WEBINAR / 22 Gennaio
Analisi degli scenari ambientali: nuove linee guida EBA

ZOOM MEETING
Offerte per iscrizioni entro il 22/12

SCOPRI I DETTAGLI

WEBINAR / 22 Gennaio
Analisi degli scenari ambientali: nuove linee guida EBA
SCOPRI I DETTAGLI
Login
Shopping cart
Contatti
Categorie tematiche
Categorie tematiche
Link veloci
Link veloci
DB Business
DB Business
Chi siamo
Chi siamo
Contatti
Login
Shopping cart
www.dirittobancario.it
Attualità
Governance e controlli

Digital Omnibus: analisi delle nuove proposte normative

3 Dicembre 2025

Giulio Coraggio, Partner, DLA Piper

Enila Elezi, Associate, DLA Piper

Di cosa si parla in questo articolo
AI Act Digital omnibus GDPR
Vuoi leggere la versione PDF?
Indice dell'articolo
  1. Il pacchetto Digital Omnibus
  2. Le principali modifiche in materia di protezione dei dati (GDPR ed ePrivacy)
  3. Le principali modifiche all'AI Act
  4. Le modifiche alle altre normative del quadro digitale europeo
  5. Conclusioni e commento finale
Condividi

Il presente contributo analizza le novità del pacchetto di misure proposte dalla Commissione UE denominato “Digital Omnibus”, volta a semplificare e consolidare il quadro normativo digitale nell’Unione europea.

1. Il pacchetto Digital Omnibus

Con l’espressione Digital Omnibus si intende un pacchetto di interventi volto a semplificare e razionalizzare una parte significativa dell’acquis normativo digitale dell’Unione.

L’iniziativa si inserisce nella più ampia strategia di riduzione degli oneri amministrativi, con l’obiettivo dichiarato di rafforzare la competitività del mercato unico e facilitare l’innovazione, in particolare nei settori dei dati, della cybersicurezza e dell’intelligenza artificiale.

Il pacchetto è composto da due direttrici principali:

  • COM (2025) 837: un intervento “orizzontale”, che incide su una pluralità di fonti esistenti (in primis GDPR, ePrivacy, NIS2 e Data Act);
  • COM (2025) 836: un intervento “verticale” sull’AI Act, finalizzato soprattutto a rendere più graduale e flessibile la sua applicazione nel tempo.

L’architettura sottesa al Digital Omnibus non si limita quindi a operare mere correzioni tecniche, ma tende a riorganizzare in profondità il rapporto tra regole, attori economici e diritti fondamentali nello spazio digitale europeo.

Le misure che verranno descritte di seguito si basano su proposte legislative della Commissione europea (COM(2025) 836 e COM(2025) 837), attualmente in fase di esame da parte di Parlamento e Consiglio UE. Il testo finale potrà subire modifiche anche rilevanti prima dell’eventuale adozione.

2. Le principali modifiche in materia di protezione dei dati (GDPR ed ePrivacy)

Il Digital Omnibus, attraverso la proposta di regolamento COM(2025)837, introduce un insieme di modifiche puntuali al Regolamento (UE) 2016/679 (GDPR) e alla disciplina ePrivacy, con l’obiettivo di razionalizzare taluni passaggi applicativi che, nell’ultimo decennio, hanno generato incertezza interpretativa e oneri sproporzionati rispetto ai rischi effettivi.

L’impianto del GDPR non viene messo in discussione; l’intervento si concentra piuttosto su chiarimenti definitori, aggiustamenti procedurali e su un migliore allineamento con le esigenze connesse allo sviluppo dell’intelligenza artificiale e dell’economia dei dati.

Le principali novità possono essere sintetizzate come segue:

  • Nozione di dato personale e pseudonimizzazione: La proposta chiarisce che un’informazione non costituisce dato personale, per un determinato titolare del trattamento, qualora quest’ultimo non disponga, né possa ragionevolmente disporre, dei mezzi necessari per identificare l’interessato.

La nozione di “identificabilità” viene dunque ancorata non più a una possibilità meramente teorica, ma alle effettive capacità tecniche, giuridiche e organizzative del soggetto che tratta il dato, con un criterio marcatamente contestuale e relativo.

  • Legittimo interesse e sviluppo dei sistemi di AI: La proposta chiarisce espressamente che lo sviluppo, l’addestramento, il test e il miglioramento dei sistemi di intelligenza artificiale possono fondarsi sul legittimo interesse del titolare del trattamento, fermo restando l’obbligo di effettuare il test di bilanciamento e di garantire il diritto di opposizione dell’interessato.

Si tratta di un chiarimento di rilievo sistemico, che conferisce dignità normativa a pratiche sino ad oggi collocate in una zona grigia e spesso oggetto di posizioni divergenti da parte delle autorità di controllo.

  • Decisioni automatizzate e “intervento umano significativo”: La proposta precisa che una decisione può dirsi “interamente automatizzata” solo quando l’intervento umano non è in grado di incidere in modo concreto e sostanziale sull’esito del processo decisionale.

Viene così introdotto, in via interpretativa, il criterio dell’intervento umano significativo, distinguendo tra un apporto meramente formale e un effettivo potere di influenza o correzione della decisione adottata dal sistema automatizzato.

  • Diritti degli interessati e richieste abusive: La proposta interviene sul regime dei diritti degli interessati, introducendo correttivi volti a contrastare fenomeni di abuso e strumentalizzazione delle richieste di accesso.

In particolare, viene prevista:

    1. la possibilità per il titolare di rifiutare o subordinare a un corrispettivo ragionevole le richieste manifestamente infondate o eccessive;
    2. la riduzione degli obblighi informativi laddove l’interessato possa ragionevolmente ritenersi già a conoscenza delle informazioni richieste.
  • Violazione dei dati personali: La proposta allinea il regime di notifica delle violazioni di dati personali alla soglia del rischio elevato, prevedendo che la comunicazione all’autorità di controllo sia obbligatoria solo in tale ipotesi. Il termine per la notifica viene esteso da 72 a 96 ore.

È inoltre introdotto l’obbligo di utilizzare un Single EU Entry Point, che sarà comune anche alle segnalazioni ai sensi di NIS2, DORA e delle altre normative rilevanti in materia di cybersecurity.

  • ePrivacy e strumenti di tracciamento: Le disposizioni sui cookie e sulle tecnologie analoghe di tracciamento vengono integrate nel GDPR mediante l’introduzione dei nuovi articoli 88a e 88b.

In sintesi, è previsto:

    1. un elenco tassativo di finalità a basso rischio per le quali non è richiesto il consenso (es. sicurezza, misurazioni tecniche, audience measurement in contesti limitati);
    2. l’obbligo di meccanismi di scelta chiari e simmetrici (“accetta”/”rifiuta”);
    3. il riconoscimento delle preferenze espresse a livello di browser o sistema operativo (machine-readable preferences).

Rimane invece fermo l’obbligo di consenso per finalità di profilazione e marketing comportamentale.

3. Le principali modifiche all’AI Act

Il Digital Omnibus interviene sul Regolamento (UE) 2024/1689 (“AI Act“) attraverso la proposta COM(2025)836, con l’obiettivo di ridurne la complessità applicativa, circoscrivere l’ambito degli obblighi più onerosi e migliorare il coordinamento con il GDPR e la normativa settoriale. In particolare:

  • Rimodulazione delle scadenze applicative: pur non modificando formalmente la data del 2 agosto 2025, indicata dall’AI Act come momento cruciale per l’avvio del regime dei modelli di IA per finalità generali (GPAI), il Digital Omnibus introduce – con modifica all’art. 113 del Regolamento (UE) 2024/1689 – un meccanismo flessibile per l’entrata in applicazione degli obblighi sui sistemi di IA ad alto rischio, collegandola alla disponibilità effettiva di standard armonizzati, specifiche comuni e linee guida della Commissione. L’applicazione delle regole sui sistemi high-risk viene quindi subordinata a una decisione formale della Commissione europea e potrà slittare, in ogni caso non oltre il 2 dicembre 2027 (per i sistemi dell’Allegato III) e il 2 agosto 2028 (per quelli rientranti nell’Allegato I).
  • Ridefinizione e chiarimento dell’ambito applicativo: La proposta interviene sugli artt. 3 e 4 dell’AI Act per precisare la nozione di sistema di intelligenza artificiale e ridurre il rischio di un’applicazione eccessivamente estensiva del regolamento a strumenti puramente statistici, deterministici o di semplice automazione. Viene inoltre chiarita la distinzione tra modelli di IA generativa “ordinari” e modelli a rischio sistemico (GPAI with systemic risk).
  • Restrizione dei casi di “alto rischio” (Allegato III): Il Digital Omnibus riduce e affina l’elenco dei sistemi considerati ad alto rischio, concentrandolo su quelli che incidono direttamente su diritti fondamentali e posizioni giuridiche soggettive. Nel settore finanziario restano rilevanti i sistemi utilizzati per decisioni determinanti (es. valutazione del merito creditizio), mentre vengono alleggerite o riformulate alcune ipotesi borderline.
  • Semplificazione degli obblighi e delle procedure di conformità: Gli obblighi previsti dagli artt. 9-15 (gestione del rischio, qualità dei dati, documentazione tecnica, supervisione umana, trasparenza) subiscono una rimodulazione in chiave di proporzionalità, con particolare riguardo ai sistemi sviluppati e utilizzati internamente (in-house). Viene inoltre semplificata la procedura di valutazione della conformità (conformity assessment), favorendo modelli standard e autovalutazioni nei casi a rischio limitato.
  • Allineamento con il GDPR e uso dei dati per l’IA: Viene rafforzato il coordinamento tra AI Act e GDPR, soprattutto in relazione all’uso dei dati di addestramento, alla pseudonimizzazione e alle misure di prevenzione dei bias, in coerenza con le modifiche proposte al GDPR dal Digital Omnibus.

4. Le modifiche alle altre normative del quadro digitale europeo

Accanto agli interventi su GDPR, ePrivacy e AI Act, il Digital Omnibus introduce modifiche rilevanti anche rispetto ad altre fonti del “digital acquis” europeo, con l’obiettivo di eliminare sovrapposizioni, semplificare gli obblighi e concentrare la disciplina in un numero più ridotto di atti normativi di riferimento.

In particolare:

  • Razionalizzazione della disciplina su dati e piattaforme (Data Act, DGA, Open Data, Reg. 2018/1807, P2B): Il Digital Omnibus procede a un accorpamento e riordino del quadro normativo europeo in materia di economia dei dati. In particolare, il Regolamento (UE) 2022/868 (Data Governance Act), la Direttiva (UE) 2019/1024 (Open Data) e il Regolamento (UE) 2018/1807 sul libero flusso dei dati non personali vengono sostanzialmente assorbiti nel Regolamento (UE) 2023/2854 (Data Act), che diviene il riferimento unitario per le regole sulla circolazione, condivisione e riutilizzo dei dati, nonché per la disciplina dell’interoperabilità e del cloud switching. Contestualmente, il Regolamento (UE) 2019/1150 (Platform-to-Business – P2B) viene abrogato, poiché ritenuto superato e ormai assorbito dall’impianto più recente del Digital Markets Act e del Digital Services Act, che regolano in modo più organico i rapporti tra piattaforme e utenti commerciali.
  • Cybersecurity e coordinamento nella gestione degli incidenti (NIS2 e DORA):Con riferimento alla sicurezza informatica, pur restando invariata l’architettura della Direttiva (UE) 2022/2555 (NIS2) e del Regolamento (UE) 2022/2554 (DORA), il Digital Omnibus introduce un rafforzamento del coordinamento tra i diversi regimi di segnalazione degli incidenti, prevedendo un modello di notifica unificata (“single reporting“) a livello europeo e un maggiore coinvolgimento di ENISA. L’obiettivo è ridurre le duplicazioni, semplificare i flussi informativi verso le autorità competenti e rendere più coerente ed efficiente il presidio del rischio ICT, in particolare per i soggetti del settore bancario, finanziario e assicurativo già soggetti a obblighi rafforzati di resilienza operativa.

L’obiettivo è quello di evitare duplicazioni nei flussi di notifica e rafforzare un approccio integrato alla gestione del rischio ICT, particolarmente rilevante per il settore bancario, finanziario e assicurativo.

5. Conclusioni e commento finale

Il Digital Omnibus rappresenta un chiaro cambio di fase nella strategia digitale dell’Unione europea. Dopo un decennio, caratterizzato da un’intensa produzione normativa – spesso stratificata e talvolta incoerente – la Commissione sembra ora orientata a una logica di consolidamento, semplificazione e razionalizzazione del quadro regolatorio esistente.

L’iniziativa non ridiscute i principi fondanti del modello europeo – tutela dei diritti fondamentali, protezione dei dati personali, sicurezza digitale e gestione del rischio – ma prende atto delle difficoltà operative incontrate da imprese e autorità nell’attuazione concreta delle nuove regole.

In questa prospettiva, il Digital Omnibus si configura meno come una mera revisione tecnica e più come l’avvio di un vero “Digital Acquis 2.0“, nel quale:

  • la proporzionalità torna ad assumere un ruolo centrale;
  • il rischio di iper-regolazione viene consapevolmente contenuto;
  • il focus si sposta dalla quantità di norme alla qualità e coerenza delle stesse.

Per le imprese – in particolare per banche, intermediari finanziari, assicurazioni e grandi gruppi industriali – il messaggio è duplice.

Da un lato, è opportuno accogliere con favore il tentativo di semplificazione, che potrebbe tradursi, nel medio periodo, in una riduzione effettiva degli oneri di conformità e in un contesto regolatorio più prevedibile per l’innovazione digitale e l’impiego dell’intelligenza artificiale.

Dall’altro lato, non può sottovalutarsi il fatto che il Digital Omnibus è, allo stato, soltanto una proposta normativa, destinata ad attraversare un articolato iter legislativo europeo e, quindi, suscettibile di subire modifiche anche significative prima della sua eventuale adozione definitiva.

Ne consegue che, in una fase di transizione come quella attuale, le organizzazioni dovranno adottare un approccio prudente e flessibile, evitando sia l’immobilismo sia investimenti affrettati su modelli di compliance destinati a mutare nel breve periodo.

In particolare, si suggerisce di:

  • monitorare con attenzione l’evoluzione del procedimento legislativo;
  • mantenere come riferimento necessario il quadro normativo vigente (GDPR, AI Act, NIS2, DORA, Data Act);
  • orientare le strategie di innovazione tecnologica verso modelli di uso responsabile e tracciabile dei dati e dell’intelligenza artificiale;
  • prepararsi, sin d’ora, ad un futuro quadro maggiormente armonizzato, ma ancora fortemente incentrato su accountability, governance e gestione del rischio.
Leggi gli ultimi contenuti dello stesso autore
Attualità
Governance e controlli

Digital Omnibus: analisi delle nuove proposte normative

3 Dicembre 2025

Giulio Coraggio, Partner, DLA Piper

Enila Elezi, Associate, DLA Piper

Il contributo analizza le novità del pacchetto di misure proposte dalla Commissione UE denominato “Digital Omnibus”, volta a semplificare e consolidare il quadro normativo digitale nell'Unione europea.
Di cosa si parla in questo articolo
AI Act Digital omnibus GDPR
Vuoi leggere la versione PDF?
Vuoi leggere altri contenuti degli autori?

WEBINAR / 22 Gennaio
Analisi degli scenari ambientali: nuove linee guida EBA

ZOOM MEETING
Offerte per iscrizioni entro il 22/12

SCOPRI I DETTAGLI

WEBINAR / 15 Gennaio
Autovalutazione del rischio di riciclaggio: nuove raccomandazioni Banca d’Italia

ZOOM MEETING
Offerte per iscrizioni entro il 03/12

SCOPRI I DETTAGLI