Il negoziato europeo sul Digital Omnibus si è arenato di nuovo. Il trilogue del 28 aprile 2026, convocato con l’obiettivo di chiudere il dossier prima della pubblicazione in Gazzetta Ufficiale prevista per luglio, si è concluso senza accordo politico dopo circa dodici ore di lavori tra Parlamento europeo, Consiglio e Commissione. Un nuovo round è fissato per il 13 maggio, con la Presidenza cipriota del Consiglio chiamata a trovare un’intesa entro la fine del proprio mandato.
Il contesto in cui si svolge questo stallo è tutt’altro che neutro. L’AI Act è entrato in vigore nell’agosto 2024 e i suoi obblighi più rilevanti stanno entrando nella fase di applicazione progressiva. Il Digital Omnibus, presentato dalla Commissione europea il 19 novembre 2025, era stato concepito come un pacchetto di semplificazione che toccava più dossier contemporaneamente: oltre all’AI Act, anche il GDPR, la direttiva ePrivacy e il Data Act. L’obiettivo dichiarato era ridurre gli oneri regolatori per le imprese europee, in un momento in cui la competizione con Stati Uniti e Asia si fa sempre più stringente. La logica di fondo era chiara: meno burocrazia, più capacità di innovare. Quello che non era stato risolto è come farlo senza svuotare le tutele costruite in anni di negoziati.
Il nodo tecnico che ha bloccato tutto
Il punto che ha impedito l’accordo riguarda l’Allegato I dell’AI Act, in particolare la struttura delle valutazioni di conformità per i sistemi di intelligenza artificiale incorporati in prodotti già soggetti a normative settoriali. Dispositivi medici, macchinari industriali, diagnostica in vitro, giocattoli connessi: sono questi i settori al centro della disputa. Il Parlamento europeo, sostenuto attivamente dall’industria, spinge per rendere le normative di settore il percorso primario di conformità, spostando di fatto questi sistemi fuori dall’ambito diretto dell’AI Act. Il Consiglio non ha trovato convergenza su questa impostazione, ritenendo che una simile riformulazione strutturale vada ben oltre il perimetro di un intervento tecnico di semplificazione. La distanza tra le due posizioni è rimasta tale da bloccare l’intero pacchetto, anche su punti dove le parti avevano già raggiunto un’intesa di massima.
Dietro la disputa tecnica c’è una questione di sostanza che riguarda direttamente le garanzie per i cittadini.
Le normative di settore tradizionali sono costruite per valutare la sicurezza fisica, tecnica e funzionale di un prodotto. L’AI Act ha invece introdotto un livello aggiuntivo di obblighi specifici per l’intelligenza artificiale: governance dei dati, trasparenza, sorveglianza umana, tutela dei diritti fondamentali, accuratezza e gestione del rischio. Togliere questi sistemi dall’ombrello diretto del regolamento significa affidarsi a strumenti normativi che non sempre sono stati progettati per intercettare i rischi propri dell’IA. Oltre quaranta organizzazioni per i diritti digitali e civili avevano già scritto al Parlamento a metà aprile, chiedendo di non compromettere l’integrità del regolamento su questo punto. Il lead negotiator del Parlamento europeo, Michael McNamara, aveva riconosciuto pubblicamente che la sovrapposizione di regole può essere difficile da gestire, ma aveva avvertito che spostare la governance dell’IA nelle normative settoriali potrebbe produrre un effetto deregolatorio, non semplificatorio.
Imprese in attesa, scadenze ancora in vigore
Per chi gestisce un programma di compliance, il messaggio che arriva da Bruxelles è univoco: la scadenza del 2 agosto 2026 per gli obblighi sui sistemi ad alto rischio è ancora legalmente in vigore. Il Digital Omnibus avrebbe spostato quella data al 2 dicembre 2027 per i sistemi standalone inclusi nell’Allegato III, che comprende applicazioni in ambiti come biometria, infrastrutture critiche, istruzione, occupazione, servizi essenziali, forze dell’ordine e gestione delle frontiere. Per i sistemi incorporati in prodotti regolati, il rinvio sarebbe arrivato al 2 agosto 2028. Finché l’Omnibus non viene formalmente adottato e pubblicato in Gazzetta Ufficiale, nessuna di queste nuove scadenze ha valore giuridico. Chi aveva strutturato i propri piani contando su un alleggerimento degli obblighi deve ora fare i conti con il quadro normativo esistente, così come è stato scritto nel 2024. Lo stallo genera anche una pressione asimmetrica sul mercato: le grandi piattaforme tecnologiche dispongono delle risorse legali, tecniche e organizzative per adattarsi a qualsiasi scenario normativo, mentre le PMI europee subiscono in modo diretto i costi dell’incertezza prolungata. Una semplificazione mal calibrata, in questo contesto, rischia di avvantaggiare proprio gli operatori più strutturati, lasciando le imprese di dimensione media senza una rotta chiara. Se il 13 maggio non produrrà un’intesa e nessun accordo sarà raggiunto entro giugno, la Presidenza lituana del Consiglio subentrerà con il compito di riprendere il negoziato da capo, con il rischio concreto che le modifiche non vengano approvate prima che gli obblighi originali diventino esecutivi. Il prossimo appuntamento è tra due settimane e il margine per chiudere prima della scadenza si restringe ad ogni sessione andata a vuoto.
