Digital Omnibus: il Parlamento europeo approva. Cosa cambia per le PMI italiane
Il 16 giugno 2026 il Parlamento europeo ha approvato il Digital Omnibus con 423 voti favorevoli, 57 contrari e 174 astensioni. Non è ancora diritto vigente — mancano l'adozione formale del Consiglio e la pubblicazione in Gazzetta Ufficiale — ma il consenso politico è consolidato. Per le PMI italiane cambia soprattutto la mappa delle scadenze.
Avevamo seguito il pacchetto passo per passo: prima con l'analisi del pacchetto di semplificazione Omnibus, poi con l'accordo politico provvisorio del 7 maggio 2026. Ora il voto in plenaria chiude la fase parlamentare. Questo articolo spiega cosa è stato approvato, cosa manca ancora e — soprattutto — cosa cambia sul piano operativo.
Cosa ha votato il Parlamento europeo
Il voto del 16 giugno ha adottato l'emendamento di compromesso n. 118; nessun altro emendamento è stato adottato. La posizione del Parlamento riflette quindi l'accordo già raggiunto tra le istituzioni in sede di trilogo, ai sensi dell'art. 294 TFUE. Il risultato numerico — 423 sì, 57 no, 174 astensioni — riflette un consenso politico meno compatto rispetto al mandato negoziale, ma sufficiente.
Il testo modifica il Regolamento (UE) 2024/1689 (AI Act) su tre assi principali:
- Nuovi divieti all'art. 5: divieto esplicito di sistemi AI destinati o utilizzati per creare o manipolare contenuti intimi non consensuali (nudification) e materiale di abuso sessuale su minori (CSAM). Il perimetro riguarda la funzione del sistema, non solo la diffusione dei contenuti, che resta disciplinata anche da altri regimi normativi (DSA, diritto penale).
- AI literacy (art. 4): il Digital Omnibus sostituisce l'obbligo di "garantire" un livello di alfabetizzazione individuale con quello di "adottare misure volte a sostenere lo sviluppo dell'AI literacy" — un approccio organizzativo e proporzionato al rischio, più praticabile per le PMI.
- Poteri dell'AI Office: estensione delle competenze di supervisione dell'AI Office europeo, in particolare sui modelli GPAI (general-purpose AI) e sui fornitori di sistemi ad alto rischio.
Cosa manca ancora prima che sia legge
L'approvazione parlamentare è un passaggio fondamentale ma non finale. Prima che il Digital Omnibus entri in vigore devono completarsi tre fasi:
- Adozione formale del Consiglio: il Consiglio dell'Unione europea deve adottare il testo nella stessa versione approvata dal Parlamento. Non è richiesto un nuovo negoziato, ma la procedura formale ha i suoi tempi amministrativi.
- Firma dei presidenti: il testo viene firmato congiuntamente dal Presidente del Parlamento europeo e dal Presidente del Consiglio.
- Pubblicazione in Gazzetta Ufficiale dell'UE: solo dalla data di pubblicazione in GU il regolamento entra in vigore e iniziano a decorrere i termini di applicazione.
Fino a quel momento, il Regolamento (UE) 2024/1689 rimane invariato nelle sue date originali. Chi si è organizzato per agosto 2026 ha fatto bene — e se il Digital Omnibus dovesse incontrare ritardi nella fase di adozione formale, quelle scadenze resterebbero operative.
La nuova mappa delle scadenze (se e quando il Digital Omnibus sarà in vigore)
Assumendo che il Consiglio adotti e la GU pubblichi nei tempi attesi, il Digital Omnibus ridisegna il calendario AI Act come segue:
| Data | Scadenza | Soggetti coinvolti |
|---|---|---|
| 2 dic 2026 | Nuovi divieti art. 5 (nudification/CSAM) + obbligo di marcatura machine-readable contenuti AI sintetici (art. 50(2)) | Provider e deployer di sistemi interattivi, generatori di contenuti |
| 2 dic 2027 | Sistemi ad alto rischio Allegato III stand-alone (credito, HR, istruzione, biometria, giustizia) | Provider e deployer di sistemi Allegato III autonomi |
| 2 ago 2028 | Sistemi AI incorporati come componenti in prodotti Allegato I (dispositivi medici, macchinari, veicoli) | Produttori manifatturieri con certificazione di terze parti |
Rispetto al calendario originale, lo slittamento più significativo per le PMI di servizi riguarda i sistemi Allegato III: da agosto 2026 a dicembre 2027, ovvero 16 mesi in più per completare inventario sistemi, documentazione tecnica, supervisione umana e log retention.
Il dettaglio che molte PMI trascurano: i nuovi divieti art. 5
Il Digital Omnibus non si limita a spostare scadenze. Aggiunge due nuove categorie di pratiche AI proibite. La prima riguarda i sistemi AI destinati o utilizzati per creare o manipolare immagini, video o audio intimi non consensuali di persone identificabili (cosiddetti "nudifying tools"). La seconda proibisce sistemi AI destinati alla creazione assistita di CSAM (Child Sexual Abuse Material). Il perimetro del divieto si focalizza sulla funzione del sistema: la disciplina della diffusione dei contenuti ricade anche su altri regimi normativi (DSA, diritto penale degli Stati membri).
Queste nuove proibizioni entrano in vigore il 2 dicembre 2026, non slittano al 2027. Per la maggior parte delle PMI non è una scadenza che riguarda i propri sistemi interni. Diventa però rilevante per:
- Piattaforme di contenuto generativo che permettono la creazione di immagini realistiche di persone — devono verificare che i sistemi in uso non consentano questo tipo di output.
- Provider di API di generazione immagini/video — devono aggiornare i termini di servizio e i meccanismi di filtraggio dei contenuti.
- Deployer di sistemi di avatar o sintesi vocale — rientra nella valutazione del rischio la possibilità di utilizzo abusivo.
Cosa fare adesso — posizione operativa raccomandata
La finestra tra l'approvazione parlamentare e l'adozione formale del Consiglio è una opportunità di pianificazione, non di pausa. Le PMI che si trovavano in corsa per agosto 2026 possono ora gestire la compliance con più respiro, ma il lavoro preparatorio rimane lo stesso.
Le azioni prioritarie da completare entro fine 2026:
- Inventario sistemi AI in uso: completare o aggiornare la mappatura di tutti i sistemi acquistati o utilizzati, con classificazione rispetto agli Allegati I e III. Non è un adempimento one-shot — il mercato SaaS si evolve rapidamente e il catalogo va tenuto aggiornato.
- Verifica fornitori su art. 50(2) (marcatura machine-readable): il Digital Omnibus sposta al 2 dicembre 2026 l'obbligo per i provider di assicurare che i sistemi generativi producano output marcati in formato machine-readable. Se usate tool di generazione immagini, sintesi testi o voice synthesis rivolti agli utenti finali, verificate che il fornitore abbia già implementato la marcatura. Gli altri obblighi dell'art. 50 seguono il calendario originario dell'AI Act.
- Aggiornamento informative per sistemi interattivi: se il sito aziendale usa chatbot o assistenti AI, aggiornare le informative agli utenti (art. 50(1)). Questa scadenza non è slittata con il Digital Omnibus — è già in vigore dal 2 agosto 2026.
- Piano di AI literacy (art. 4): il Digital Omnibus riformula l'obbligo — da "garantire" competenze individuali ad "adottare misure" per supportarne lo sviluppo. L'approccio è organizzativo: mappare i sistemi AI usati, classificare gli utenti per ruolo e rischio, definire policy d'uso, avviare percorsi formativi differenziati e documentarne le evidenze. Non si improvvisa a ridosso della scadenza.
- Contratti fornitori SaaS: anche se la scadenza Allegato III si sposta al 2027, i contratti con i fornitori vanno aggiornati ora, mentre il potere negoziale è più alto. Richiedere clausole di compliance e disclosure della documentazione tecnica prima del rinnovo.
Sanzioni: i massimali restano, ma l'AI Office riceve più poteri
I massimali generali dell'art. 99 rimangono invariati rispetto all'AI Act originario:
- Pratiche proibite (art. 5): fino a €35M o 7% del fatturato globale
- Obblighi high-risk / deployer: fino a €15M o 3%
- Informazioni false ad autorità: fino a €7,5M o 1%
Per le PMI si applica il minore tra soglia assoluta e percentuale (art. 99(6)). Il Digital Omnibus rafforza però i poteri dell'AI Office nell'applicazione di misure, richieste informative, ispezioni e sanzioni per i soggetti rientranti nella sua competenza — in particolare per i fornitori di modelli GPAI e sistemi collegati a piattaforme di larga scala. Sul piano nazionale, la Legge 132/2025 ha designato AgID e ACN nel sistema di governance dell'IA; l'operatività concreta dei poteri sanzionatori va monitorata fino all'adozione definitiva dei decreti attuativi.
Fonti
- Parlamento europeo — AI Act: approvate misure di semplificazione e divieto delle app di nudification (16 giugno 2026)
- Consiglio UE — ST-10599-2026-INIT: nota sulla posizione del Parlamento in prima lettura (17 giugno 2026)
- NicFab — Digital Omnibus sull'IA: il Parlamento europeo approva il testo concordato (16 giugno 2026)
- Regolamento (UE) 2024/1689 — AI Act, testo ufficiale EUR-Lex
- Art. 5 AI Act — pratiche proibite (annotato)
- Art. 50 AI Act — obblighi di trasparenza
- Legge 132/2025 — AI Resources (sistema nazionale di governance dell'IA)
- Colombo — Digital Omnibus AI: il nuovo art. 4 sull'AI literacy e la formazione aziendale (LinkedIn Pulse)
Costruiamo insieme la tua postura di compliance AI Act
Inventario sistemi, gap analysis sui fornitori, policy interne di supervisione e formazione: un percorso strutturato per non arrivare impreparati alle scadenze.
Parla con noi →