Il 19 novembre 2025 la Commissione europea ha presentato una proposta di regolamento per la semplificazione dell’attuazione delle norme armonizzate sull’intelligenza artificiale (c.d. Digital Omnibus on IA).
Il documento si inserisce nel più ampio quadro degli interventi volti a garantire una piena ed efficace attuazione del Regolamento (UE) 2014/1689 (c.d. Digital Package on Simplification), volendo risolvere le difficoltà operative e semplificare gli oneri regolatori che le imprese europee stanno incontrando nella fase di implementazione.
In primo luogo, il piano estende le agevolazioni già previste per le piccole e medie imprese (PMI) anche alle small mid-caps (SMCs), con l’obiettivo di ridurre i costi di conformità e potenziare la loro crescita.
L’elemento di maggior rilievo è rappresentato dalla previsione di un meccanismo di adattamento temporale (c.d. stop-the-clock), che rinvia l’applicazione degli obblighi più stringenti per i sistemi c.d. ad alto rischio finché non saranno disponibili standard armonizzati e linee guida tecniche. Tale misura mira a evitare che le imprese debbano conformarsi “al buio”, in assenza di parametri chiari, ma solleva interrogativi in termini di tutela dei diritti fondamentali e responsabilità in caso di utilizzo di tecnologie potenzialmente dannose.
Sul versante della governance, poi, il documento attribuisce all’AI Office competenze centralizzate di supervisione ed enforcement per specifiche categorie di sistemi di IA – in particolare, per quelli aventi finalità generali e quelli integrati nelle piattaforme online di grandi dimensioni – al fine di assicurare un’applicazione più omogenea delle norme.
Tra le novità più significative spicca il nuovo articolo 4 dedicato all’AI literacy, l’alfabetizzazione sull’intelligenza artificiale. La Commissione propone di rendere obbligatorio un livello adeguato di formazione per il personale coinvolto nello sviluppo, nella gestione e nell’utilizzo dei sistemi IA. La formazione dovrà essere calibrata sul tipo di tecnologia utilizzata, sul contesto in cui opera e sul grado di responsabilità dei soggetti coinvolti. Questo passaggio introduce un principio fondamentale: la sicurezza e l’affidabilità dei sistemi non dipendono soltanto dagli algoritmi, ma anche dalla capacità degli esseri umani di comprenderli, governarli e utilizzarli in modo appropriato.
Infine, la proposta introduce l’art. 4a, relativo al trattamento di dati sensibili ai fini della prevenzione dei bias discriminatori nei sistemi di intelligenza artificiale ad alto rischio. La Commissione prevede la possibilità, in circostanze eccezionali, di utilizzare dati quali l’origine etnica, le convinzioni religiose o lo stato di salute soltanto quando non sia possibile ricorrere a dati anonimi o sintetici. L’accesso a tali informazioni sottoposto a rigide garanzie ed è subordinato a stringenti misure di sicurezza, alla piena riservatezza, al divieto di condivisione con soggetti terzi, all’obbligo di cancellazione al termine delle attività e alla conservazione di documentazione dettagliata in conformità al GDPR. Tale previsione rappresenta un tentativo di contemperare la necessità tecnica di identificare e correggere distorsioni algoritmiche con la tutela dei diritti fondamentali degli interessati.
Sul piano penalistico, il documento presenta due conseguenze di rilievo.
Da un lato, il rinvio degli obblighi per i sistemi ad alto rischio può generare nuove aree di rischio: l’utilizzo di algoritmi privi dei requisiti di conformità sanciti dall’AI Act potrebbe dar vita a nuove situazioni di potenziale danno, discriminazione o malfunzionamento, con possibili conseguenze in termini di responsabilità della persona fisica o dell’ente.
Dall’altro lato, l’alleggerimento degli obblighi documentali può ridurre la possibilità di tracciare ex post i processi decisionali dei sistemi dell’AI, limitando la capacità di ricostruire in dettaglio la dinamica di un eventuale evento dannoso, di identificare tutti i passaggi e di attribuire correttamente le responsabilità ai diversi soggetti interessati. Tale tracciabilità risulta fondamentale per accertare il nesso causale e valutare, anche nell’ambito di procedimenti penali, la conformità agli obblighi normativi e la diligenza organizzativa adottata.
In ottica di compliance, la proposta conferma la necessità di integrare nei modelli organizzativi aziendali (compresi i modelli ex d.lgs. 231/2001) strumenti di risk assessment tecnologico, audit periodici, procedure di data governance, incident reporting e sistemi di controllo interno in grado di dimostrare la conformità non solo formale, ma sostanziale, ai principi dell’AI Act.
Nel complesso, il documento del 19 novembre 2025 rappresenta un passaggio decisivo per il nuovo quadro regolatorio in materia di AI con forti ricadute su tutti i destinatari degli obblighi: alleggerisce l’onere regolatorio, ma richiede alle imprese un impegno ancora più rigoroso nella governance dei sistemi di intelligenza artificiale e nella prevenzione dei rischi, in un contesto in cui i profili penalistici e di responsabilità diventano sempre più centrali.
La proposta della Commissione europea per la semplificazione dell’attuazione delle norme armonizzate sull’intelligenza artificiale definisce dunque un passo significativo verso una maggiore attuabilità e chiarezza normativa, offrendo alle imprese strumenti per ridurre gli oneri amministrativi e tempi più flessibili per l’adeguamento ai requisiti dell’AI Act.