Marcus Belke
CEO di 2B Advice GmbH, che guida l'innovazione nella privacy conformità e di gestione del rischio e di guidare lo sviluppo di Ailance, la nuova generazione di prodotti per la salute. conformità piattaforma.
Il 19 novembre 2025 la Commissione europea ha presentato il „Digital Omnibus”. L'obiettivo è quello di semplificare e armonizzare il quadro normativo digitale dell'UE. Tra le altre cose, le norme esistenti in materia di intelligenza artificiale (IA), sicurezza informatica e utilizzo dei dati saranno semplificate, in modo da ridurre la burocrazia e lasciare più spazio all'innovazione alle imprese. Vi presentiamo le modifiche più importanti.
Proroga dei termini di attuazione per i sistemi ad alto rischio
Il regolamento sull'IA adotta un approccio basato sul rischio e definisce i sistemi di IA ad alto rischio utilizzati, ad esempio, in settori critici per la sicurezza, nell'istruzione, nelle risorse umane o nei dispositivi medici. La proposta omnibus prevede che gli obblighi per tali applicazioni ad alto rischio entrino in vigore più tardi di quanto inizialmente previsto. L'inizio degli obblighi per i sistemi di IA di cui all'allegato III del regolamento sull'IA (ad esempio nel settore delle infrastrutture critiche, dell'istruzione o della gestione delle risorse umane) sarà posticipato di quasi un anno e mezzo: dal 2 agosto 2026 al 2 dicembre 2027. Per i sistemi di IA ad alto rischio di cui all'allegato I (IA integrata in prodotti già regolamentati come macchine, dispositivi medici o autoveicoli), l'applicazione è rinviata di un anno, dal 2 agosto 2027 al 2 agosto 2028.
Queste proroghe hanno lo scopo di concedere alle imprese più tempo per l'attuazione. Tuttavia, sono possibili anche scadenze anticipate: non appena saranno disponibili strumenti di supporto adeguati (standard, Linee guida) e la Commissione lo decide, le disposizioni relative all'alto rischio entreranno in vigore prima (dopo un periodo transitorio di 6 mesi per i sistemi dell'allegato III e di 12 mesi per i sistemi dell'allegato I). In ogni caso, si applicano date di scadenza fisse: al più tardi a partire dal Dicembre 2027 rispettivamente. Agosto 2028 devono essere rispettati tutti gli obblighi ad alto rischio.
Rilevanza pratica: i giuristi e i team di compliance dovrebbero adeguare di conseguenza i piani di attuazione dei progetti di IA. Le proroghe concordate su richiesta di diversi Stati membri (in particolare Germania e Francia) dovrebbero dare un po' di respiro ai fornitori europei nella corsa all'IA e nella standardizzazione.
Allo stesso tempo, però, si crea incertezza nella pianificazione, poiché è possibile un'applicazione anticipata non appena saranno disponibili gli standard tecnici. Le aziende devono quindi seguire attentamente la normativa e reagire in modo flessibile nel caso in cui la Commissione attivi anticipatamente le norme ad alto rischio. Nel complesso, il rinvio attenua la pressione di attuazione a breve termine senza rinunciare al livello di protezione. Infatti, tutti i requisiti dovranno essere soddisfatti entro il 2028.
Armonizzazione della classificazione dei rischi
L'Omnibus mira inoltre a integrare meglio la classificazione dei rischi legati all'IA con i principi della protezione dei dati. In particolare, occorre tracciare una linea coerente per quanto riguarda il trattamento dei set di dati di addestramento, i requisiti di qualità dei dati, i controlli di bias e la tracciabilità dei sistemi di IA. L'idea guida è che gli sviluppatori e gli operatori di IA possano orientarsi a un quadro normativo coerente, invece di dover soddisfare parallelamente requisiti potenzialmente contraddittori derivanti dalla normativa sull'IA e dalla normativa sulla protezione dei dati. In pratica, si sta anche valutando la possibilità di esentare i componenti di IA in settori già rigorosamente regolamentati dalla doppia regolamentazione. Ad esempio, le applicazioni di IA che fanno parte di un dispositivo medico o di una macchina potrebbero essere esentate da determinati obblighi ad alto rischio o essere classificate in modo diverso. In questo modo si riconoscerebbe che questi settori dispongono già di propri regimi di vigilanza e sicurezza.
Rilevanza pratica: per la consulenza ciò significa che in futuro i requisiti di conformità specifici del settore (ad esempio quelli derivanti dalla normativa sui dispositivi medici o dalla direttiva macchine) potranno in parte sovrapporsi o soddisfare gli obblighi previsti dal regolamento sull'IA. Ciò ridurrebbe il doppio lavoro. D'altra parte, cresce l'importanza della classificazione dei dati: le aziende dovrebbero distinguere chiaramente se lavorano con dati anonimi, pseudonimizzati o personali. Da ciò dipende infatti quali regole si applicano. Una chiara Anonimizzazione può ridurre significativamente i rischi e gli obblighi. Infatti, una distinzione più precisa tra dati anonimi e dati personali è considerata fondamentale. Chi pseudonimizza o anonimizza i dati in modo affidabile riduce notevolmente i rischi legali. I responsabili della protezione dei dati saranno quindi coinvolti ancora più da vicino nei progetti di IA per garantire che i principi di protezione dei dati come Minimizzazione dei dati, Stanziamento di fondi e la qualità dei dati siano integrate sin dall'inizio nella valutazione e nella classificazione dei rischi dei sistemi di IA.
Contrassegno dei contenuti generati dall'intelligenza artificiale
Uno dei requisiti fondamentali in materia di trasparenza previsti dal regolamento sull'IA è quello di contrassegnare come tali i contenuti sintetici o generati dall'IA. Ciò può avvenire, ad esempio, mediante avvertenze o filigrane su immagini, video o testi generati dall'IA. Tale obbligo (art. 50, paragrafo 2, del regolamento sull'IA) rimane sostanzialmente invariato. La proposta omnibus concede tuttavia un periodo transitorio. Di conseguenza, fino al 2 febbraio 2027 le autorità di vigilanza del mercato non potranno applicare sanzioni per la mancata etichettatura. Ciò crea di fatto un periodo di grazia per i fornitori di IA generativa. Ciò riguarda anche gli operatori di IA per uso generico (LLM) che generano, ad esempio, testi, immagini o contenuti audio. Le aziende hanno quindi più tempo per implementare soluzioni tecniche di etichettatura, come filigrane digitali o marcatori di metadati, che indicano in modo leggibile da una macchina che un contenuto è stato generato o manipolato artificialmente.
Rilevanza pratica: grazie alla proroga, i fornitori e gli utenti di IA generativa (ad esempio le aziende che utilizzano strumenti di IA per la creazione di contenuti) ottengono una dilazione per adempiere ai propri obblighi di trasparenza. I responsabili della conformità dovrebbero sfruttare questo tempo per implementare e testare procedure di etichettatura adeguate prima che, a partire dal 2027, siano applicate sanzioni pecuniarie. Per i giuristi, la proroga riduce a breve termine il rischio di responsabilità per i contenuti generati dall'IA. Tuttavia, è consigliabile agire in modo proattivo già ora. Trasparenza per conquistare la fiducia degli utenti e dei partner commerciali.
Eliminazione dell'obbligo di formazione interna
Finora l'articolo 4 del regolamento sull'IA prevedeva che i fornitori e gli utenti di sistemi di IA dovessero garantire che i propri dipendenti disponessero di competenze sufficienti in materia di IA. Questo obbligo di formazione dovrebbe ora essere completamente abolito. Di conseguenza, l'articolo 4 del regolamento sull'IA, già in vigore dalla pubblicazione del regolamento, verrebbe abrogato. Al posto dell'obbligo, ci sarà solo un invito agli Stati membri a incoraggiare le aziende a qualificare volontariamente i propri dipendenti in materia di IA. In altre parole, la legge non prescrive più programmi di formazione interna sull'IA, ma si limita a formulare raccomandazioni non vincolanti.
Rilevanza pratica: l'abolizione di questo obbligo alleggerisce immediatamente il carico delle aziende. Non sussiste più il rischio di essere perseguiti legalmente per la mancanza di formazione dei dipendenti in materia di IA. I reparti di compliance possono ridurre il carico di lavoro relativo alla formazione obbligatoria e trasferire le risorse ad altri settori di compliance. Tuttavia, dal punto di vista pratico è necessaria cautela. Infatti, anche senza un obbligo di legge, le autorità di vigilanza si aspettano implicitamente che il personale chiave comprenda i rischi e i requisiti operativi dei sistemi di IA. Le aziende dovrebbero quindi continuare a investire nella formazione dei propri dipendenti. Non come requisito di conformità rigoroso, ma come parte integrante di una buona governance, al fine di evitare un uso improprio dell'IA.
Suggerimento di lettura: Competenza in materia di IA e obblighi aziendali ai sensi dell'art. 4 del regolamento sull'IA
Semplificazioni nella documentazione e nella gestione della qualità
Il regolamento sull'IA impone ai fornitori di IA ad alto rischio di redigere una documentazione tecnica completa, valutazioni dei rischi e un sistema di gestione della qualità (QM) per dimostrare la conformità. Già nell'atto originale erano previste alcune agevolazioni per le piccole e medie imprese (PMI). Il Digital Omnibus estende ora queste eccezioni alle cosiddette „Small Mid-Cap Companies“ (SMC). Si tratta di aziende con un massimo di 749 dipendenti e un fatturato annuo massimo di 150 milioni di euro. In futuro, quindi, anche le medie imprese di fascia alta potranno beneficiare di obblighi di documentazione e monitoraggio ridotti. Inoltre, è previsto che, in caso di violazioni, le sanzioni pecuniarie per tali imprese possano essere inferiori rispetto a quelle previste per le grandi imprese (una sorta di scala mobile dell'importo della sanzione in base alle dimensioni dell'impresa).
Rilevanza pratica: questa estensione dei privilegi delle PMI rappresenta per molte aziende una gradita riduzione degli oneri di conformità. In particolare, le medie imprese tecnologiche che hanno superato la soglia delle PMI non sono tenute a soddisfare immediatamente tutti gli obblighi di documentazione in modo rigoroso. Per i team addetti alla conformità, ciò significa un minor carico burocratico nella preparazione della documentazione tecnica e nella creazione di processi di qualità simili a quelli ISO. Tuttavia, le aziende che si avvalgono delle deroghe dovrebbero verificare attentamente e documentare il rispetto dei valori soglia (numero di dipendenti, fatturato/totale di bilancio). Tale classificazione potrebbe dover essere verificata in caso di controllo. Inoltre, l'obiettivo principale delle aziende privilegiate rimane quello di fornire un sistema di IA sicuro e conforme alle norme. Le agevolazioni non modificano la responsabilità di soddisfare in modo sostanziale tutti i requisiti ad alto rischio, anche se in forma semplificata.
Chiarimenti in materia di trasparenza e informazione (RGPD)
Parallelamente al regolamento sull'IA, il pacchetto Omnibus migliora alcuni obblighi di trasparenza nel Protezione dei dati, il che ha un impatto indiretto sui progetti di IA, poiché molte applicazioni di IA si basano su dati personali. Pertanto, Persone responsabili secondo il progetto, in futuro potranno rifiutare richieste manifestamente infondate o eccessive da parte degli interessati o richiedere una commissione. L'onere della prova che si tratti di richieste di informazioni abusive in massa spetta al responsabile, ma questa possibilità di difesa risponde alla pratica delle lettere tipo automatizzate, che in alcuni casi vengono utilizzate come mezzo di pressione.
Inoltre, è prevista un'eccezione alle Obbligo di informazione agire quando Dati personali sono state raccolte in un rapporto chiaramente definito tra la persona e il responsabile e si può presumere che la persona sia già in possesso delle informazioni essenziali (ad esempio nel contesto lavorativo o nel caso di clienti esistenti già informati).
Rilevanza pratica: per i responsabili della protezione dei dati e gli uffici legali ciò significa un alleggerimento del carico di lavoro nell'elaborazione delle richieste degli interessati. In futuro le aziende potranno difendersi meglio dai „troll delle informazioni” o dalle richieste ripetute e irrilevanti, risparmiando così risorse preziose. Ciò è particolarmente rilevante nei progetti di IA, che spesso elaborano grandi quantità di dati. L'attenzione può concentrarsi su aspetti sostanziali. Trasparenza anziché dover soddisfare incondizionatamente ogni richiesta formalmente possibile. È tuttavia importante motivare e documentare chiaramente un rifiuto o l'obbligo di pagare i costi, al fine di poter resistere in caso di dubbio dinanzi alle autorità di vigilanza. L'eccezione alle Obbligo di informazione impedisce inoltre doppie istruzioni in situazioni in cui Parti interessate conoscono già lo scopo del trattamento dei dati. Ciò può essere rilevante, ad esempio, nel caso di applicazioni di IA di piccole dimensioni e facilmente gestibili nell'ambito di un rapporto di lavoro. Nel complesso, questi adeguamenti promuovono una maggiore efficienza. Trasparenza, che continua a fornire informazioni utili alle persone interessate senza sovraccaricare le aziende di formalità.
Prospettive: quando entreranno in vigore le nuove norme sull'IA?
La proposta formale della Commissione europea è stata presentata il 19 novembre 2025. Successivamente, seguirà l'iter legislativo ordinario dell'UE: il Parlamento europeo e il Consiglio degli Stati membri discuteranno il progetto e infine lo approveranno. È probabile che le proposte subiscano ulteriori modifiche, poiché sono già in corso discussioni controverse e i garanti della privacy mettono in guardia da un indebolimento della protezione dei dati.
Al momento non è possibile indicare con certezza una data precisa a partire dalla quale le nuove norme entreranno in vigore. Gli scenari più ottimistici prevedono che la riforma potrebbe essere approvata entro la fine del 2026. A seconda dell'andamento dei negoziati, potrebbe entrare in vigore al più presto nel 2027.
Fonte: Omnibus digitale sulla proposta di regolamentazione dell'IA
Ailance AI Governance è pronta per la conformità AI
Anche se il Digital Omnibus posticipa le scadenze e alleggerisce alcuni obblighi di documentazione, il nucleo del regolamento sull'IA rimane invariato.
Le aziende devono sapere, dove L'IA funziona, Quali dati essere trattati, quali rischi esistono e come modelli vengono monitorati. Proprio questi Trasparenza non può essere recuperato all'ultimo minuto.
Ailance AI Governance aiuta ad attuare questi requisiti in modo strutturato e senza attriti: Un inventario AI centralizzato, valutazioni automatizzate dei rischi, mappe modello integrate e approvazioni a prova di revisione. Il tutto in un flusso di lavoro che alleggerisce il carico di lavoro dei team e rende pianificabili gli audit.
Saremo lieti di mostrarvi come Ailance AI Governance aiuta le aziende a gestire l'intelligenza artificiale in modo sicuro e conforme.
German 
English 
Italian 
French