27 Marzo 2026• byJosaphat Manzoni
Il 26 marzo 2026 il Parlamento europeo ha approvato una proposta di modifica dell’AI Act quale parte del c.d. pacchetto di misure del c.d. Digital Omnibus, aprendo la fase di trilogo con il Consiglio dell’UE e la Commissione.
Il voto conferma un orientamento ormai condiviso: intervenire sull’impianto normativo per renderlo più gestibile, senza però alterarne le logiche di fondo.
Posticipazione degli obblighi per l’IA ad alto rischio
Le istituzioni europee convergono sulla necessità di posticipare l’applicazione degli obblighi per i sistemi di IA ad alto rischio. Non è stata però accolta la proposta della Commissione di subordinare un’attuazione anticipata all’adozione di standard armonizzati e strumenti di supporto.
Parlamento e Consiglio optano invece per scadenze certe:
- 2 dicembre 2027 per i sistemi autonomi ai sensi dell’Allegato III;
- 2 agosto 2028 per i sistemi integrati nei prodotti disciplinati da normative settoriali di cui all’Allegato I.
L’intervento non risponde solo a esigenze di timing, ma mira a mantenere certezza giuridica e prevedibilità, elementi essenziali per operatori chiamati a muoversi in un quadro regolatorio articolato e in evoluzione.
App di nudificazione: divieto confermato, con margini operativi
Il Parlamento propone di includere tra i sistemi vietati quelli in grado di generare contenuti sessualmente espliciti riferibili a persone identificabili senza il loro consenso.
La formulazione, tuttavia, introduce due precisazioni rilevanti:
- lo sviluppo di tali capacità non è di per sé vietato;
- il divieto non si applica laddove siano implementate misure tecniche efficaci per impedirne l’uso proibito.
Ne deriva un equilibrio delicato: apertura all’innovazione, ma con un livello di rischio elevato. La valutazione dell’adeguatezza delle misure di sicurezza diventa infatti centrale, anche alla luce del regime sanzionatorio (fino a 35 milioni di euro o al 7% del fatturato annuo globale).
Razionalizzazione per i prodotti già regolamentati
Un ulteriore intervento riguarda i sistemi di IA integrati in prodotti soggetti alla normativa di armonizzazione dell’Unione (Allegato I, sezione A). Il Parlamento propone di allinearli, sotto il profilo degli obblighi, ai sistemi di cui all’Allegato B.
L’obiettivo è ridurre le duplicazioni regolatorie derivanti dalla sovrapposizione tra AI Act e discipline settoriali (es. dispositivi medici, apparecchiature radio, giocattoli, dispositivi diagnostici in vitro).
Questo non significa una riduzione degli obblighi per i sistemi di IA ad alto rischio, ma piuttosto una diminuzione delle sovrapposizioni normative. Le aziende dovranno comunque valutare e assicurare la conformità dei sistemi utilizzati.
AI literacy: conservazione dell’obbligo, ma più flessibile
Il Parlamento sembra recepire le indicazioni di EDPB ed EDPS, proponendo di mantenere un obbligo in materia di AI literacy per provider e deployer, seppur riformulato.
L’obbligo diventa quello di supportare il miglioramento dell’alfabetizzazione in materia di IA per i propri dipendenti e altre figure rilevanti, con un’intensità inferiore rispetto alla versione corrente.
Ciò non riduce, però, la rilevanza operativa del tema. L’assenza di competenze adeguate può incidere sulla capacità di rispettare altri obblighi normativi previsti dall’AI Act, oltre a limitare la possibilità di sfruttare appieno il potenziale dei sistemi di IA.
Obblighi di registrazione e trattamento dei dati sensibili
Sul piano degli obblighi di registrazione, il Parlamento si allinea al Consiglio nel proporre di mantenere l’iscrizione dei sistemi ad alto rischio nella banca dati UE anche nei casi in cui il provider ritenga che il sistema non rientri in tale categoria ai sensi dell’articolo 6(3), seppur con una riduzione degli oneri informativi.
Analogamente, in materia di trattamento di dati sensibili per il rilevamento e la correzione dei bias:
- viene estesa la platea dei soggetti autorizzati, ma solo per il rilevamento e la correzione di bias che possano incidere negativamente sulla salute, sicurezza, diritti fondamentali degli individui o portare a discriminazione;
- resta fermo il criterio della stretta necessità.
L’impostazione riflette un approccio prudente e coerente con le posizioni delle autorità europee per la protezione dei dati.
Conclusioni: semplificazione sì, ma con maggiori tutele
Il segnale che emerge dal Parlamento (come anche dal Consiglio) è piuttosto chiaro: l’AI Act necessita di essere reso più operativo, non ridimensionato.
Il tentativo di semplificazione in corso non equivale a un alleggerimento degli standard, ma a uno sforzo volto a renderli più applicabili e coerenti. In altre parole, meno attrito regolatorio, ma non meno responsabilità.
Per gli operatori, questo implica l’adozione di una prospettiva equilibrata: il possibile rinvio delle scadenze e la razionalizzazione degli obblighi non rappresentano l’opportunità di una pausa, bensì quella di dotarsi di modelli di governance dell’IA più solidi e integrati, a fronte di aspettative regolatorie in aumento.
Per il legislatore europeo, la sfida è ora calibrare l’intervento, costruendo un quadro che sia al tempo stesso esigente e realisticamente implementabile per le imprese.
Il mancato raggiungimento di un accordo non sarebbe senza conseguenze: in tal caso, gli obblighi resterebbero invariati e, in particolare, per i sistemi di IA ad alto rischio autonomi si applicherebbero già a partire da agosto, senza alcun rinvio.
È proprio questo il punto critico. Le aziende non possono permettersi di attendere l’esito del processo legislativo: la preparazione deve avvenire ora, per evitare di trovarsi esposte nel momento in cui le disposizioni del Regolamento diventeranno pienamente operative.
Potete sapere di più sulla bozza di modifica dell’AI Act approvata dal Consiglio d’Europa in questo articolo “Il Consiglio UE si muove per primo: pubblicata la nuova bozza del Digital Omnibus con modifiche all’AI Act“.
