Il 7 maggio 2026 il Consiglio dell’Unione Europea e il Parlamento Europeo hanno raggiunto un accordo provvisorio sul cosiddetto Digital Omnibus, un pacchetto di semplificazione normativa che modifica in modo significativo l’Artificial Intelligence Act (AI Act), il regolamento europeo che disciplina lo sviluppo e l’utilizzo dell’intelligenza artificiale. Un’intesa che ridisegna scadenze, responsabilità e strumenti di governance, con implicazioni concrete per ogni organizzazione – pubblica o privata – che opera con sistemi di IA sul territorio europeo.
Si parla tanto di intelligenza artificiale, spesso in termini tecnici o visionari. Molto meno spesso ci si sofferma su una domanda decisiva: chi è responsabile di garantire che questi sistemi siano sicuri, trasparenti e conformi alle regole? È una domanda a cui l’Europa ha cercato di rispondere con l’AI Act, il primo quadro normativo organico al mondo sull’IA. E ora, a circa un anno dalla sua entrata in vigore progressiva, quel quadro viene aggiornato, non nei principi fondamentali, ma nelle scadenze e nei meccanismi di applicazione.
Per le imprese italiane, pubbliche e private, il Digital Omnibus non è quindi un tema solo giuridico. È un passaggio operativo. Perché riguarda il modo in cui le organizzazioni dovranno mappare i propri sistemi di intelligenza artificiale, classificare i rischi, verificare i fornitori, documentare i processi e costruire una governance capace di accompagnare l’innovazione.
In altre parole, non basta più “usare l’AI”. Bisogna essere in grado di dimostrare come la si usa, perché la si usa e con quali garanzie.
Per capire cosa sta cambiando, e soprattutto cosa significa per le imprese e le istituzioni italiane, è utile partire dall’inizio.
Che cos’è il Digital Omnibus e perché è nato?
Il Digital Omnibus è un pacchetto di semplificazione normativa presentato dalla Commissione Europea il 19 novembre 2025 con l’obiettivo di rendere più coerente e competitivo il quadro regolatorio digitale dell’Unione Europea. La finalità dichiarata è alleggerire gli oneri amministrativi, ridurre le sovrapposizioni tra normative diverse e creare condizioni più favorevoli per le imprese, soprattutto le piccole e medie, nell’adottare e sviluppare tecnologie digitali all’interno del mercato unico europeo.
Il pacchetto interviene su diverse aree strategiche: protezione dei dati personali, cybersicurezza, gestione e condivisione dei dati, identità digitale e intelligenza artificiale. In particolare, la Commissione ha proposto modifiche tecniche e mirate a normative già esistenti, tra cui il GDPR, il quadro europeo sulla cybersicurezza e l’AI Act – Regolamento UE 2024/1689, con l’obiettivo di ridurre sovrapposizioni, chiarire obblighi applicativi e semplificare gli adempimenti, soprattutto per PMI e aziende innovative.
AI Act: il quadro europeo sull’intelligenza artificiale
Per comprendere la portata del Digital Omnibus, è utile tornare al punto di partenza: l’AI Act.
Il Regolamento UE 2024/1689 è il primo quadro normativo organico al mondo dedicato all’intelligenza artificiale. Pubblicato nella Gazzetta Ufficiale dell’Unione Europea il 12 luglio 2024, l’AI Act introduce un approccio basato sul rischio: più elevato è l’impatto potenziale di un sistema di AI su persone, diritti, sicurezza o servizi essenziali, più stringenti sono gli obblighi per chi lo sviluppa, lo distribuisce o lo utilizza.
La logica è semplice: non tutti i sistemi di intelligenza artificiale sono uguali. Un filtro antispam, un chatbot aziendale, un sistema di supporto alla diagnosi medica o un algoritmo utilizzato per selezionare candidati in un processo di assunzione non hanno lo stesso livello di rischio. Per questo il regolamento distingue tra sistemi a rischio minimo, sistemi soggetti a specifici obblighi di trasparenza, sistemi ad alto rischio e pratiche vietate.
Le nuove scadenze: più tempo per adeguarsi ai sistemi ad alto rischio
Il cuore dell’accordo provvisorio del 7 maggio 2026 riguarda il rinvio delle scadenze. L’AI Act prevedeva originariamente che gli obblighi per i sistemi ad alto rischio – quelli elencati nell’Allegato III del regolamento – entrassero in applicazione il 2 agosto 2026. Un termine che molte imprese, soprattutto le PMI, faticavano a rispettare in assenza di standard tecnici definitivi e di una guidance applicativa chiara da parte delle autorità.
Con l’accordo provvisorio sul Digital Omnibus, il calendario viene riscritto.
Il nuovo assetto prevede, in sintesi, alcune tappe fondamentali:
- 2 dicembre 2026
Entrata in vigore del watermarking obbligatorio per i contenuti generati dall’IA (contenuti sintetici, deepfake audiovisivi). Slittamento di circa quattro mesi rispetto al termine originario. Proroga di tre mesi per i sistemi già immessi sul mercato.
- 2 agosto 2027
Nuovo termine per l’attivazione delle sandbox normative (spazi di sperimentazione regolamentata per PMI e scale-up nello sviluppo di soluzioni AI conformi). Spostato di dodici mesi rispetto al termine originario del 2 agosto 2026.
- 2 dicembre 2027
Applicazione degli obblighi per i sistemi di AI ad alto rischio autonomi, inclusi sistemi biometrici, di gestione delle infrastrutture critiche, di selezione del personale, e di accesso all’istruzione.
- 2 agosto 2028
Applicazione degli obblighi per i sistemi ad alto rischio integrati in prodotti regolati, come dispositivi medici, macchinari industriali, veicoli e giocattoli.
Si tratta di un aggiustamento sostanziale. Il punto non è quindi rinviare indefinitamente la compliance. Il punto è dare alle imprese il tempo necessario per trasformare gli obblighi normativi in processi reali, misurabili e integrati nell’organizzazione.
Per le aziende italiane, questo significa una cosa molto concreta: il tempo guadagnato non va interpretato come una pausa, ma come una fase di preparazione.
Trasparenza e watermarking: identificare i contenuti generati dall’IA
Uno degli aspetti più concreti dell’AI Act riguarda la trasparenza dei contenuti generati dall’intelligenza artificiale. In un contesto in cui testi, immagini, audio e video sintetici diventano sempre più realistici, diventa essenziale poter riconoscere quando un contenuto è stato prodotto o manipolato da un sistema di IA. È il caso, ad esempio, dei deepfake audiovisivi, dei contenuti generativi utilizzati nella comunicazione digitale o delle immagini sintetiche diffuse online.
Il Digital Omnibus conferma questo principio, ma ne rende più graduale l’applicazione. L’obbligo di rendere identificabili i contenuti generati dall’IA (Digital Watermarking) viene infatti posticipato al 2 dicembre 2026, con l’obiettivo di dare a imprese e sviluppatori il tempo necessario per adottare soluzioni tecniche efficaci e coerenti con gli standard europei. La direzione resta chiara: rafforzare la fiducia nell’ecosistema digitale e contrastare i rischi legati alla disinformazione, alla manipolazione dei contenuti e all’uso improprio dell’intelligenza artificiale. Come indicato dal Consiglio dell’Unione Europea, l’accordo provvisorio punta a semplificare l’applicazione delle regole senza ridurre il livello di protezione previsto dall’AI Act.
Per le imprese, questo significa che l’utilizzo dell’IA nella produzione di contenuti non potrà più essere lasciato a iniziative isolate o non presidiate. Marketing, comunicazione, customer service, formazione e documentazione aziendale dovranno dotarsi di policy interne chiare: quando dichiarare l’uso dell’IA, quali contenuti sottoporre a controllo umano, quali strumenti utilizzare e come garantire tracciabilità e responsabilità.
Sandbox e governance: innovare in un ambiente più sicuro
Un altro punto centrale dell’accordo riguarda le sandbox normative, cioè ambienti di sperimentazione regolamentata in cui imprese, PMI e scale–up possono testare sistemi di intelligenza artificiale con il supporto delle autorità competenti. L’attivazione delle sandbox viene rinviata al 2 agosto 2027, ma il loro ruolo diventa ancora più importante: offrire uno spazio sicuro per sviluppare soluzioni innovative, verificare la conformità prima dell’immissione sul mercato e ridurre il rischio di errori interpretativi.
Per il tessuto produttivo italiano, composto in larga parte da PMI e filiere industriali in trasformazione digitale, questo strumento può rappresentare un’opportunità concreta. Le sandbox permettono di avvicinare innovazione e compliance, evitando che la regolazione venga percepita solo come un vincolo. La Commissione Europea, nella proposta sul Digital Omnibus on AI Regulation, parla infatti di misure mirate per rendere l’attuazione dell’AI Act più proporzionata, tempestiva e sostenibile per le organizzazioni.
Accanto alle sandbox, il Digital Omnibus rafforza anche il coordinamento europeo attraverso l’AI Office, l’ufficio della Commissione dedicato all’attuazione dell’AI Act e alla supervisione dei modelli di intelligenza artificiale per finalità generali. L’obiettivo è ridurre frammentazioni, sovrapposizioni e incertezze applicative tra i diversi Stati membri, offrendo alle imprese un quadro più coerente per pianificare gli adeguamenti.
Cosa devono fare ora le imprese italiane
L’accordo del 7 maggio 2026 è ancora provvisorio: dovrà essere formalmente adottato da Parlamento Europeo e Consiglio, sottoposto a revisione giuridico-linguistica e pubblicato nella Gazzetta Ufficiale dell’Unione Europea. Tuttavia, le nuove scadenze offrono già un’indicazione chiara: il tempo guadagnato non deve essere interpretato come una pausa, ma come una fase utile per prepararsi.
Le imprese italiane dovrebbero partire da una mappatura dei sistemi di IA già in uso o in sviluppo, classificandoli in base al livello di rischio previsto dall’AI Act. Questo passaggio è essenziale per capire quali strumenti rientrano tra i sistemi ad alto rischio e quali, invece, sono soggetti a obblighi più leggeri di trasparenza. Il Regolamento UE 2024/1689 adotta infatti un approccio basato sul rischio: più elevato è l’impatto potenziale di un sistema su diritti, sicurezza o servizi essenziali, più stringenti sono gli obblighi per fornitori e utilizzatori.
Allo stesso tempo, sarà necessario definire ruoli e responsabilità interne: chi approva l’adozione di nuovi strumenti di IA, chi verifica la conformità dei fornitori, chi gestisce la documentazione tecnica, chi monitora i rischi e chi aggiorna le procedure aziendali. La compliance AI non riguarda solo l’ufficio legale o l’area IT, ma coinvolge governance, cybersecurity, procurement, risorse umane, marketing e direzione aziendale.
Dalla compliance alla fiducia digitale
In conclusione, il Digital Omnibus non riduce l’importanza dell’AI Act, ma ne rende l’applicazione più graduale e sostenibile. La direzione europea resta quella di un’intelligenza artificiale affidabile, sicura e trasparente, capace di favorire l’innovazione senza sacrificare diritti fondamentali, sicurezza e responsabilità.
Per le imprese italiane, importante non è soltanto adeguarsi a nuove scadenze, ma costruire una governance dell’IA capace di trasformare la compliance in un fattore di competitività. Mappare i sistemi, valutare i rischi, controllare i fornitori, documentare i processi e garantire supervisione umana significa ridurre l’incertezza e rafforzare la fiducia di clienti, partner e istituzioni.
In questo scenario si inserisce l’impegno di Olidata, orientato allo sviluppo di soluzioni tecnologiche che uniscono innovazione, sicurezza e capacità di governo dei sistemi digitali. Perché il futuro dell’intelligenza artificiale non dipenderà solo dalla potenza dei modelli, ma dalla capacità delle organizzazioni di renderli affidabili, controllabili e coerenti con i propri obiettivi.
La vera sfida, oggi, non è semplicemente adottare l’IA. È creare le condizioni perché l’IA possa generare valore in modo sicuro, trasparente e duraturo.