Il quadro normativo europeo sull’intelligenza artificiale continua a evolversi. Mesi fa, quando avevamo analizzato l’AI Act e le sue implicazioni per le aziende in un altro nostro articolo, alcune questioni su tempistiche, modalità di adeguamento e coordinamento con altre normative attendevano ancora definizione. Oggi la Commissione Europea interviene con il Digital Omnibus: un pacchetto normativo che tocca AI Act, GDPR e sicurezza in un colpo solo.
In questo articolo analizziamo i punti principali del pacchetto, con un focus sulle novità legate all’AI Act e sulle ricadute operative per chi gestisce contenuti, dati e processi digitali.
Il Digital Omnibus è un pacchetto normativo europeo che punta a semplificare e coordinare le regole su intelligenza artificiale, dati e sicurezza. La logica è ridurre attriti tra regole diverse e chiarire come si incastrano requisiti, controlli e responsabilità tra AI, dati e privacy.
Per le aziende, l’impatto si misura in tre aspetti molto concreti: tempistiche di adeguamento, prove da conservare e coerenza tra norme (soprattutto quando l’AI usa dati o produce contenuti che finiscono su canali diversi). Agenda Digitale racconta la sfida in questi termini: aiutare le aziende senza indebolire i diritti, con un equilibrio che resta al centro del dibattito pubblico.
Sul piano pratico, il tema interessa chiunque gestisca contenuti, dati e processi perché l’intelligenza artificiale sta diventando un livello di intermediazione sempre più presente tra brand e utenti. In quel contesto, la differenza tra “essere presenti” ed “essere affidabili” passa da quanto un’azienda riesce a mantenere strutturate, coerenti e tracciabili le informazioni pubblicate.
L’iter del pacchetto Digital Omnibus è ancora in corso: pubblicazioni, proposte, discussioni e approvazioni parziali si susseguono. Unioncamere lo racconta con un taglio orientato alla semplificazione del quadro digitale, utile per contestualizzare il tema senza perdersi nei dettagli tecnici.
Per un’azienda, la parte utile dell’iter non è inseguire ogni titolo, ma capire quali punti sono già abbastanza chiari da avviare attività interne e quali invece dipendono ancora dalla normativa finale.
La connessione con l’AI Act è diretta: il Digital Omnibus viene letto spesso come un tentativo di rendere più gestibile, per le imprese, la fase di adeguamento prevista dalle nuove regole sull’intelligenza artificiale, tenendo conto di costi, complessità e interazioni con privacy e sicurezza.
Il Digital Omnibus interviene su più fronti, alcuni dei quali riguardano direttamente chi opera con sistemi AI, gestisce dati o pubblica contenuti su più canali. Le novità toccano tempistiche di adeguamento, requisiti di trasparenza per i contenuti generati, semplificazioni per le imprese di dimensioni intermedie e aggiornamenti su cyber security e privacy.
Le novità principali riguardano:
Vediamo cosa comportano nella pratica.
Uno dei punti discussi è la proroga fino a 16 mesi per mettersi in regola con gli obblighi legati ai sistemi ad alto rischio. La scadenza originale era fissata al 2 agosto 2026: con la proroga proposta, il termine slitterebbe a dicembre 2027. In termini operativi, questo non riduce l’impegno, ma sposta il focus sulla capacità di trasformare requisiti in processi verificabili: ruoli, controlli, audit, gestione dei fornitori e documentazione pronta.
In questa cornice viene citata anche una proposta di semplificazione e revisione dell’AI Act che interviene sugli obblighi per i sistemi ad alto rischio e rafforza elementi di governance e il raccordo con privacy, legando più strettamente AI Act e GDPR. Il punto sostanziale, per le aziende, è che la conformità smette di essere “solo legale” e diventa una capacità dimostrabile nel tempo.
Un altro aggiornamento discusso riguarda l’intelligenza artificiale generativa e i requisiti di watermarking, ovvero la marcatura che identifica un contenuto come generato dall’intelligenza artificiale. È previsto un periodo transitorio di 6 mesi per i fornitori soggetti a questi obblighi, quindi fino a febbraio 2027. In pratica, i contenuti generati o modificati dall’AI dovranno essere riconoscibili come tali: per le aziende significa dotarsi di processi che permettano di sapere cosa è stato prodotto con strumenti di AI generativa, cosa è stato adattato manualmente, chi lo ha approvato e su quali canali è stato distribuito.
Quando la produzione di contenuti accelera, la trasparenza diventa un tema di filiera: sapere cosa è stato generato, cosa è stato adattato, chi lo ha approvato e dove è stato pubblicato. È lo stesso tipo di logica che, nell’AI Act, emergeva attraverso etichette e log: non come “formalità”, ma come strumenti per ricostruire responsabilità e decisioni.
Il pacchetto introduce una nuova categoria di imprese, le SMCs (small mid-cap enterprises), accanto alle PMI. L’idea è estendere a queste realtà alcune semplificazioni previste per le PMI, riconoscendo che esiste una fascia “intermedia” con complessità reale ma risorse non paragonabili a quelle dei grandi gruppi.
Questo punto sposta la discussione dalla “compliance uguale per tutti” a una compliance più proporzionata. Per chi lavora in aziende di questa fascia, significa che requisiti e tempi potrebbero essere affrontati con maggiore gradualità e con un carico più coerente con struttura e dimensione.
Il Digital Omnibus non si limita ad aggiornare l’AI Act: tocca anche cyber security, identità digitale e privacy. Tra le proposte, un portale unico UE per le segnalazioni di incidenti di cyber security e data breach, e lo sviluppo di un portafoglio digitale aziendale verso una “identità unica” più integrata.
Sul fronte GDPR, resta molto dibattuto anche il tema dei cookie banner e di una possibile riduzione della loro invasività. Wired Italia lo inquadra esplicitamente nel confronto tra semplificazione e rischio di deregolamentazione, mettendo in evidenza quanto sia delicato intervenire su consenso e tracciamento. Ma per le aziende il “banner” non è mai l’unico elemento: conta la catena completa di raccolta, gestione delle preferenze e prova del consenso.
Il Digital Omnibus punta a rendere l’adeguamento più realistico per le aziende, soprattutto in una fase in cui l’AI entra nei processi quotidiani e si intreccia con dati, sicurezza e responsabilità. Il dibattito resta aperto su dove finisca la semplificazione utile e dove inizi una deroga che indebolisce tutele: l’equilibrio, qui, è la sostanza.
Nell’attesa dei passaggi successivi dell’iter, l’approccio più robusto non è inseguire la singola notizia, ma costruire abitudini organizzative che restino sempre valide: chiarezza su dove l’AI sia usata, tracciabilità di contenuti e dei dati che ne alimentano i processi, responsabilità esplicite su approvazioni e controlli. È un lavoro che riduce sorprese e rende più semplice dimostrare “cosa è stato fatto” quando serve.
Oltre la compliance, va sorvegliato anche come l’AI stia ridisegnando la relazione tra brand e utenti. Protocolli e agent stanno diventando un nuovo livello di intermediazione: chi riesce a mantenere i propri contenuti e le informazioni di prodotto strutturati, coerenti e facilmente leggibili da questi sistemi avrà un vantaggio concreto in termini di visibilità e conversione.
In questo scenario, la coerenza dei dati è sempre di più una condizione per non essere penalizzati nelle logiche di ricerca e suggerimento che questi sistemi adottano. È il tipo di lavoro che piattaforme come THRON, progettate per integrare gestione degli asset e informazioni di prodotto in un unico ambiente, permettono di affrontare senza moltiplicare strumenti e complessità.
Cos’è il Digital Omnibus?
È un pacchetto di proposte UE che mira a rendere più coerente e semplificare il quadro normativo digitale, intervenendo su temi che includono intelligenza artificiale, GDPR e sicurezza.
Cosa propone il Digital Omnibus rispetto all’AI Act?
Introduce o discute aggiornamenti che impattano soprattutto su tempistiche e modalità di adeguamento per le aziende, con attenzione a governance e coordinamento con altre norme.
Cosa cambia per le aziende e i “sistemi ad alto rischio” in materia di Intelligenza Artificiale?
Tra i punti discussi compare una proroga (fino a 16 mesi) per l’adeguamento dei sistemi ad alto rischio, con un’attenzione crescente alla capacità di dimostrare controlli, responsabilità e documentazione.
Cosa comporta il Digital Omnibus per aziende e PMI?
Viene citata l’introduzione di una categoria intermedia (SMCs) e l’estensione di alcune semplificazioni previste per le PMI, con l’obiettivo di rendere gli obblighi più proporzionati.
Quando entrerà in vigore il Digital Omnibus?
L’AI Act prevedeva l’entrata in vigore degli obblighi di trasparenza e di quelli sui sistemi ad alto rischio il 2 agosto 2026. Il Digital Omnibus introdurrebbe proroghe di 6 mesi per il watermarking (febbraio 2027) e fino a 16 mesi per i sistemi ad alto rischio (dicembre 2027). Nel frattempo, ha senso prepararsi con processi e responsabilità interne che restano validi anche in caso di aggiustamenti normativi.
Come prepararsi all’adeguamento previsto dal Digital Omnibus?
Indipendentemente dalle tempistiche finali, ha senso assicurarsi che asset digitali e informazioni di prodotto siano gestiti in modo strutturato, coerente e tracciabile. Piattaforme come THRON, che integrano DAM e PIM in un unico ambiente, permettono di mantenere il controllo su cosa viene pubblicato, dove e con quali approvazioni.