Oltre a puntare sulla “semplificazione digitale”, come rivendicato più volte dalla Commissione, il pacchetto sposta anche le lancette dell’orologio. Gli obblighi per i sistemi ad alto rischio autonomi (selezione del personale, credito, biometria, istruzione, migrazione) sono slittati dal 2 agosto 2026 al 2 dicembre 2027, quelli per i sistemi integrati in prodotti già regolati come dispositivi medici e macchinari si trascineranno al 2028.D’altra parte, il testo stringe su due fronti specifici: dal 2 dicembre 2026 diventerà reato usare l’IA per generare immagini intime non consensuali o materiale di abuso sessuale su minori, con l’obbligo di marcatura per tutti i contenuti sintetici. Gli obblighi sui modelli per finalità generali (i cosiddetti Gpai, come il tanto discusso Claude Mythos) resteranno invece invariati: dal 2 agosto scatteranno in ogni caso l’obbligo di trasparenza e i poteri sanzionatori della Commissione. Manca solo la firma dei presidenti delle due istituzioni e la pubblicazione in Gazzetta Ufficiale, attesa nei prossimi giorni.Il ramo Ai, però, è solo una delle due gambe del pacchetto che la Commissione ha presentato in blocco il 19 novembre 2025 sotto lo stesso nome. Diverse frizioni attraversano il fascicolo gemello del pacchetto, quello che punta a semplificare il Gdpr, la direttiva ePrivacy, il Data Act e la NIS2. Qui si scontrano le fazioni della “semplificazione” e della “deregulation”, perché si incide direttamente sul modo in cui i modelli di intelligenza artificiale possono essere addestrati sui dati degli europei. Venerdì scorso il Coreper, il comitato dei rappresentanti permanenti degli Stati membri, avrebbe dovuto dare il via libera al mandato negoziale del Consiglio per aprire i triloghi con il Parlamento. Il punto, però, è stato ritirato dall’agenda per mancanza di un accordo. Il testimone passa ora alla presidenza irlandese, appena subentrata a quella cipriota, mentre le commissioni competenti (Libe per il Gdpr, Itre per l’AI Act) hanno già adottato i rispettivi Draft Report. La querelle riguarda la base giuridica su cui le aziende possono addestrare i propri modelli sui dati degli utenti europei: la Commissione aveva proposto di riconoscere esplicitamente il “legittimo interesse”, una delle basi di liceità già previste dal Gdpr, come fondamento per lo sviluppo dei sistemi di IA, scrivendolo in un nuovo articolo del regolamento. Il testo del Consiglio lo ha però declassato a un semplice richiamo nei “considerando”, senza toccare l’articolato del Gdpr. Senza un riconoscimento esplicito nel corpo del regolamento, imprese e investitori restano esposti a un rischio regolatorio che i concorrenti extraeuropei non affrontano, un’incertezza che ha già contribuito a ritardare in Europa il lancio di funzionalità di Ia disponibili altrove. Sul piatto restano anche la ridefinizione di “dato personale”, visto che la Commissione voleva limitare l’applicazione del Gdpr ai soli soggetti davvero in grado di re-identificare l’interessato - proposta abbandonata dopo il parere negativo dell’Edpb e del Garante europeo - e un meccanismo di raccolta del consenso sui cookie dei browser, affinché venga. Anche questa semplificazione rischierebbe di rafforzare proprio le grandi piattaforme, che dovrebbero essere limitate dal consenso in questione.Queste limature dividono anche chi due anni fa aveva votato compatto. Chi difende il Digital Omnibus - Popolari in testa, con l’appoggio di conservatori e parte della destra radicale - lo presenta come una correzione necessaria: i rapporti di Draghi e Letta avevano entrambi segnalato il rischio che la stratificazione di regole digitali europee soffocasse le imprese mentre Stati Uniti e Cina investono senza vincoli paragonabili. Chi lo critica - Socialisti, Verdi, Sinistra, buona parte della società civile digitale - parla di una “deregulation” mascherata da semplificazione tecnica, ottenuta sotto la pressione delle grandi piattaforme.