Sette maggio 2026, tarda serata a Bruxelles. Dopo dieci ore di trilogo, Parlamento europeo, Consiglio e Commissione hanno trovato l'accordo politico sul cosiddetto Digital Omnibus on AI, il pacchetto che riscrive parti significative dell'AI Act a meno di un anno dall'entrata in vigore delle prime norme. Il risultato è duplice e sembra fatto apposta per scontentare entrambi i fronti: le aziende ottengono il rinvio dell'applicazione delle regole più pesanti, le associazioni per i diritti digitali ottengono un nuovo divieto frontale contro i deepfake intimi non consensuali.
Le nuove date di applicazione: 2 dicembre 2027 e 2 agosto 2028
Il cambiamento più sostanziale riguarda i tempi. Le regole del capitolo III dell'AI Act sui sistemi ad alto rischio elencati nell'Allegato III (biometria, infrastrutture critiche, istruzione, lavoro, ordine pubblico, gestione delle migrazioni, asilo, frontiere) si applicheranno dal 2 dicembre 2027, non più dal 2 agosto 2026 come previsto in origine. I sistemi ad alto rischio dell'Allegato I, integrati in prodotti già coperti da normative settoriali come dispositivi medici, macchinari e giocattoli, hanno una proroga ulteriore, fino al 2 agosto 2028.
La Commissione europea motiva il rinvio con un argomento tecnico: gli standard armonizzati (le specifiche che permettono concretamente a un produttore di dimostrare la conformità) non sono ancora pronti. Senza standard, le imprese sarebbero costrette ad autovalutarsi su requisiti vaghi, e le autorità nazionali non saprebbero su cosa basare i controlli.
La filigrana sui contenuti generati dall'IA arriva a dicembre
Anche gli obblighi di trasparenza per i contenuti generati o manipolati dall'intelligenza artificiale slittano: la watermark, cioè la filigrana digitale che dovrà essere apposta a immagini, video, audio e testi sintetici, diventerà obbligatoria il 2 dicembre 2026 invece che il 2 agosto. La spinta arriva in parte dai grandi laboratori, che chiedevano sei mesi in più per allineare gli strumenti di tracciabilità (C2PA, SynthID, le filigrane interne di OpenAI e Adobe) e in parte dagli Stati membri, che non hanno ancora individuato le autorità competenti per i controlli.
Il nuovo divieto: deepfake sessuali e immagini di abuso su minori
Sul versante delle proibizioni il pacchetto introduce una nuova pratica esplicitamente vietata, applicabile già dal 2 dicembre 2026: la commercializzazione, la messa in servizio o l'uso di sistemi di IA che generano o manipolano immagini, video, audio o materiali realistici contenenti parti intime identificabili o atti sessuali espliciti di una persona senza il suo consenso. Un divieto analogo, ancora più stringente, riguarda i sistemi che producono materiale pedopornografico o legato allo sfruttamento sessuale di minori.
La norma è scritta per colpire i cosiddetti "nudifier", le app che spogliano fotograficamente una persona vestita, e tutte le tecnologie che adattano i modelli di immagini al porno non consensuale. Come riassume l'ANSA, l'eurodeputato Brando Benifei (S&D), che ha guidato il dossier per il Parlamento, parla di "primo intervento normativo al mondo che vieta in modo esplicito una intera categoria di applicazioni di IA per i danni che producono".
Cosa cambia in concreto per le aziende italiane
Per chi sviluppa o usa sistemi di IA, l'effetto pratico del Digital Omnibus è duplice. Da un lato si guadagna tempo: una banca che usa un sistema di scoring del credito, un'azienda di trasporto pubblico che adotta riconoscimento facciale per la sicurezza, una scuola che valuta studenti con strumenti algoritmici avranno un anno e mezzo in più per costruire la documentazione tecnica, il sistema di gestione del rischio, le valutazioni d'impatto sui diritti fondamentali e le procedure di sorveglianza umana richieste dal capitolo III.
Dall'altro, però, alcuni obblighi restano fissi. Gli articoli 5 (pratiche vietate) e 4 (alfabetizzazione del personale), già in vigore dal 2 febbraio 2025, non si toccano. Le aziende che operano nel mercato italiano sono inoltre già tenute a rispettare la legge 132/2025, in vigore dal 10 ottobre scorso, e il decreto ministeriale 180/2025 del Ministero del Lavoro sull'uso dell'IA nei luoghi di lavoro, due fonti che non vengono toccate dal Digital Omnibus.
Le critiche: "L'Europa scappa dalle proprie regole"
Non tutti hanno accolto bene il rinvio. Lo studio legale White & Case, che ha analizzato il testo, parla di "semplificazione razionale" ma osserva che il segnale politico è ambiguo: l'UE ha rivendicato per anni il primato regolatorio sull'IA e oggi posticipa proprio quando i grandi laboratori americani e cinesi corrono. Centri come la Fondazione Cdt e gli osservatori italiani Agenda Digitale e Punto Informatico hanno parlato apertamente di cedimento alle lobby industriali, ricordando come solo a febbraio il commissario Henna Virkkunen avesse escluso ogni rinvio.
I prossimi passaggi formali
L'accordo politico non è ancora legge: deve essere ratificato dal Parlamento europeo in plenaria (presumibilmente a luglio 2026), poi dal Consiglio. Solo dopo la pubblicazione in Gazzetta Ufficiale dell'UE, attesa per settembre o ottobre, le nuove date entreranno in vigore. Le aziende che hanno già iniziato i processi di conformità non sono tenute a fermarsi: l'AI Act resta legge, e l'AI Office sta proseguendo i controlli sui fornitori di modelli per uso generale (GPAI) come OpenAI, Google, Anthropic, Mistral. Sulla GPAI, infatti, gli obblighi tecnici sono già operativi dal 2 agosto 2025 e l'enforcement vero e proprio entrerà in funzione il 2 agosto 2026: su quel fronte, niente sconti.
Resta sul tavolo un'ultima incognita: la delega prevista dall'articolo 24 della legge italiana 132/2025 affida al Governo l'adozione, entro ottobre 2026, di decreti legislativi di attuazione. Se il Digital Omnibus europeo dovesse uscire prima, l'esecutivo italiano potrebbe doverlo già recepire dentro la propria delega, con un effetto domino che renderebbe lo scenario regolatorio italiano sull'IA ancora più complesso.
