Riceviamo e pubblichiamo un’analisi di Giuseppe Vaciago, partner di 42 Law Firm
La proposta di revisione contenuta nel Digital Omnibus introduce interventi significativi sia sull’AI Act sia, indirettamente, sul GDPR. Tre sono gli assi fondamentali su cui si concentrano i cambiamenti: la disciplina dei sistemi ad alto rischio, l’obbligo di AI literacy, e la ridefinizione del dato pseudonimo.
Sistemi di IA ad alto rischio
Il cuore dell’AI Act rimane la classificazione dei sistemi ad alto rischio, ma il Digital Omnibus mira a rendere meno rigida e più sostenibile l’entrata in vigore delle relative misure attraverso:
- lo slittamento delle scadenze: l’applicazione degli obblighi per provider e deployer viene rinviata, con scadenze che si spostano dal 2026 al 2027–2028.
- una maggiore flessibilità per la valutazione del rischio: se un sistema ricade in un settore “alto rischio” ma, in base alla documentazione del provider, l’uso concreto non presenta rischi elevati, non sarà più necessario registrarlo nel database pubblico UE. Resta però l’obbligo di fornire prove della valutazione su richiesta.
- Proporzionalità negli adempimenti: soprattutto per PMI, che potranno beneficiare di sanzioni ridotte e procedure più leggere.
Il risultato è un impianto più “morbido”, che non rinuncia all’impianto risk-based ma lo rende più dinamico e negoziabile.
AI Literacy: un sorprendente passo indietro
La versione originaria dell’AI Act prevedeva obblighi specifici per provider e deployer di garantire un livello adeguato di alfabetizzazione sull’IA a utenti e personale interno. La proposta di modifica interviene in modo drastico. Non è più un obbligo giuridico per operatori e imprese, ma una responsabilità generica della Commissione e degli Stati membri, che dovranno “promuovere” l’AI literacy. Ai provider/deployer viene solo “suggerito” di incoraggiare misure formative.
Questa trasformazione riduce la portata della norma e fa emergere un’evidente incoerenza: mentre l’impianto del regolamento si fonda sulla responsabilità dell’operatore, l’alfabetizzazione – che è condizione essenziale per esercitare tale responsabilità – viene di fatto depotenziata.
Dato pseudonimo: verso un allentamento del GDPR
Sul fronte GDPR, il Digital Omnibus apre a una possibile revisione di grande impatto: i dati pseudonimizzati potrebbero uscire in parte dal perimetro applicativo del GDPR, in determinate condizioni.
Significa, in prospettiva avere minori vincoli per l’utilizzo del dato nel training dei modelli, una minore rigidità nell’applicare principi come minimizzazione e limitazione delle finalità, quando l’identificazione non è possibile senza informazioni aggiuntive e un potenziale allineamento tra mondo dei “big data” e requisiti normativi.
È un passaggio che risponde a un’esigenza industriale ma che, allo stesso tempo, rischia di comprimere alcune garanzie sostanziali, soprattutto nel momento in cui tecniche di re-identificazione diventano sempre più sofisticate.
Competitività e sovranità digitale: un equilibrio difficile
La logica complessiva della revisione è chiara: rendere l’Europa più competitiva in un panorama globale dominato da Stati Uniti e Cina.
La Commissione europea sembra aver interiorizzato un messaggio che, da anni, proviene dall’industria: l’Europa rischia di essere troppo lenta, troppo formale, troppo frammentata.
Il problema, però, è duplice: la competitività non si costruisce solo riducendo obblighi. Senza un ecosistema formativo – ed è qui che l’AI Literacy avrebbe avuto un ruolo decisivo – rischiamo di avere regole più leggere ma operatori meno consapevoli, e dunque meno capaci di competere.
Il Brussels Effect alla prova
Questo nuovo impianto normativo dovrà confrontarsi con un interrogativo decisivo: il modello europeo continuerà a influenzare il mondo, o questa fase di allentamento ne indebolirà l’autorevolezza?
Il “Brussels Effect” – la capacità dell’UE di imporre standard globali – nasce da un equilibrio tra tutela dei diritti, rigore normativo e capacità di governance. Se questo equilibrio si sposta troppo sul versante della flessibilità, rischia di perdere potere attrattivo e di trasformarsi in un “Brussels Compromise”: una mediazione interna più che una guida globale.
Il vero punto politico è questo: l’Europa vuole ancora essere lo standard-setter mondiale o preferisce diventare un regolatore “leggero” per inseguire innovazione e competitività? La risposta a questa domanda determinerà la traiettoria dell’AI Act negli anni a venire e, più in generale, il ruolo dell’Europa nell’economia digitale globale.
