Negli ultimi mesi il dibattito europeo sull’intelligenza artificiale ha conosciuto una svolta significativa che merita attenzione anche da parte delle imprese che utilizzano o intendono utilizzare sistemi AI nei propri processi. Il nuovo accordo politico raggiunto tra Parlamento europeo e Consiglio UE nel maggio 2026, nell’ambito dei pacchetti di semplificazione normativa, interviene infatti sull’AI Act, il regolamento che dovrebbe rappresentare il pilastro della governance europea dell’intelligenza artificiale.
Un cambio di paradigma in UE
La comunicazione ufficiale parla di semplificazione, riduzione degli oneri amministrativi e sostegno alla competitività. Dietro questa narrativa, tuttavia, si coglie un cambiamento più profondo: l’Unione europea sembra progressivamente spostare l’attenzione da un modello di regolazione fortemente orientato alla tutela dei diritti fondamentali verso un approccio più attento alle esigenze del mercato e agli equilibri geopolitici internazionali. Per le aziende, questo significa trovarsi di fronte a un quadro normativo formalmente ambizioso, ma nella pratica più flessibile e diluito nel tempo.
Il punto centrale del nuovo compromesso riguarda il rinvio degli obblighi per i sistemi di intelligenza artificiale classificati come “ad alto rischio”, cioè quelli che incidono su ambiti particolarmente delicati come biometria, selezione del personale, istruzione, infrastrutture critiche, attività di law enforcement e gestione delle frontiere. L’entrata in vigore di questi obblighi viene posticipata al dicembre 2027 per gli utilizzi più sensibili e addirittura all’agosto 2028 per i sistemi integrati come componenti di sicurezza in prodotti già regolati da normative settoriali. Si tratta di una scelta che, pur rispondendo alle difficoltà operative emerse nella fase di prima attuazione, riduce di fatto l’impatto immediato della parte più incisiva dell’AI Act.
Eliminazione delle sovrapposizioni
Accanto a questi rinvii, l’accordo introduce una serie di aggiustamenti che molte imprese attendevano. Viene affrontato il problema delle sovrapposizioni tra AI Act e legislazioni armonizzate di settore, come quelle su dispositivi medici, macchinari e altri prodotti industriali, evitando duplicazioni di documentazione e procedure di conformità. Si restringe inoltre la definizione di “componente di sicurezza”, per evitare che funzionalità AI meramente accessorie facciano scattare automaticamente il regime dei sistemi ad alto rischio. In questa prospettiva, la semplificazione risponde a esigenze concrete di certezza giuridica e sostenibilità dei costi di compliance.
Dal punto di vista privacy, resta rilevante la conferma della possibilità di trattare categorie particolari di dati personali per individuare e correggere bias algoritmici, pur con il ripristino del requisito della “stretta necessità”. Questo passaggio richiama ancora una volta l’importanza di un approccio documentato e proporzionato al trattamento dei dati, in coerenza con i principi del GDPR, che continua a rappresentare il riferimento imprescindibile anche quando si parla di intelligenza artificiale.
Divieti espliciti
Sul piano mediatico e politico, l’elemento più visibile del nuovo accordo è il divieto espresso dei cosiddetti “nudifier” e, più in generale, dei sistemi AI utilizzati per generare contenuti sessualmente espliciti non consensuali. L’Unione europea vieta sia la commercializzazione sia l’uso di strumenti privi di adeguate misure di sicurezza, con una particolare attenzione alla tutela della dignità personale, della privacy e dell’identità digitale. È un intervento ad alto consenso pubblico, che intercetta un fenomeno in forte crescita e rafforza il messaggio di protezione delle persone, soprattutto delle più vulnerabili.
In che direzione punta l'Unione Europea?
Resta però evidente il contrasto tra la fermezza su questi aspetti simbolicamente forti e l’alleggerimento progressivo degli obblighi sui sistemi che incidono in modo strutturale su diritti, libertà e rapporti di potere. L’AI Act nasceva come regolamento “risk-based”, fondato sull’idea che maggiore è il rischio per i diritti fondamentali, maggiori devono essere le garanzie. I rinvii e le semplificazioni introdotte rischiano di indebolire proprio questo impianto. Per le imprese, il messaggio che arriva da Bruxelles è duplice. Da un lato non viene messo in discussione l’obiettivo di una intelligenza artificiale affidabile e conforme ai valori europei; dall’altro si segnala chiaramente la volontà di evitare un impatto troppo brusco sul tessuto produttivo, soprattutto in una fase di forte competizione internazionale.
In termini operativi, questo non significa che l’adeguamento possa essere rimandato sine die. Al contrario, le aziende hanno oggi l’opportunità di utilizzare questo tempo aggiuntivo per strutturare una governance dell’AI coerente con il GDPR, investire in valutazioni dei rischi, accountability e controlli interni, e prepararsi a un contesto regolatorio che, pur più flessibile, resta destinato a incidere profondamente sui processi aziendali. Come consulenti privacy, il nostro invito è quello di non leggere la “semplificazione” come una deregulation, ma come una fase di transizione. L’AI Act resta un progetto politico e giuridico di grande portata, e la sua applicazione concreta dipenderà anche dalla capacità delle imprese di dimostrare responsabilità, trasparenza e rispetto dei diritti. In questo equilibrio tra innovazione e tutela, la compliance consapevole rimane un fattore strategico e non un semplice adempimento formale.