Richiedi una demo
Contatta il dipartimento vendite
Parola chiave di ricerca
Parola chiave di ricerca
Richiedi una demo
Contatta il dipartimento vendite

Webinar su richiesta in arrivo…

Blog

Il Digital Omnibus dell'Unione europea propone di posticipare le scadenze per la compliance in materia di IA

A seguito delle pressioni esercitate sia dall'Unione europea che da altri Paesi, l'iniziativa mira a snellire il corpus normativo digitale

20 novembre 2025

EU flag flying in front of a government building

Indice

La Commissione europea ha pubblicato due importanti proposte che potrebbero trasformare il modo in cui le organizzazioni che operano all'interno dell'UE affrontano la governance dell'IA, la protezione dei dati, la segnalazione degli incidenti di sicurezza informatica e il consenso all'utilizzo dei cookie. Conosciute collettivamente come proposta di regolamento Digital Omnibus e proposta di regolamento Digital Omnibus sull'IA, questi aggiornamenti mirano a semplificare il regolamento digitale europeo, rafforzando allo stesso tempo la protezione degli utenti e la fiducia nel mercato.

Queste proposte introducono cambiamenti significativi a cui prestare attenzione. Continua a leggere per scoprire cosa è successo, le prospettive future e l'impatto sulla tua azienda e sui tuoi clienti.

 

Quali sono i cambiamenti proposti dal Digital Omnibus della Commissione europea?

La Commissione europea ha proposto aggiornamenti legislativi radicali in cinque aree molto importanti:

  • obblighi per i sistemi di IA ad alto rischio previsti dalla legge dell'UE sull'IA;
  • diritti degli interessati;
  • valutazioni d'impatto sulla protezione dei dati (DPIA);
  • segnalazione degli incidenti informatici;
  • regole relative al consenso all'utilizzo dei cookie.

L'UE ha ufficialmente proposto di rinviare l'applicazione dei requisiti relativi ai sistemi di IA ad alto rischio, posticipando le scadenze principali dal 2026 al 2027.

Per un'analisi più dettagliata dell'intero ambito di applicazione del Digital Omnibus, visita DataGuidance.

Questo cambiamento non significa un indebolimento della legge sull'IA. La Commissione sta invece ristrutturando l'introduzione della legge per allinearla all'effettiva preparazione dell'ecosistema in termini di standard, autorità, linee guida e strumenti, consentendo alle organizzazioni di conformarsi in modo più realistico.

 

Perché l'UE vuole prorogare le scadenze della legge sull'IA? 

Quando è stata adottata la legge sull'intelligenza artificiale, il piano prevedeva che gli obblighi per i sistemi ad alto rischio fossero introdotti gradualmente entro il 2 agosto 2026, con la piena applicazione entro il 2 agosto 2027. Tuttavia, le infrastrutture necessarie per garantire la conformità non sono state realizzate in tempo.

Le lacune principali includono:

  • l'assenza di standard tecnici armonizzati;
  • l'assenza di specifiche e strumenti di semplificazione comuni;
  • molti Stati membri dell'UE non dispongono ancora di autorità di controllo operative;
  • le aziende non hanno segnalato alcun modo pratico per soddisfare gli obblighi del 2026;
  • i Paesi che per primi hanno adottato la legge hanno confermato che le linee guida e i percorsi di valutazione erano insufficienti.

Poiché l'ecosistema di conformità dell'UE in materia di IA non era pronto, non era possibile far rispettare le scadenze del 2026. Il Digital Omnibus propone quindi periodi di transizione prolungati e un'applicazione condizionata, che dipendono dalla disponibilità di norme e orientamenti ufficiali.

 

Il rinvio delle scadenze renderà meno efficace la legge dell'UE sull'IA? 

Anziché ricorrere a rinvii generalizzati, la Commissione sta introducendo proroghe strutturate e definite giuridicamente. Queste misure ritarderanno collettivamente la maggior parte delle misure di applicazione per i sistemi ad alto rischio fino al 2027, garantendo allo stesso tempo il mantenimento delle protezioni fondamentali previste dalla legge sull'IA.

 

1. Applicazione legata a standard e linee guida

Gli obblighi per i sistemi ad alto rischio non entreranno in vigore fino a quando non saranno stati messi a punto strumenti di conformità essenziali, quali standard armonizzati e linee guida della Commissione. In questo modo le organizzazioni non sono costrette a conformarsi sulla base di mere supposizioni.

 

2. Tempo aggiuntivo per le categorie complesse ad alto rischio

In considerazione della loro dipendenza da norme in fase di elaborazione, ai sistemi ad alto rischio definiti nell'articolo 6, punto 1, e nell'allegato I sono concessi periodi di transizione più lunghi.

 

3. Proroga di sei mesi per le filigrane digitali dell'IA generativa

Il termine ultimo per il rilevamento automatico dei contenuti generati dall'intelligenza artificiale (articolo 50, punto 2) è stato posticipato al febbraio 2027 per i sistemi già presenti sul mercato.

 

4. Obblighi ridotti per le piccole e medie imprese e le società di piccola/media capitalizzazione

Il corretto adeguamento della documentazione, dei sistemi di gestione della qualità, del monitoraggio successivo all'immissione sul mercato e delle aspettative in materia di supervisione umana sta dando alle aziende più piccole il tempo necessario per conformarsi.

Dimensioni delle aziende

  • Piccole: massimo 50 dipendenti e fino a 10 milioni di euro di fatturato. 
  • Medie: massimo 250 dipendenti e fino a 50 milioni di euro di fatturato. 
  • Piccola/media capitalizzazione: massimo 750 dipendenti e fino a 150 milioni di euro di fatturato.

L'Unione europea propone inoltre di eliminare l'obbligo per i fornitori e i deployer di garantire che il personale abbia competenze in materia di IA, attribuendo tale responsabilità alla Commissione e agli Stati membri. Una nuova modifica al GDPR consentirebbe di utilizzare l'interesse legittimo come base giuridica per l'addestramento dei modelli di IA in condizioni specifiche. Nel loro insieme, queste modifiche ritarderebbero di un anno l'applicazione delle misure per i sistemi ad alto rischio.

 

Impatto su altre aree

Segnalazione degli incidenti

Per quanto riguarda la segnalazione degli incidenti, le norme stabilite dal NIS2, dal DORA, dall'eIDAS, dal CRA e dal GDPR sono eccessivamente complesse. Il Digital Omnibus propone una semplificazione significativa:

  • creazione di un unico punto di accesso per la segnalazione degli incidenti in tutte le principali leggi in materia digitale;
  • obbligo di notifica delle violazioni del GDPR solo in caso di rischio elevato;
  • estensione del termine per la notifica da 72 a 96 ore;
  • implementazione di un unico modello standard a livello UE per le notifiche di violazione.

Le organizzazioni sarebbero inoltre tenute a utilizzare lo stesso punto di accesso per le notifiche GDPR.

 

Regole relative al consenso all'utilizzo dei cookie

Per contrastare l'effetto di assuefazione ai banner dei cookie, le disposizioni passano dalla direttiva ePrivacy al GDPR.

Gli aggiornamenti principali includono:

  • un elenco di casi in cui non è richiesto il consenso;
  • un'opzione con un solo clic per rifiutare i cookie;
  • nessuna richiesta ripetuta di consenso per almeno sei mesi dopo il rifiuto;
  • un quadro di riferimento per segnali di privacy leggibili dal browser che i siti web devono rispettare una volta che gli standard saranno stati definiti.

Ciò cambierà radicalmente il modo in cui i vendor gestiscono l'analisi, valutano l'engagement e definiscono l'esperienza utente per il consenso.

 

Diritti degli interessati

I titolari del trattamento possono ora rifiutare o addebitare commissioni per richieste:

  • manifestamente infondate;
  • eccessive;
  • ripetitive;
  • abusive;
  • impropriamente utilizzate per scopi non legati alla protezione dei dati (ad es. richieste di accesso strumentalizzate).

Ciò dovrebbe ridurre il carico amministrativo e l'abuso nell'esercizio del diritto di accesso.

 

Valutazioni d'impatto sulla protezione dei dati (DPIA)

Il Digital Omnibus propone di sostituire 27 diversi elenchi nazionali di DPIA con un unico elenco a livello europeo.  Questo uniforma i criteri e riduce la complessità della conformità dei trasferimenti transfrontalieri.

 

In che modo la Commissione è arrivata a formulare questa proposta?

Considerando tutte le questioni, si possono individuare tre grandi temi.

 

1. L'incertezza si è trasformata in un ostacolo

In assenza di standard e autorità nazionali, le organizzazioni non erano in grado di pianificare concretamente.

 

2. Le aziende preferivano rinvii circoscritti, non una riapertura della legge

La riapertura della legge sull'IA rischia di indebolire la certezza del diritto. Un'estensione ristretta è ritenuta più sicura.

 

3. La mancanza di uniformità è diventata una preoccupazione seria

I diversi gradi di preparazione tra gli Stati membri dell'UE minacciavano di creare un'applicazione disomogenea, in contraddizione con l'obiettivo della legge sull'IA di un mercato unico armonizzato.

 

Cosa ci prospetta il futuro

Le proposte devono ottenere l'approvazione del Consiglio europeo, del Parlamento e della Commissione. Ciò implica che le modifiche definitive potrebbero differire in modo significativo da quanto oggi previsto. L'orientamento attuale introduce una strategia di applicazione più flessibile.

  • I regolamenti per i sistemi di IA ad alto rischio non verranno applicata nel 2026.
  • Gli obblighi principali sono posticipati al 2027, collegati a specifici obiettivi di preparazione.
  • L'applicazione può seguire condizioni come:
    • 6 mesi dopo l'approvazione delle pertinenti norme dell'allegato III;
    • 12 mesi dopo l'approvazione delle norme dell'allegato I.
  • Se le tappe di preparazione subiscono ritardi, entrano in vigore le scadenze vincolanti:
    • il 2 dicembre 2027 per i sistemi coperti dall'allegato III;
    • il 2 agosto 2028 per i sistemi coperti dall'allegato I.

L'Unione europea propone inoltre di eliminare l'obbligo per i fornitori e i deployer di garantire che il personale abbia competenze in materia di IA, attribuendo tale responsabilità alla Commissione e agli Stati membri.

Una nuova modifica al GDPR consentirebbe di utilizzare l'interesse legittimo come base giuridica per l'addestramento dei modelli di IA in condizioni specifiche.

In risposta alle richieste provenienti dall'interno e dall'esterno dell'UE, la Commissione ha riconosciuto l'incertezza e l'impreparazione causate dall'attuale legislazione. Tali norme possono essere applicate solo quando l'ecosistema è in grado di sostenerne realisticamente il rispetto. La proposta non costituisce un tentativo di indebolire la legislazione, bensì una ricalibrazione strutturale. 

Per saperne di più sul Digital Omnibus e su cosa significa per la tua azienda, registrati a questo webinar.

Altre risorse che potrebbero interessarti

Cover of an eBook with misc charts and graphs on it atop a multi gradient green background

Costruire rapporti di fiducia nell'era dell'intelligenza artificiale: una guida al consenso, alla privacy e all'eccellenza nell'uso dei first-party data

Consent & Preferences
eBook
Illustration of a report atop a multi gradient blue background

Il rapporto 2025 sulla governance adatta all'intelligenza artificiale

AI Governance
Report
Photo of abstract architecture behind a purple overlay with a play button

OneTrust con OneTrust: gestione dell'IA

AI Governance
Webinar

Ricerche più frequenti

Risorse

Piattaforma

Azienda

Contattaci

Questioni relative alla privacy

Il nostro centro per la privacy consente di vedere facilmente come
raccogliamo e utilizziamo i tuoi dati.

La tua privacy

Quando raccogliamo i dati personali, ti informiamo sempre dei tuoi diritti e facciamo in modo che tu possa esercitarli facilmente. Ove possibile, ti consentiamo anche di gestire le tue preferenze sulla quantità di dati che scegli di condividere con noi o con i nostri partner.

© {{CURRENT_DATE}} OneTrust, LLC. Tutti i diritti riservati.

Webinar su richiesta in arrivo…

Le nostre policy

I tuoi diritti