Abstract
Il regolamento di modifica dell’AI Act, presentato dalla Commissione il 19 novembre 2025 nell’ambito del pacchetto di semplificazione digitale, ha concluso il proprio iter legislativo: accordo politico al trilogo del 6-7 maggio 2026, approvazione del Parlamento europeo il 16 giugno, adozione definitiva del Consiglio il 29 giugno. Il testo differisce l’applicazione degli obblighi per i sistemi ad alto rischio (Allegato III: dal 2 agosto 2026 al 2 dicembre 2027; Allegato I: dal 2 agosto 2027 al 2 agosto 2028), conferma la data del 2 agosto 2026 per gli obblighi di trasparenza ex art. 50 con un regime transitorio per la sola marcatura machine-readable, introduce un nuovo divieto in materia di immagini intime non consensuali generate da AI e di materiale pedopornografico sintetico, e sposta al 2 agosto 2027 l’obbligo di istituzione delle sandbox regolamentari nazionali.
La novella incide anche sulla sostanza: riscrive in senso attenuato l’obbligo di alfabetizzazione AI dell’art. 4, introduce con il nuovo art. 4a una base giuridica per il trattamento di dati particolari a fini di de-biasing estesa a tutti i sistemi, sposta sull’AI Office la competenza esclusiva di vigilanza su GPAI verticalmente integrati e sistemi incorporati in VLOP e VLOSE, sottrae i macchinari del Reg. UE 2023/1230 al binario alto rischio ed estende i regimi di favore delle PMI alle small mid-cap. Restano fermi i divieti dell’art. 5 e la disciplina GPAI. Il differimento, va detto subito, non equivale a una moratoria: sposta il dies a quo dell’esigibilità degli obblighi, non il giudizio di adeguatezza che ciascun titolare è chiamato a compiere sin d’ora.
Digital Omnibus, AI Act, sistemi ad alto rischio, Allegato III, art. 50, semplificazione normativa
Premessa: perché un omnibus sull’intelligenza artificiale
Il Reg. UE 2024/1689 è entrato in vigore il 1° agosto 2024 con un’architettura di applicazione scaglionata, pensata per accompagnare progressivamente operatori e autorità verso la piena operatività del sistema. Quell’architettura presupponeva però una condizione che non si è realizzata nei tempi previsti: la disponibilità degli strumenti attuativi, a partire dalle norme armonizzate e dagli atti di esecuzione destinati a dare contenuto concreto agli obblighi dell’alto rischio. Di fronte al ritardo accumulato, la Commissione ha scelto la via dell’intervento correttivo mirato, inserendolo nel più ampio pacchetto di semplificazione digitale presentato il 19 novembre 2025.
La proposta, formalmente un regolamento di modifica dell’AI Act e del Reg. UE 2018/1139 in materia di aviazione civile, è stata ribattezzata Digital Omnibus sull’AI. La qualificazione non è solo giornalistica: la tecnica dell’omnibus, che accorpa in un unico veicolo normativo modifiche a più atti, solleva questioni di metodo sulle quali si tornerà nella parte conclusiva. Qui interessa anzitutto il merito, perché le modifiche incidono su scadenze che una platea molto ampia di fornitori e deployer aveva già assunto come vincolanti nei propri piani di adeguamento.
L’iter legislativo: una corsa contro il 2 agosto 2026
Il percorso del regolamento è stato rapido per gli standard del legislatore europeo, e non per caso: l’obiettivo dichiarato era chiudere prima del 2 agosto 2026, data in cui gli obblighi per l’alto rischio sarebbero divenuti applicabili secondo il calendario originario. Dopo un primo trilogo infruttuoso il 28 aprile 2026, l’accordo politico è stato raggiunto il 6-7 maggio e confermato dal Coreper il 13 maggio. Il Parlamento europeo ha approvato il testo in plenaria il 16 giugno 2026; il Consiglio ha adottato l’atto in via definitiva il 29 giugno.
Alla data in cui si scrive manca dunque il solo perfezionamento formale: firma dei presidenti delle istituzioni e pubblicazione in Gazzetta ufficiale dell’Unione europea, attesa entro la fine di luglio. Il regolamento entrerà in vigore il terzo giorno successivo alla pubblicazione, in tempo utile per neutralizzare la scadenza del 2 agosto. Fino a quel momento resta formalmente vigente il calendario originario; il contenuto della novella è però ormai definitivo, sicché il margine di incertezza residuo attiene alla sola data di pubblicazione, non più al merito delle modifiche.
📋 Il veicolo normativo
Regolamento di modifica del Reg. UE 2024/1689 (AI Act) e del Reg. UE 2018/1139 – c.d. Digital Omnibus sull’AI
Proposta della Commissione del 19 novembre 2025; accordo politico al trilogo del 6-7 maggio 2026; approvazione del Parlamento europeo del 16 giugno 2026; adozione definitiva del Consiglio del 29 giugno 2026. Entrata in vigore: terzo giorno successivo alla pubblicazione in GUUE, attesa entro il 30 luglio 2026.
Il nuovo calendario di applicazione
La tabella che segue raffronta il calendario originario dell’art. 113 AI Act con quello risultante dalla novella. Le date indicate come nuove sono quelle del testo adottato, in attesa della sola pubblicazione.
| Obbligo | Calendario originario | Calendario post Omnibus |
|---|---|---|
| Divieti art. 5 | 2 febbraio 2025 | Invariato (già applicabile) |
| Alfabetizzazione AI (art. 4) | 2 febbraio 2025 | Riformulata: obbligo attenuato, promozione affidata a Commissione e Stati membri |
| Modelli GPAI (Capo V) | 2 agosto 2025 | Invariato (già applicabile) |
| Trasparenza art. 50 | 2 agosto 2026 | Confermato 2 agosto 2026 |
| Marcatura machine-readable art. 50(2) – sistemi già immessi | 2 agosto 2026 | 2 dicembre 2026 |
| Nuovo divieto art. 5: NCII e CSAM sintetico | Non previsto | 2 dicembre 2026 |
| Alto rischio – Allegato III (stand-alone) | 2 agosto 2026 | 2 dicembre 2027 |
| Sandbox regolamentari nazionali | 2 agosto 2026 | 2 agosto 2027 |
| Alto rischio – Allegato I (embedded in prodotti regolati) | 2 agosto 2027 | 2 agosto 2028 |
La doppia traiettoria dell’alto rischio
Il cuore della novella sta nel differimento degli obblighi del Capo III. Per i sistemi ad alto rischio stand-alone dell’Allegato III – impiego in ambito occupazionale, credit scoring, istruzione, identificazione biometrica, law enforcement, tra gli altri – l’applicazione slitta di sedici mesi, dal 2 agosto 2026 al 2 dicembre 2027. Per i sistemi di AI che costituiscono componenti di sicurezza di prodotti già soggetti alla normativa armonizzata dell’Allegato I – dispositivi medici, macchine, aviazione civile, veicoli – il differimento è di dodici mesi, dal 2 agosto 2027 al 2 agosto 2028.
La distinzione tra le due traiettorie merita attenzione, perché nella prassi viene spesso trascurata. Un software gestionale con funzioni di triage o di suggerimento clinico può ricadere nell’Allegato III come sistema stand-alone oppure, se qualificato dispositivo medico ai sensi del Reg. UE 2017/745, nel perimetro dell’Allegato I: la data di riferimento cambia, e con essa la strategia di adeguamento. Chi opera in sanità digitale farebbe bene a compiere questa qualificazione ora, non alla vigilia delle rispettive scadenze.
🔑 La ratio del differimento
Il rinvio non nasce da un ripensamento sostanziale dell’impianto, ma dalla constatazione che gli strumenti attuativi – norme armonizzate, specifiche comuni, linee guida sulla classificazione – non sarebbero stati disponibili in tempo. Il legislatore ha preferito spostare le date piuttosto che esigere obblighi il cui contenuto tecnico non era ancora compiutamente definito. È una scelta di realismo che tuttavia consegna al mercato, per un ulteriore periodo, sistemi ad alto rischio privi delle tutele che il regolamento aveva ritenuto necessarie.
Trasparenza ex art. 50: conferma con regime transitorio
Gli obblighi di trasparenza dell’art. 50 – informare l’utente che sta interagendo con un sistema di AI, etichettare i contenuti generati artificialmente, rendere riconoscibili i deep fake – restano ancorati al 2 agosto 2026. La conferma non è di poco conto: nel dibattito che ha accompagnato il negoziato si era ipotizzato un rinvio generalizzato, poi accantonato.
L’unica concessione riguarda la marcatura machine-readable prevista dall’art. 50, par. 2: per i sistemi già immessi sul mercato prima del 2 agosto 2026 opera un periodo di grazia fino al 2 dicembre 2026. Per i sistemi immessi dopo quella data l’obbligo decorre invece dal termine ordinario.
Su questo punto il negoziato merita di essere ricostruito, perché l’esito finale è più severo della proposta di partenza. La Commissione aveva ipotizzato un differimento di sei mesi, fino al 2 febbraio 2027; i colegislatori hanno ridotto il grandfathering a quattro mesi, fissando al 2 dicembre 2026 un termine non ulteriormente negoziabile. La compressione riflette una preoccupazione politica crescente per la circolazione di contenuti sintetici non tracciabili, alimentata dalla diffusione dei deep fake in campagne di disinformazione e frode. La scelta ha però un costo tecnico che non va sottovalutato: una marcatura machine-readable degna di questo nome deve essere interoperabile, robusta e capace di sopravvivere a compressione lossy, re-encoding, ritaglio e conversione di formato. Sono sfide ingegneristiche tutt’altro che banali, che i fornitori dovranno risolvere in una finestra ristretta e, per giunta, mentre il codice di condotta destinato a specificare le modalità attuative è ancora in corso di elaborazione.
Il nuovo divieto: NCII e materiale pedopornografico sintetico
Accanto ai differimenti, la novella arricchisce il catalogo delle pratiche vietate dell’art. 5 con una previsione di segno opposto, restrittivo: il divieto dei sistemi di AI che generano o manipolano immagini intime non consensuali (le c.d. applicazioni nudify) e materiale pedopornografico sintetico. Il divieto diviene operativo al 2 dicembre 2026, decorso un periodo transitorio.
Il perimetro applicativo è più ampio di quanto la formula giornalistica del “divieto dei nudifier” lasci intendere, e va letto con attenzione. La norma colpisce anzitutto i sistemi progettati espressamente per tali scopi; ma si estende ai sistemi generativi di uso generale quando la produzione di quei contenuti costituisca un esito ragionevolmente prevedibile e riproducibile, senza necessità di modifiche tecniche significative, e il sistema sia privo di presidi tecnici adeguati a impedirla in modo affidabile. Il baricentro della disposizione sta dunque nelle misure di sicurezza: il legislatore ha costruito una sorta di safe-harbour per il fornitore diligente, che non incorre nel divieto ove abbia implementato salvaguardie tecniche efficaci e costantemente aggiornate – filtri sui contenuti, controlli a livello di prompt, vincoli di fine-tuning, procedure di gestione degli abusi – idonee a bloccare la generazione degli output illeciti. Restano espressamente fuori dal perimetro lo sviluppo di capacità generative di base per finalità legittime e gli strumenti impiegati lecitamente per la moderazione e l’investigazione del CSAM.
Il presidio sanzionatorio è quello massimo dell’art. 99: fino a 35 milioni di euro o al 7 per cento del fatturato mondiale annuo dell’esercizio precedente, se superiore. Per i fornitori di modelli generativi di immagini e video il messaggio è univoco: la documentazione delle salvaguardie in fase di progettazione e di deployment non è più una best practice, è la linea che separa l’attività lecita da una pratica vietata.
🔴 Un divieto che colma una lacuna reale
La proliferazione di applicazioni che spogliano fotografie di persone reali senza il loro consenso è un fenomeno documentato e in crescita, con vittime prevalentemente donne e minorenni. L’inserimento nel novero delle pratiche vietate – il livello di rischio inaccettabile, presidiato dalle sanzioni più severe del regolamento – segna il punto di equilibrio politico dell’Omnibus: il legislatore concede tempo sull’alto rischio, ma inasprisce il regime dove il danno alle persone è immediato e non rimediabile.
Le semplificazioni per le imprese: PMI e small mid-cap
Il regolamento estende i regimi di favore già previsti per micro, piccole e medie imprese a una categoria nuova per il diritto europeo dell’AI: le imprese a media capitalizzazione di minori dimensioni, o small mid-cap. La qualifica spetta alle imprese che non rientrano nella definizione di PMI, impiegano meno di 750 dipendenti e presentano un fatturato annuo non superiore a 150 milioni di euro ovvero un totale di bilancio non eccedente 129 milioni. I parametri vanno tenuti a mente, perché delimitano una platea tutt’altro che marginale del tessuto industriale europeo in crescita.
Le agevolazioni estese alle small mid-cap comprendono l’accettazione, da parte degli organismi notificati, di modelli semplificati di documentazione tecnica, requisiti proporzionati per il sistema di gestione della qualità, accesso prioritario alle sandbox regolamentari e massimali sanzionatori ridotti. Sul piano procedurale si segnala inoltre il superamento del vincolo del modello armonizzato per il piano di monitoraggio post-market: al posto del template predefinito, un quadro flessibile le cui indicazioni operative saranno fornite dalla Commissione.
La governance: il baricentro si sposta sull’AI Office
Capitolo meno mediatico ma di rilievo sistematico è la riorganizzazione dell’architettura di vigilanza. L’AI Office, incardinato nella Commissione, acquisisce competenza esclusiva per la vigilanza e l’enforcement su due categorie di sistemi: quelli basati su modelli GPAI, quando modello e sistema finale provengano dal medesimo fornitore o da entità del medesimo gruppo societario, e quelli integrati in piattaforme online di dimensioni molto grandi (VLOP) o motori di ricerca di dimensioni molto grandi (VLOSE) designati ai sensi del Reg. UE 2022/2065. La ratio è evitare la frammentazione dell’enforcement su operatori intrinsecamente transfrontalieri e coordinare l’applicazione dell’AI Act con quella del Digital Services Act, che già assegna alla Commissione la vigilanza sui grandi intermediari.
La centralizzazione conosce però contrappesi: le autorità nazionali conservano la propria competenza, anche per i sistemi rientranti nelle categorie sopra indicate, negli ambiti della sicurezza interna e law enforcement, della gestione delle frontiere e dei flussi migratori, dell’amministrazione della giustizia, per gli enti finanziari e per i sistemi integrati in prodotti dell’Allegato I. Sono previsti inoltre meccanismi di raccordo, tra cui l’obbligo per l’AI Office di notificare preventivamente alle autorità nazionali le decisioni di limitazione o ritiro di un prodotto da un mercato nazionale e di riscontrare le richieste formali di intervento delle autorità locali entro quattro mesi.
Sul versante dell’innovazione, lo slittamento dal 2 agosto 2026 al 2 agosto 2027 del termine per l’istituzione di almeno una sandbox regolamentare nazionale per Stato membro si accompagna a una novità di maggior respiro: una sandbox regolamentare a livello dell’Unione, istituita e gestita dall’AI Office e destinata a divenire operativa nel 2028, pensata per sperimentazioni transfrontaliere in settori complessi e ad alta intensità di capitale. Il differimento nazionale, peraltro, è coerente con lo stato dell’arte: la designazione delle autorità competenti ha registrato ritardi in più Stati membri, Italia compresa.
Allegato I e Regolamento macchine: il binario settoriale
Uno dei nodi più delicati dell’impianto originario era la sovrapposizione tra gli obblighi del Capo III e la normativa armonizzata di prodotto. Per il settore manifatturiero la novella scioglie il nodo con una scelta netta: i prodotti rientranti nel Reg. UE 2023/1230 sui macchinari escono dall’applicazione diretta del binario ad alto rischio dell’AI Act e restano soggetti alle sole procedure del Regolamento macchine. A presidio del livello di tutela, la Commissione è delegata a integrare nell’Allegato III del Regolamento macchine i requisiti di salute e sicurezza specificamente riferiti alle funzioni di intelligenza artificiale.
Per i restanti prodotti dell’Allegato I – dispositivi medici, ascensori, giocattoli, imbarcazioni – opera un meccanismo di flessibilità analogo: la Commissione potrà adottare atti delegati che limitino o escludano l’applicazione di specifici obblighi dell’AI Act, in particolare degli artt. 9-15 e 17-25, quando la legislazione settoriale contenga già requisiti equivalenti che garantiscano il medesimo livello di protezione.
Completa il disegno la riscrittura della definizione di componente di sicurezza: i sistemi di AI integrati che svolgono compiti esclusivi di assistenza all’utente, ottimizzazione delle prestazioni, automazione di funzioni accessorie o controllo qualità non sono più classificati automaticamente come componenti di sicurezza – e dunque ad alto rischio – salvo che il loro malfunzionamento possa determinare un rischio diretto per la salute o la sicurezza delle persone. La restrizione circoscrive sensibilmente il perimetro dell’alto rischio industriale, sottraendo i software di mero efficientamento a iter di certificazione di terza parte sproporzionati rispetto al rischio effettivo.
Merita un cenno, infine, la sorte dell’art. 6, par. 3: la Commissione aveva proposto di eliminare l’obbligo di registrazione per i sistemi che il fornitore autovaluti come non ad alto rischio pur operando nei settori dell’Allegato III. I colegislatori lo hanno invece ripristinato in forma semplificata: la classificazione e la relativa motivazione andranno comunque inserite nella banca dati pubblica dell’Unione, nei campi ridotti della Sezione B dell’Allegato VIII. L’autovalutazione, da esercizio interno, diviene così un atto pubblico e tracciabile: un presidio di accountability che il negoziato ha salvato, opportunamente.
Art. 4 e nuovo art. 4a: le novità che interessano i DPO
Due interventi meno visibili incidono direttamente sul lavoro di chi si occupa di protezione dei dati. Il primo riguarda l’alfabetizzazione AI: l’obbligo dell’art. 4, applicabile dal 2 febbraio 2025, non esce indenne dalla novella, come una lettura frettolosa del pacchetto potrebbe far credere. Il testo finale ne ridimensiona la portata: fornitori e deployer restano tenuti ad adottare misure di sostegno allo sviluppo delle competenze del proprio personale, ma senza alcun obbligo di garantire un livello determinato di alfabetizzazione dei singoli, mentre il compito di promuovere e facilitare tali misure – anche con la pubblicazione di esempi pratici su una piattaforma informativa unica – passa a Commissione e Stati membri. Resta invece fermo, per i deployer di sistemi ad alto rischio, l’obbligo di formare il personale addetto alla sorveglianza umana. In sintesi: da obbligazione generalizzata dai contorni indefiniti a dovere di supporto attenuato, con un nucleo duro che sopravvive dove il rischio lo giustifica.
Il secondo intervento è il nuovo art. 4a, che sostituisce e amplia l’eccezione già prevista dall’art. 10, par. 5. Fornitori e deployer di sistemi di AI e di modelli GPAI sono autorizzati, in via eccezionale e nei limiti della stretta necessità, a trattare categorie particolari di dati personali ex art. 9 GDPR al fine esclusivo di rilevare e correggere i bias algoritmici. La facoltà, prima circoscritta ai sistemi ad alto rischio, si estende ora alla generalità dei sistemi, e fornisce al trattamento una base giuridica chiara ai fini dell’art. 9 GDPR. Le condizioni restano rigorose: minimizzazione, impossibilità di conseguire il medesimo risultato con dati pseudonimizzati o sintetici, cancellazione dei dati sensibili una volta completata l’attività di de-biasing. Per i DPO è una novità operativa di primo piano: il de-biasing esce dalla zona grigia in cui la prassi lo aveva confinato e diventa un trattamento tipizzato, documentabile e verificabile.
🔗 Attenzione a non confondere i due Omnibus
Il regolamento qui esaminato è il Digital Omnibus sull’AI, giunto al traguardo. Viaggia su un binario separato il Digital Omnibus “dati”, che propone tra l’altro di codificare una nozione relativa di dato personale ex art. 4 GDPR: un’informazione non sarebbe dato personale per il titolare che non disponga di mezzi ragionevolmente idonei a identificare l’interessato. Quella proposta è però ancora in negoziato, ha incontrato l’opposizione di EDPB ed EDPS e il testo di compromesso del Consiglio ne ha già espunto la definizione. Darla per acquisita sarebbe, allo stato, un errore.
Rilievi critici: certezza del diritto e tecnica dell’omnibus
Sul piano del metodo, l’operazione si presta a una duplice lettura. Da un lato, il differimento risponde a un’esigenza reale: esigere la conformità a obblighi il cui contenuto tecnico dipende da norme armonizzate non ancora pubblicate avrebbe prodotto un adempimento formale e difensivo, di scarsa utilità per i destinatari della tutela. Dall’altro, la vicenda incrina l’affidamento che gli operatori diligenti avevano riposto nel calendario originario: chi ha investito per arrivare pronto al 2 agosto 2026 si trova ora in concorrenza con chi ha atteso, confidando in un rinvio che puntualmente è arrivato. È un precedente di cui il legislatore europeo dovrebbe farsi carico, perché la credibilità delle scadenze regolatorie è essa stessa un bene giuridico: se ogni termine è negoziabile a ridosso della scadenza, l’incentivo all’adeguamento tempestivo si dissolve.
Quanto alla tecnica normativa, l’accorpamento in un unico veicolo di modifiche all’AI Act e alla disciplina dell’aviazione civile conferma una tendenza alla legislazione per pacchetti che rende più rapido il negoziato ma meno leggibile il risultato. Il testo consolidato dell’AI Act, a valle della novella, andrà ricostruito con attenzione, e non è un esercizio di stile: per i prossimi due anni convivranno obblighi già applicabili, obblighi confermati alla data originaria, obblighi differiti con regimi transitori differenziati. La stratificazione è il prezzo della flessibilità.
Indicazioni operative: il tempo guadagnato va speso
Per fornitori e deployer di sistemi ad alto rischio il differimento apre una finestra che sarebbe un errore leggere come una sospensione dell’impegno. Tre considerazioni guidano la pianificazione.
In primo luogo, i divieti dell’art. 5 e la disciplina dei modelli GPAI restano pienamente applicabili; l’alfabetizzazione AI sopravvive in forma attenuata, ma per i deployer di sistemi ad alto rischio la formazione degli addetti alla sorveglianza umana resta un obbligo pieno. In secondo luogo, la trasparenza ex art. 50 arriva comunque il 2 agosto 2026: chi impiega chatbot, sistemi di generazione di contenuti o deep fake ha davanti settimane, non anni. In terzo luogo, gli adempimenti dell’alto rischio – sistema di gestione del rischio, governance dei dati, documentazione tecnica, sorveglianza umana, ciclo di vita – richiedono tempi di implementazione che si misurano in trimestri: la nuova scadenza del 2 dicembre 2027 è distante solo in apparenza, specie per le organizzazioni che devono ancora completare il censimento dei propri sistemi e la loro qualificazione giuridica.
⚠️ Il rinvio non è una moratoria
Il differimento sposta l’esigibilità degli obblighi del Capo III, non sospende la responsabilità generale dell’operatore. Un sistema di AI che produca danni resta soggetto alla disciplina ordinaria – responsabilità civile, GDPR per i trattamenti di dati personali, normativa di prodotto – a prescindere dalla data di applicazione dell’AI Act. Utilizzare la finestra 2026-2027 per completare inventario dei sistemi, qualificazione del rischio e gap analysis non è zelo: è l’unico modo per non trasformare il rinvio in un debito di conformità a scadenza ravvicinata.
⚖️ Quello che conta davvero
Le nuove date sono definitive nel merito. L’iter legislativo si è concluso il 29 giugno 2026; manca la sola pubblicazione in GUUE, attesa entro fine luglio. Allegato III al 2 dicembre 2027, Allegato I al 2 agosto 2028, trasparenza confermata al 2 agosto 2026.
La scadenza vera è quella di agosto. Per la generalità degli operatori l’adempimento più prossimo non è l’alto rischio ma l’art. 50: obblighi di trasparenza applicabili dal 2 agosto 2026, con la sola marcatura machine-readable differita al 2 dicembre 2026 per i sistemi già immessi.
Il tempo guadagnato è tempo di lavoro. Censimento dei sistemi, qualificazione Allegato I o Allegato III, gap analysis e piano di adeguamento sono attività da avviare ora. Chi arriva al 2027 senza averle completate avrà semplicemente rinviato il problema, alle stesse condizioni e con meno alibi.
Fonti
Consiglio dell’Unione europea. (2026). “Artificial Intelligence: Council gives final green light to simplify and streamline rules”. Comunicato stampa, 29 giugno 2026.
Consiglio dell’Unione europea. (2026). “Artificial Intelligence: Council and Parliament agree to simplify and streamline rules”. Comunicato stampa, 7 maggio 2026.
Commissione europea. (2025). Proposta di regolamento c.d. Digital Omnibus sull’AI, 19 novembre 2025.
Parlamento europeo, EPRS. (2026). “Digital Omnibus on AI”. Briefing PE 782.651.
Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio, del 13 giugno 2024 (AI Act), artt. 4, 5, 6, 50, 57, 99, 113 e Allegati I, III, VIII.
Regolamento (UE) 2023/1230 del Parlamento europeo e del Consiglio, del 14 giugno 2023, relativo alle macchine.
EDPB-EDPS. (2026). Parere congiunto sul pacchetto Digital Omnibus, con particolare riferimento alla proposta di modifica della definizione di dato personale ex art. 4 GDPR.





