Digital Omnibus: verso un ‘codice di semplificazione’ per dati, cyber e AI in Europa

La Commissione europea ha avviato una consultazione per costruire un “Digital Omnibus” capace di armonizzare e semplificare porzioni chiave dell’acquis digitale: dati, cybersicurezza e intelligenza artificiale. L’iniziativa arriva a valle dell’entrata in applicazione di parti cruciali dell’AI Act, incluse le regole sui modelli di IA di uso generale (GPAI), e si inserisce nella traiettoria di attuazione che la stessa DG CONNECT sta orchestrando con linee guida, codici di pratica e template di trasparenza. Obiettivo dichiarato: ridurre oneri amministrativi e incertezza interpretativa, mantenendo intatto il livello di tutela di diritti fondamentali e sicurezza.

Dal punto di vista regolatorio, il Digital Omnibus può funzionare da “ponte” tra atti approvati in tempi diversi e con lessici non sempre allineati (GDPR, DSA/DMA, NIS2, Data Act, AI Act). Un esempio concreto è la coerenza dei requisiti di risk management e trasparenza: le imprese spesso affrontano pacchetti simili di adempimenti che cambiano sigla a seconda dell’atto. Un consolidamento mirato—senza riaprire i testi legislativi—potrebbe venire via con atti di esecuzione, linee guida comuni e moduli standardizzati in stile “once-only”, alleggerendo la compliance soprattutto per PMI e PA.

Sul fronte tecnologico, l’Omnibus potrebbe accelerare l’adozione degli strumenti già messi a terra dalla Commissione sull’AI: il template per il riepilogo dei dati di addestramento dei modelli, le linee guida sul perimetro degli obblighi GPAI e il codice di pratica come strumento di “compliance by design”. La sfida è renderli realmente interoperabili con gli schemi di certificazione (es. CRA/NIS2) e con i registri/documentazione richiesti per i sistemi AI ad alto rischio.

Implicazioni per il diritto: l’allineamento lessicale e procedurale tra atti può ridurre i rischi di “forum shopping” regolatorio e le ambiguità tra basi giuridiche (es. legittimo interesse vs. obbligo legale) quando i trattamenti dati si innestano su sistemi AI o su infrastrutture critiche. Attenzione però agli effetti collaterali: la “semplificazione” non deve svalutare i presidi sostanziali (es. valutazioni d’impatto, audit indipendenti), soprattutto laddove la GPAI innerva servizi essenziali.

Implicazioni per il business e la competitività: una compliance più fruibile è un vantaggio competitivo per l’ecosistema europeo, che paga oggi il costo della frammentazione. Check-list unificate, modelli di documentazione riusabili e interfacce digitali standard possono ridurre tempi di immissione sul mercato e costo del capitale, in particolare per scaleup deep-tech e fornitori B2B. La condizione necessaria è la stabilità interpretativa nel tempo.