Digital Omnibus e AI Act: accordo UE sulle misure di semplificazione e sul divieto dei sistemi di “nudificazione”
Il percorso di attuazione dell’AI Act entra in una nuova fase. Il Parlamento europeo e il Consiglio hanno raggiunto un accordo provvisorio su alcune modifiche al Regolamento europeo sull’intelligenza artificiale, nell’ambito del pacchetto Digital Omnibus.
L’intervento mira a semplificare l’applicazione di alcune disposizioni, ridurre sovrapposizioni regolatorie e differire l’entrata in applicazione di specifici obblighi, mantenendo però l’impianto generale dell’AI Act e il suo approccio basato sul rischio.
Il primo profilo di rilievo riguarda i sistemi di intelligenza artificiale ad alto rischio. In base all’accordo, gli obblighi relativi ai sistemi ad alto rischio riconducibili ai casi d’uso dell’Allegato III dovrebbero applicarsi dal 2 dicembre 2027, e non più dal 2 agosto 2026. Si tratta, tra gli altri, dei sistemi che coinvolgono la biometria o che sono utilizzati in settori quali infrastrutture critiche, istruzione, lavoro, forze dell’ordine e gestione delle frontiere.
Per i sistemi di IA utilizzati come componenti di sicurezza e disciplinati dalla normativa settoriale dell’Unione in materia di sicurezza e sorveglianza del mercato, l’applicazione degli obblighi verrebbe invece rinviata al 2 agosto 2028.
Un ulteriore rinvio riguarda gli obblighi di watermarking dei contenuti generati dall’intelligenza artificiale. L’accordo prevede l’applicazione dal 2 dicembre 2026, con l’obiettivo di consentire l’adozione di tecniche idonee a rendere rilevabili e tracciabili i contenuti sintetici.
Di particolare rilievo è anche l’introduzione del divieto dei sistemi di IA destinati alla creazione di materiale pedopornografico o alla rappresentazione delle parti intime di una persona identificabile, o della stessa persona coinvolta in attività sessualmente esplicite, senza il suo consenso. Il divieto riguarda l’immissione sul mercato UE di sistemi destinati a creare tali contenuti, l’immissione sul mercato di sistemi privi di adeguate misure di sicurezza per impedirne la generazione e l’uso di tali sistemi da parte degli operatori per produrre contenuti di questa natura.
L’accordo interviene inoltre su altri punti applicativi dell’AI Act: la riduzione delle sovrapposizioni con la disciplina di sicurezza delle macchine, la delimitazione della nozione di “componente di sicurezza”, la possibilità di trattare dati personali quando strettamente necessario per individuare e correggere bias con adeguate garanzie, l’estensione di alcune esenzioni previste per le PMI anche alle small mid-cap enterprises e la razionalizzazione dell’enforcement di alcuni sistemi di IA per finalità generali presso l’AI Office europeo.
La portata dell’accordo è significativa perché incide direttamente sui tempi di adeguamento per imprese, fornitori di soluzioni tecnologiche, pubbliche amministrazioni e soggetti che utilizzano sistemi di IA in contesti organizzativi complessi.
Resta però essenziale distinguere tra il contenuto dell’accordo politico e il quadro giuridico effettivamente vigente. L’accordo dovrà infatti essere formalmente adottato da Parlamento europeo e Consiglio prima di poter entrare in vigore. Fino a quel momento, le organizzazioni dovrebbero continuare a presidiare le attività di mappatura, classificazione e governance dei sistemi di IA, tenendo conto delle possibili modifiche ma senza considerarle ancora definitivamente operative.
Per imprese e PA, la semplificazione non elimina la necessità di prepararsi. Al contrario, il tempo aggiuntivo dovrebbe essere utilizzato per consolidare inventari dei sistemi di IA, ruoli e responsabilità interne, procedure di valutazione del rischio, presìdi privacy, controlli sui fornitori e misure di trasparenza verso utenti e soggetti interessati.
