti
Il percorso del provvedimento
L’AI Act è entrato formalmente in vigore nel 2024, ma molte delle sue disposizioni sono destinate ad applicarsi in modo progressivo fino al 2027 e oltre.
Nel corso dell’attuazione, imprese, associazioni industriali e alcuni Stati membri hanno evidenziato criticità legate alla mancanza di standard tecnici definitivi, linee guida operative e procedure di conformità sufficientemente mature. Per questo motivo la Commissione europea ha inserito l’AI Act nel settimo pacchetto di semplificazione normativa, il cosiddetto Digital Omnibus VII.
Il testo approvato dal Parlamento rappresenta quindi una modifica settoriale dell’AI Act e dovrà ora essere formalmente adottato dal Consiglio dell’Unione europea prima dell’entrata in vigore definitiva.
Cosa cambia per i sistemi di IA ad alto rischio
La modifica più rilevante riguarda il rinvio di alcuni obblighi previsti per i sistemi classificati come ad alto rischio.
Per i sistemi ad alto rischio autonomi, ossia quelli che non fanno parte di un prodotto regolato da altre normative europee di sicurezza, gli obblighi scatteranno dal 2 dicembre 2027.
Per i sistemi di IA incorporati in prodotti disciplinati dalla normativa europea sulla sicurezza dei prodotti e sulla vigilanza del mercato, come macchinari, robot e altre apparecchiature industriali, l’applicazione viene rinviata al 2 agosto 2028.
Secondo il legislatore europeo, il rinvio dovrebbe consentire di completare il quadro degli standard tecnici e degli strumenti di supporto necessari alle imprese per dimostrare la conformità.
Slitta anche l’obbligo di etichettatura dei contenuti generati dall’IA
Un’altra modifica riguarda gli obblighi di marcatura e trasparenza per i contenuti generati artificialmente.
L’applicazione di tali obblighi viene rinviata al 2 dicembre 2026. Entro quella data, immagini, video, audio e altri contenuti generati mediante sistemi di intelligenza artificiale dovranno essere chiaramente identificabili come tali attraverso modalità leggibili e comprensibili per gli utenti.
L’obiettivo è aumentare la trasparenza e contrastare fenomeni quali disinformazione, manipolazione e diffusione di deepfake.
Al via il divieto europeo dei sistemi “nudifier”
Una delle novità più rilevanti sul piano della tutela dei diritti fondamentali è l’introduzione di un divieto esplicito per alcune categorie di sistemi di IA.
La norma vieta, infatti, i sistemi che generano materiale di abuso sessuale su minori e quelli che producono immagini, video o audio raffiguranti nudità, parti intime o attività sessualmente esplicite di persone identificabili senza il loro consenso.
Si tratta dei cosiddetti sistemi “nudifier”, cioè applicazioni che utilizzano tecniche di intelligenza artificiale generativa per creare contenuti sessuali sintetici partendo da immagini reali.
Il divieto si applica sia ai fornitori sia agli utilizzatori che impiegano tali sistemi per tali finalità.
Le imprese avranno tempo fino al 2 dicembre 2026 per adeguare i propri prodotti e servizi.
Meno duplicazioni normative per macchine e prodotti intelligenti
Un intervento significativo riguarda il rapporto tra AI Act e legislazione europea sulla sicurezza dei prodotti.
La modifica chiarisce che, per alcune categorie di macchine che incorporano sistemi di IA, i produttori non dovranno affrontare duplicazioni degli obblighi di conformità se la normativa settoriale garantisce già un livello equivalente di protezione della salute e della sicurezza.
L’obiettivo è ridurre sovrapposizioni documentali, verifiche multiple e oneri amministrativi che avrebbero potuto rallentare l’immissione sul mercato di prodotti innovativi.
Per le imprese manifatturiere, i produttori di macchinari intelligenti e le aziende che integrano algoritmi di IA nei propri prodotti, si tratta probabilmente della semplificazione più significativa contenuta nel provvedimento.
Una definizione più restrittiva di “componente di sicurezza”
Il Parlamento è intervenuto anche sulla definizione di componente di sicurezza.
In base alla nuova formulazione, non saranno automaticamente considerati ad alto rischio i sistemi di IA che svolgono funzioni di mera assistenza agli utenti o di ottimizzazione delle prestazioni, purché il loro malfunzionamento non comporti rischi per la salute o la sicurezza.
Questa modifica potrebbe ridurre significativamente il numero di applicazioni industriali e aziendali soggette agli obblighi più gravosi previsti dall’AI Act.
Cosa cambia concretamente per le imprese
La modifica approvata dal Parlamento europeo interviene su un impianto regolatorio europeo che dichiara di rimanere sostanzialmente invariato, così come resta immutata la logica basata sul rischio che caratterizza l’intera disciplina.
A variare è soprattutto il calendario di applicazione di alcuni obblighi e, in alcuni casi, la portata di specifiche disposizioni che avevano suscitato preoccupazioni nel mondo industriale.
Per molte organizzazioni il primo effetto concreto sarà la possibilità di rivedere le roadmap di adeguamento. Le aziende che sviluppano o utilizzano sistemi di intelligenza artificiale classificabili come ad alto rischio dispongono ora di un margine temporale più ampio per completare le attività di assessment, predisporre la documentazione tecnica, implementare i sistemi di governance e adeguare i processi interni ai requisiti previsti dall’AI Act.
Tuttavia, il rinvio delle scadenze non equivale a una sospensione delle attività preparatorie, in quanto le imprese che attendessero il 2027 per avviare il percorso di conformità rischierebbero di trovarsi nuovamente in ritardo.
L’identificazione dei sistemi di IA presenti in azienda, la classificazione del livello di rischio, la definizione dei ruoli e delle responsabilità interne e la predisposizione delle procedure di monitoraggio richiedono indubbiamente tempi significativi e competenze multidisciplinari.
IA ad alto rischio: più tempo per la compliance, ma non per l’analisi preliminare
Le aziende che sviluppano o immettono sul mercato sistemi di IA ad alto rischio sono probabilmente le principali beneficiarie del rinvio introdotto dal Digital Omnibus e delle nuove scadenze previste.
Ciò significa che le organizzazioni dispongono di un periodo aggiuntivo per completare attività complesse come valutazione dei rischi, predisposizione della documentazione tecnica, definizione dei sistemi di gestione della qualità, monitoraggio post-commercializzazione e procedure di segnalazione degli incidenti.
La proroga appare particolarmente rilevante per le imprese industriali e manifatturiere, che dovranno coordinare i requisiti dell’AI Act con quelli derivanti dalla normativa europea sui prodotti e sulla sicurezza dei macchinari.
Attenzione ai contenuti generati dall’IA: la trasparenza diventa un obbligo
Le imprese che utilizzano sistemi generativi per produrre immagini, video, audio o altri contenuti destinati al pubblico dovranno assicurare che tali materiali siano chiaramente identificabili come generati artificialmente.
Per molte organizzazioni ciò comporterà l’aggiornamento delle policy interne, delle procedure di comunicazione e dei processi di pubblicazione dei contenuti. Anche le attività di marketing, customer care e comunicazione aziendale potrebbero essere interessate dall’introduzione di strumenti di etichettatura e tracciabilità dei contenuti prodotti con l’ausilio dell’IA.
Stop ai nudifier: nuovi obblighi per sviluppatori e fornitori
Per le imprese che sviluppano modelli generativi, applicazioni di elaborazione delle immagini o piattaforme basate su IA, il provvedimento impone una verifica immediata delle funzionalità offerte agli utenti.
I fornitori dovranno implementare adeguate misure tecniche per impedire la generazione di contenuti che rappresentino nudità o attività sessuali riferibili a persone identificabili senza il loro consenso, nonché qualsiasi forma di materiale assimilabile all’abuso sessuale su minori.
L’aspetto più significativo è che il divieto colpisce sia chi sviluppa la tecnologia, sia gli utilizzatori che impiegano tali sistemi per queste finalità. Questo potrebbe spingere molte aziende a rafforzare i controlli sugli usi consentiti delle proprie piattaforme e a introdurre sistemi più efficaci di monitoraggio e moderazione.
Dati personali e contrasto ai bias: una maggiore flessibilità
Il Parlamento ha inoltre introdotto una precisazione destinata ad avere impatti soprattutto sui processi di sviluppo e validazione dei modelli.
Le imprese potranno trattare dati personali quando ciò sia strettamente necessario per individuare e correggere fenomeni di bias e discriminazione algoritmica. La disposizione risponde a una criticità più volte evidenziata dagli operatori del settore: per verificare se un sistema discrimina determinati gruppi di persone è spesso necessario utilizzare dati che consentano di effettuare confronti significativi.
La norma non introduce deroghe generalizzate alla disciplina privacy e restano pienamente applicabili i principi del GDPR, inclusi quelli di necessità, proporzionalità, minimizzazione dei dati e adeguate garanzie di sicurezza.
Sintesi delle nuove scadenze da segnare in agenda
Dal punto di vista operativo, le imprese dovrebbero già oggi aggiornare le proprie roadmap regolatorie tenendo conto delle nuove date introdotte dal Digital Omnibus.
La prima scadenza rilevante sarà il 2 agosto 2026, data a partire dalla quale continuerà ad applicarsi la maggior parte delle disposizioni dell’AI Act.
Il 2 dicembre 2026 diventeranno invece operativi sia gli obblighi di etichettatura dei contenuti generati dall’intelligenza artificiale sia il nuovo divieto relativo ai sistemi di nudificazione e alla generazione di materiale sessuale sintetico non consensuale.
Successivamente entreranno in vigore gli obblighi per i sistemi di IA ad alto rischio autonomi, fissati al 2 dicembre 2027, mentre i sistemi incorporati in prodotti regolati dalla normativa europea di sicurezza avranno tempo fino al 2 agosto 2028.
Per le imprese europee il messaggio che emerge dal voto del Parlamento è quello di una maggiore gradualità nell’attuazione degli obblighi e di una riduzione di alcune duplicazioni normative, mentre restano formalmente invariati gli obiettivi di trasparenza, sicurezza e tutela dei diritti fondamentali.
| Data | Cosa succede |
| 2 agosto 2026 | Applicazione generale AI Act |
| 2 dicembre 2026 | Etichettatura IA e divieto nudifier |
| 2 dicembre 2027 | High-risk stand alone |
| 2 agosto 2028 | High-risk embedded |
Oltre la semplificazione: un cambio di clima nella politica europea sull’IA?
Che queste modifiche costituiscano una mera semplificazione tecnica o il primo segnale di un più ampio ripensamento dell’approccio europeo all’IA è una questione sulla quale il dibattito resta aperto.
Dal punto di vista delle imprese, il Digital Omnibus rappresenta indubbiamente una buona notizia. Le nuove scadenze riducono la pressione sui programmi di compliance, consentono di attendere il completamento degli standard tecnici europei e limitano alcune sovrapposizioni normative che avevano generato forti preoccupazioni soprattutto nel settore industriale.
Tuttavia, il significato del provvedimento non si esaurisce nella sua dimensione operativa.
La revisione dell’AI Act si inserisce infatti in un contesto politico profondamente diverso da quello che aveva accompagnato la nascita della normativa europea sull’intelligenza artificiale. Negli ultimi due anni il dibattito europeo si è progressivamente spostato dalla necessità di regolamentare l’IA alla necessità di preservare la competitività dell’industria europea nel confronto con Stati Uniti e Cina.
Le richieste di semplificazione avanzate dalle associazioni imprenditoriali, le pressioni esercitate dalle grandi piattaforme tecnologiche e il nuovo orientamento politico favorevole alla riduzione degli oneri regolatori hanno contribuito a creare un clima più favorevole alla revisione di alcune disposizioni dell’AI Act.
Da questo punto di vista, il Digital Omnibus può essere letto come il primo vero test della capacità dell’Unione europea di mantenere l’equilibrio tra due obiettivi potenzialmente confliggenti: da un lato la tutela dei diritti fondamentali e la governance dei rischi dell’intelligenza artificiale, e, dall’altro, la volontà di non penalizzare la competitività delle imprese europee nella corsa globale all’innovazione.
Per il momento il legislatore europeo insiste sul fatto che l’impianto dell’AI Act rimanga sostanzialmente invariato e che le modifiche approvate riguardino soprattutto tempi e modalità di attuazione. Resta però il fatto che il rinvio di alcuni obblighi e la riduzione di alcuni adempimenti rappresentano un segnale politico rilevante: sebbene l’Europa non stia abbandonando la regolazione dell’intelligenza artificiale, oggi sembra senz’altro più disponibile a ricalibrarne l’intensità alla luce delle esigenze di competitività industriale.
Per le imprese, tuttavia, le nuove scadenze non dovrebbero essere interpretate come una sospensione della compliance AI, bensì come una finestra temporale aggiuntiva per completare attività che rimangono inevitabili: mappatura dei sistemi, classificazione dei rischi, governance dei dati, processi di monitoraggio e controlli di trasparenza.
Più tempo per adeguarsi, ma resta aperta la questione controlli
Se le modifiche approvate dal Parlamento europeo chiariscono il calendario di applicazione di alcuni obblighi dell’AI Act, resta ancora aperta una questione cruciale per le imprese: come e con quale intensità verranno effettivamente applicate le nuove regole.
Dal punto di vista giuridico, il Digital Omnibus non modifica il sistema sanzionatorio previsto dall’AI Act. Una volta entrati in vigore, pertanto, gli obblighi continueranno a essere accompagnati da poteri di vigilanza, misure correttive e sanzioni potenzialmente molto significative. Il rinvio delle scadenze non dovrebbe equivalere a un ridimensionamento formale dell’enforcement.
Più complessa è invece la valutazione sul piano operativo.
L’efficacia dei controlli dipenderà infatti dalla capacità dell’ecosistema europeo di vigilanza di dotarsi in tempi rapidi delle strutture, delle competenze tecniche e degli standard necessari per verificare la conformità di sistemi spesso caratterizzati da elevata complessità tecnologica.
Molte delle autorità nazionali competenti sono ancora in fase di definizione o consolidamento (in molti Stati membri è ancora in corso la definizione del riparto di competenze tra autorità di mercato, organismi di vigilanza settoriali e autorità per la protezione dei dati); e diversi standard tecnici e strumenti di supporto risultano tuttora in fase di elaborazione.
Per questo motivo alcuni studiosi della governance dell’AI Act ritengono che la sua attuazione possa seguire una traiettoria non dissimile da quella osservata nei primi anni del GDPR.
La stessa architettura di enforcement delineata dal regolamento, fondata sulla cooperazione tra AI Office, autorità nazionali e organismi di vigilanza settoriali, richiederà probabilmente una fase iniziale di “regulatory learning”, caratterizzata dalla definizione delle prassi applicative, dalla produzione di linee guida e dal consolidamento delle competenze di controllo. Almeno nei primi anni, quindi, l’attività delle autorità potrebbe concentrarsi più sull’accompagnamento e sull’interpretazione delle regole che su un ricorso estensivo agli strumenti sanzionatori.
Ciò non significa però che le imprese possano permettersi un approccio attendista, poiché, anche in assenza di controlli sistematici, la conformità all’AI Act potrebbe essere richiesta sempre più frequentemente da clienti, partner commerciali, grandi committenti e pubbliche amministrazioni nell’ambito delle procedure di acquisto e qualificazione dei fornitori.
A ciò si aggiunge il possibile intreccio con altre normative europee, dal GDPR alla NIS2, fino alla disciplina sulla responsabilità dei prodotti e alla sicurezza dei sistemi digitali, che potrebbero portare alla luce criticità legate all’uso dell’intelligenza artificiale anche al di fuori di specifiche attività ispettive dedicate all’AI Act.
Dal momento che la vera incognita sembra essere l’evoluzione concreta dell’enforcement nei prossimi anni, per le imprese, il rinvio delle scadenze potrebbe rappresentare un’opportunità per consolidare percorsi di governance e compliance prima che il sistema europeo di vigilanza entri pienamente a regime.
Più tempo significa davvero più conformità?
Resta tuttavia una considerazione che emerge dall’esperienza europea maturata con il GDPR. A quasi dieci anni dalla sua entrata in vigore, il regolamento continua a essere percepito da molte organizzazioni come una normativa “nuova” o ancora in fase di assestamento, segno di un percorso di adattamento che si è rivelato molto più lungo e complesso di quanto inizialmente previsto.
Se da un lato le grandi imprese e le piattaforme digitali hanno progressivamente strutturato funzioni dedicate alla privacy e alla compliance, dall’altro una parte significativa del tessuto produttivo europeo, in particolare (ma non solo) tra le piccole e medie imprese, presenta ancora oggi livelli di adeguamento molto eterogenei.
L’esperienza del GDPR mostra inoltre come l’esistenza di un impianto sanzionatorio severo non si traduca automaticamente in un enforcement uniforme e capillare. Le differenze nelle risorse delle autorità nazionali, la complessità tecnica delle verifiche e la necessità di costruire interpretazioni condivise hanno contribuito a determinare tempi di maturazione più lunghi rispetto alle aspettative iniziali.
Alla luce di questo precedente, non può essere escluso che anche l’AI Act segua una traiettoria analoga, caratterizzata da una progressiva costruzione delle prassi di vigilanza e da un’applicazione non immediatamente uniforme nei diversi Stati membri.
Proprio per questo motivo le imprese dovrebbero evitare sia l’errore di considerare irrilevanti le nuove regole sia quello opposto di attendersi un sistema di controlli pienamente maturo fin dalle prime fasi di applicazione.
L’obiettivo dovrebbe comunque essere quello di integrare gradualmente la governance dell’intelligenza artificiale nei processi aziendali ordinari.
In caso contrario, il rinvio rischia di essere ricordato, anziché come un’opportunità per prepararsi meglio, come l’ennesima occasione mancata per costruire una compliance realmente sostenibile e diffusa nel tessuto produttivo europeo.
Partecipa alla community