Il 29 giugno 2026, il Consiglio dell'Unione Europea ha dato l'approvazione finale al Digital Omnibus sull'IA, posticipando gli obblighi ad alto rischio dell'EU AI Act dal 2 agosto 2026 al 2 dicembre 2027 per i sistemi autonomi e al 2 agosto 2028 per l'IA integrata in prodotti regolamentati. Il voto è arrivato cinque settimane prima della scadenza originaria, dopo due trilogo falliti tra aprile e maggio 2026 che avevano lasciato i team di compliance a costruire verso una scadenza che poteva o non poteva sopravvivere.
Il rinvio non è un arretramento sul fronte dell'enforcement. Nello stesso periodo del 2026, la Commissione Europea ha multato Temu per 200 milioni di euro ai sensi del Digital Services Act, l'Alta Corte irlandese ha confermato una multa GDPR di 530 milioni di euro contro TikTok, e le autorità nazionali sono passate dalla "modalità di osservazione" a ispezioni DORA attive nei settori bancario e assicurativo. Il quadro normativo europeo su IA, dati e piattaforme viene riscritto e applicato contemporaneamente, su orologi diversi che raramente vanno di pari passo.
Per i responsabili della governance dell'IA, i DPO e i responsabili della compliance digitale che coprono UE, Regno Unito e Svizzera, questa combinazione, scadenze mobili più multe già operative, rappresenta il vero contesto operativo per il resto del 2026.
La scadenza ad alto rischio dell'EU AI Act è ancora il 2 agosto 2026?
Non appena il Digital Omnibus sull'IA sarà pubblicato nella Gazzetta Ufficiale, evento atteso per luglio 2026, dopo il quale entrerà in vigore tre giorni più tardi. Il Regolamento (UE) 2024/1689 fissava originariamente il 2 agosto 2026 per i sistemi ad alto rischio dell'Allegato III, che coprono i casi d'uso di reclutamento, credit scoring, identificazione biometrica, istruzione, migrazione e contrasto, e il 2 agosto 2027 per i sistemi integrati in prodotti dell'Allegato I. Il Parlamento europeo ha approvato il testo dell'Omnibus il 16 giugno 2026 con 423 voti favorevoli, e il via libera del Consiglio del 29 giugno 2026 ha fissato le nuove date rispettivamente al 2 dicembre 2027 e al 2 agosto 2028.
Due obblighi si muovono nella direzione opposta. Il periodo di grazia per la filigrana e l'etichettatura dei contenuti generati dall'IA ai sensi dell'articolo 50 è stato ridotto da sei a tre mesi, anticipando una nuova scadenza al 2 dicembre 2026 per i sistemi già sul mercato, e l'Omnibus aggiunge un divieto assoluto di generare contenuti sessuali o intimi non consensuali e materiale pedopornografico generato dall'IA, una disposizione senza alcun rinvio. Finché il testo non sarà pubblicato in Gazzetta Ufficiale, la data originaria del 2 agosto 2026 resta giuridicamente vincolante, quindi le organizzazioni che classificano sistemi ai sensi dell'Allegato III non possono semplicemente sospendere il lavoro.
Con quale rigore la Commissione Europea sta applicando il Digital Services Act?
Con un rigore sufficiente a emettere due multe a nove cifre in sei mesi. Il 5 dicembre 2025, la Commissione ha multato X per 120 milioni di euro, la sua prima decisione di non conformità al DSA, per il design ingannevole del badge di verifica con spunta blu, un archivio pubblicitario non conforme alle regole di divulgazione dell'articolo 39, e ostacoli all'accesso dei ricercatori che violavano l'articolo 40, paragrafo 12. A X sono stati concessi 60 giorni lavorativi per correggere il problema della spunta blu e 90 per presentare un piano di rimedio completo, e la società ha impugnato la decisione dinanzi al Tribunale dell'Unione Europea nel febbraio 2026, rendendola il primo banco di prova giudiziario dell'enforcement del DSA.
Il 28 maggio 2026, la Commissione ha multato Temu per 200 milioni di euro, pari allo 0,38% del suo fatturato globale di 53 miliardi di euro, per non aver condotto una valutazione del rischio adeguata in grado di individuare prodotti illegali e pericolosi sul suo marketplace. Temu ha tempo fino al 28 agosto 2026 per presentare un piano di azione correttiva, e l'indagine più ampia della Commissione sui sistemi di raccomandazione e sulla moderazione dei contenuti di Temu resta aperta. Entrambi i casi si fondano sugli obblighi di rischio sistemico degli articoli 34 e 35, le stesse disposizioni che mantengono ogni piattaforma online di dimensioni molto grandi e ogni motore di ricerca sotto il costante controllo della Commissione, un ambito in cui il monitoraggio normativo per piattaforma intercetta una nuova indagine il giorno stesso in cui viene aperta, anziché il giorno in cui finisce sui titoli dei giornali.
Quale autorità decide davvero un caso GDPR quando i dati attraversano i confini?
Ai sensi del meccanismo dello sportello unico, è l'autorità di protezione dei dati del paese in cui l'azienda ha il suo principale stabilimento nell'UE, e per la maggior parte delle piattaforme globali questo significa l'Irlanda. La decisione del 2 maggio 2025 della Commissione irlandese per la protezione dei dati ha multato TikTok per 530 milioni di euro, 45 milioni per non aver informato correttamente gli utenti ai sensi dell'articolo 13, paragrafo 1, lettera f), e 485 milioni per trasferimenti illeciti di dati degli utenti dello SEE verso la Cina ai sensi dell'articolo 46, paragrafo 1, dopo aver riscontrato che TikTok non poteva verificare che le sue clausole contrattuali standard garantissero ai dati dello SEE un livello di protezione sostanzialmente equivalente a quello richiesto dal GDPR. Il 3 giugno 2026, l'Alta Corte irlandese ha confermato sia l'accertamento di responsabilità sia l'importo della multa, pur rinviando all'autorità di controllo, per un riesame, l'ordinanza che sospendeva i trasferimenti futuri, lasciando così a TikTok la possibilità di continuare a trasferire dati europei verso la Cina mentre quello specifico punto viene riesaminato.
Le multe cumulative della DPC irlandese ammontano ormai a 4,04 miliardi di euro dal 2018, guidate ancora dalla decisione da 1,2 miliardi di euro contro Meta del 2023. Considerando tutte le autorità di controllo dell'UE, l'indagine di DLA Piper di gennaio 2026 stima l'enforcement 2025 in circa 1,2 miliardi di euro, in linea con il 2024 e portando il totale a livello di blocco dall'entrata in vigore del GDPR nel 2018 a 7,1 miliardi di euro. Per un responsabile della compliance, la lezione pratica è che la scelta dell'autorità capofila non è una formalità amministrativa, ma determina quale approccio di enforcement, quali tempistiche e quale propensione alle multe transfrontaliere governeranno realmente il fascicolo.
Anche il GDPR viene riscritto insieme all'AI Act?
Sì, attraverso lo stesso pacchetto Digital Omnibus, proposto dalla Commissione il 19 novembre 2025 come COM(2025) 837. La proposta ridefinirebbe i dati personali in modo che i dati pseudonimizzati non siano considerati personali per un soggetto che non dispone dei mezzi per reidentificare l'interessato, consentirebbe alle aziende di basarsi sulla base giuridica dell'interesse legittimo del GDPR per addestrare o gestire modelli di IA soggetti a garanzie, sposterebbe le regole sul consenso ai cookie dalla direttiva ePrivacy al GDPR con un consenso valido per sei mesi tramite un solo clic, e creerebbe un punto di segnalazione unico per le violazioni dei dati e gli incidenti di cybersicurezza.
Il Comitato europeo per la protezione dei dati e il Garante europeo della protezione dei dati hanno emesso un parere congiunto nel febbraio 2026 a sostegno delle misure di semplificazione amministrativa, esortando esplicitamente i co-legislatori a non adottare la ridefinizione dei dati personali, avvertendo che restringerebbe il diritto fondamentale alla protezione dei dati oltre quanto dovrebbe fare una modifica di natura tecnica. A metà 2026 il fascicolo resta nell'ambito della procedura legislativa ordinaria, con le commissioni Industria e Libertà civili congiuntamente competenti in Parlamento, il che significa che il testo del GDPR con cui un'azienda è conforme oggi potrebbe non essere il testo del GDPR in vigore quando un programma di addestramento dell'IA attualmente in fase di progettazione diventerà operativo.
Cosa aggiungono Digital Markets Act, Data Act e DORA rispetto ad AI Act e GDPR?
Il Digital Markets Act fornisce un proprio binario di enforcement contro gli stessi gatekeeper. Il 22 aprile 2025, la Commissione ha multato Apple per 500 milioni di euro per violazioni anti-steering ai sensi dell'articolo 5, paragrafo 4, e Meta per 200 milioni di euro per il suo modello pubblicitario pay-or-consent ai sensi dell'articolo 5, paragrafo 2, le prime multe per non conformità emesse ai sensi del DMA. La prima revisione triennale della Commissione, presentata il 3 maggio 2026 come COM(2026) 178, ha giudicato il regime adeguato allo scopo senza necessità di modifiche legislative, mentre i procedimenti di specificazione aperti contro Google Play e Google Search nel gennaio 2026 restano attivi.
Il Data Act è diventato applicabile il 12 settembre 2025, concedendo agli utenti di prodotti e servizi connessi il diritto di accedere ai dati generati da tali prodotti e, ove possibile, di condividerli in tempo reale con terzi. Gli obblighi di design che impongono ai prodotti connessi di rendere i dati accessibili per impostazione predefinita entreranno in vigore il 12 settembre 2026, e le condizioni contrattuali eque, ragionevoli e non discriminatorie si applicano a tutti gli accordi di condivisione dati B2B firmati dopo settembre 2025, estendendosi a determinati contratti legacy di lunga durata a partire da settembre 2027. Laddove siano coinvolti dati personali, le sanzioni del Data Act seguono i livelli del GDPR, fino a 20 milioni di euro o al 4% del fatturato globale.
Per gli enti finanziari nello specifico, il periodo di grazia di DORA si è concluso con il 2025. Dal primo trimestre 2026, la BCE, la BaFin, l'AMF, la CSSF e altre autorità nazionali competenti sono passate da revisioni di preparazione a valutazioni di vigilanza formali sulla gestione del rischio ICT, sui contratti con fornitori terzi e sulla segnalazione degli incidenti, sostenute da multe fino al 2% del fatturato mondiale per gli istituti e fino a 1 milione di euro a livello personale per i membri dell'organo di gestione che non intervengono su segnalazioni di rischio ICT.
| Strumento | Stato (luglio 2026) | Data chiave da monitorare |
|---|---|---|
| AI Act, Allegato III alto rischio | Omnibus adottato, in attesa di pubblicazione in Gazzetta Ufficiale | 2 dicembre 2027 (prima 2 agosto 2026) |
| AI Act, trasparenza articolo 50 | Periodo di grazia ridotto dall'Omnibus | 2 dicembre 2026 |
| Enforcement rischio sistemico DSA | Attivo, due multe emesse, una in appello | 28 agosto 2026 (piano correttivo Temu) |
| GDPR (caso trasferimenti TikTok) | Responsabilità e multa confermate, rimedio riaperto | Riesame della DPC irlandese in corso |
| Riforma GDPR (Digital Omnibus) | In procedura legislativa ordinaria | Nessuna data di adozione fissata |
| Obblighi gatekeeper DMA | Due multe emesse, revisione completata, nessuna modifica | Procedimenti di specificazione su Google in corso |
| Obblighi di design Data Act | Regole principali applicabili da settembre 2025 | 12 settembre 2026 |
| Enforcement di vigilanza DORA | Periodo di grazia concluso, valutazioni attive | In corso, per ciascuna autorità nazionale competente |
Otto strumenti, otto tempistiche, e almeno tre di essi sono cambiati in modo sostanziale solo nella prima metà del 2026. Una funzione di compliance che segue tutto questo con un foglio di calcolo è a un solo comunicato stampa del Consiglio dal costruire un programma attorno a una scadenza che non è più valida, ed è esattamente questo il divario che il companion IA di Obsidian è pensato per colmare: non un sostituto del giudizio legale, ma un companion normativo verificato che segnala il momento in cui un atto delegato supera l'esame o una multa diventa definitiva.
Cosa dovrebbe fare ora un team di compliance?
Iniziare separando il testo vincolante dell'AI Act dalle sue modifiche pendenti: proseguire il lavoro di classificazione dell'Allegato III nell'ipotesi che il 2 agosto 2026 possa ancora applicarsi, monitorando al contempo l'avanzamento dell'Omnibus verso la pubblicazione in Gazzetta Ufficiale affinché la nuova data del 2 dicembre 2027 sia confermata e non semplicemente presunta. In parallelo, considerare l'enforcement di DSA e DMA come prova di ciò che i regolatori privilegiano realmente, ovvero le valutazioni del rischio sistemico e le restrizioni anti-steering, piuttosto che affidarsi soltanto al testo dei regolamenti.
Per i team che gestiscono l'esposizione al GDPR su più stabilimenti nell'UE, confermare quale autorità di controllo detiene lo status di capofila per ciascuna attività di trattamento e monitorare i negoziati sul Digital Omnibus per eventuali modifiche alla definizione di dati personali che potrebbero incidere su programmi di addestramento dell'IA già in corso. L'MCP per assistenti IA di Obsidian consente di eseguire questo monitoraggio direttamente all'interno degli strumenti già utilizzati dai team di compliance, e i piani attuali mostrano come il monitoraggio per giurisdizione tenga il passo con un quadro normativo cambiato tre volte solo nella prima metà del 2026.