La proposta UE “Digital Omnibus”: semplificazione normativa o arretramento sui diritti digitali?
La Commissione europea ha lanciato il “Digital Omnibus”, un’iniziativa legislativa volta ad armonizzare e coordinare i principali regolamenti digitali dell’UE, dal Digital Services Act (DSA) al Digital Markets Act (DMA), fino all’AI Act e al Data Act, in un unico quadro di governance e vigilanza.
Presentata ufficialmente il 19 novembre 2025, la proposta segna l’avvio di una fase di consolidamento normativo che, a detta della Commissione, punta a “semplificare l’attuazione e rafforzare la certezza giuridica per Stati e operatori”. In altre parole, invece di introdurre nuovi obblighi, il Digital Omnibus ambisce a “fare manutenzione” al sistema esistente: eliminare sovrapposizioni, unificare definizioni e allineare procedure tra le varie norme digitali approvate negli ultimi anni.
L’iniziativa risponde alle richieste emerse in sede UE (rapporti Letta e Draghi, Consiglio europeo) di alleggerire un panorama normativo divenuto complesso e potenzialmente dannoso.
A chi si rivolge
La platea dei destinatari del Digital Omnibus è vastissima. La proposta, infatti, si applicherebbe “a tutte le imprese e pubbliche amministrazioni soggette ad almeno uno dei seguenti regolamenti: DSA, DMA, AI Act o Data Act”.
Copre l’intero ecosistema digitale: dalle grandi piattaforme online e gatekeeper del mercato (regolati da DSA/DMA), alle società che sviluppano o utilizzano sistemi di IA ad alto rischio (AI Act), fino alle aziende coinvolte in condivisione e trattamento di dati (Data Act) e alle infrastrutture critiche soggette a cybersecurity (NIS2, DORA, etc.).
Nessuno escluso, neppure le pubbliche amministrazioni titolari di dati riutilizzabili. L’intento dichiarato è di fornire “immediato sollievo” in termini di minori costi di conformità e oneri amministrativi a beneficio tanto del settore privato quanto di quello pubblico.
Non a caso, tra i beneficiari figurano espressamente anche le PMI e le mid-cap, per le quali sono previste esenzioni aggiuntive da obblighi attuali; un allargamento delle agevolazioni già riconosciute a startup e microimprese.
In teoria, quindi, il Digital Omnibus si rivolge a tutti gli “attori responsabili” del mercato unico digitale, promettendo loro regole più chiare, meno duplicazioni e maggiore certezza del diritto.
Eppure, osservando la situazione con uno sguardo disilluso, è difficile non notare come i veri destinatari delle semplificazioni proposte siano i grandi gruppi tecnologici globali. È noto che colossi come Google, Meta, OpenAI e persino importanti aziende europee (Siemens, SAP) da tempo invocano un alleggerimento delle regolamentazioni UE sull’IA e sui dati, giudicate eccessivamente onerose. La Commissione stessa ammette che l’iniziativa nasce anche per “evitare che l’Europa perda ulteriore terreno nella corsa tecnologica globale” a vantaggio di Stati Uniti e Cina.
In questo senso, il Digital Omnibus sembra quasi fatto su misura per rispondere alle pressioni dell’industria: ad esempio, consentendo finalmente alle big tech di sfruttare con meno vincoli i dati degli europei per addestrare i propri algoritmi.
I sostenitori parlano di “win-win” in cui anche i cittadini avrebbero da guadagnare (meno burocrazia, servizi digitali più innovativi).
Ma la domanda è: semplificare per chi? Per il piccolo imprenditore sommerso dalla compliance, o per i giganti del web che vedono rimossi alcuni ostacoli normativi?
Cerchiamo di capirlo in questo articolo.
Come cambia la cooperazione tra autorità competenti
Uno dei pilastri del Digital Omnibus è la riforma della governance e della cooperazione tra autorità. Oggi ogni regolamento digitale ha propri meccanismi di vigilanza: ad esempio il DSA prevede un Digital Services Coordinator per Stato membro, il DMA è gestito centralmente dalla Commissione (con input dalle authority nazionali antitrust), l’AI Act istituirà un organismo di coordinamento (European AI Office) accanto alle autorità nazionali, e così via.
Questo mosaico rischia di generare sovrapposizioni di competenze e conflitti. La soluzione proposta? Istituire il principio di “coordinamento digitale unico” a livello nazionale, designando in ogni Stato una Digital Coordination Authority (DCA) quale punto di riferimento unitario.
Ogni paese dovrà individuare un regolatore digitale incaricato di coordinare l’applicazione di DSA, DMA, Data Act, AI Act (e normative affini) sul proprio territorio. In parallelo, a livello europeo, verrebbe creata una rete federata di autorità digitali composta dai suddetti DCA nazionali.
Al vertice si posizionerebbe la Commissione europea come autorità di supervisione centrale dell’intero sistema. Questo implica che Bruxelles avrebbe un ruolo più incisivo e formalizzato nel far rispettare le regole digitali, potenzialmente andando oltre l’attuale intervento limitato (oggi la Commissione interviene direttamente solo in ambiti come il DMA e per le “very large platforms” nel DSA).
Viene inoltre estesa e resa obbligatoria la cooperazione reciproca tra autorità di Stati diversi, mutuando ed ampliando il meccanismo di assistenza tra autorità che il DSA già prevedeva.
Le autorità nazionali dovranno assistersi a vicenda sulle questioni transfrontaliere, riducendo tempi morti e rimpalli di responsabilità. Il risultato sperato è una vigilanza più coerente: stesse definizioni, stesse procedure, sanzioni coordinate (come vedremo) e un unico regista europeo a orchestrare il tutto. Da una prospettiva ottimistica, questa svolta “federale” nella governance digitale potrebbe colmare le attuali lacune di coordinamento, evitando sia i vuoti di potere sia le duplicazioni.
Come cambia la notifica degli incidenti NIS2 e DORA
Tra le semplificazioni più concrete e tecniche del pacchetto c’è la creazione di un meccanismo unico europeo di notifica degli incidenti di sicurezza informatica. Attualmente le imprese soggette a normative come la direttiva NIS2 (sicurezza delle reti) e il regolamento DORA (resilienza operativa digitale nel settore finanziario) devono districarsi tra procedure di segnalazione frammentate: un singolo cyber-incidente di ampia portata potrebbe imporre notifiche multiple a diverse autorità (ad esempio al CSIRT nazionale per NIS2, alla banca centrale per DORA, all’agenzia per la cybersicurezza per CER, etc.), con moduli e canali differenti.
Il Digital Omnibus affronta di petto questo problema istituendo presso ENISA (Agenzia UE per la cibersicurezza) un portale unico di segnalazione valido per tutti i regimi.
Le entità obbligate potranno così trasmettere un’unica notifica attraverso un’interfaccia centralizzata, che poi smisterà automaticamente le informazioni alle autorità competenti secondo le varie normative di riferimento. Un one stop shop per incident reporting: niente più invii duplicati dello stesso report a canali differenti.
L’obbligo sostanziale di notificare entro certe tempistiche rimane, ma si “ottimizza sensibilmente il flusso di lavoro” senza modificare i requisiti legali sottostanti. Questo sistema integrato coprirà non solo NIS2 e DORA, ma anche le notifiche di violazione dei dati personali previste dal GDPR, unificando di fatto ogni obbligo di segnalazione di incidente digitale oggi esistente.
La semplificazione sul piano operativo è evidente: le aziende avranno meno burocrazia ripetitiva e potranno concentrarsi sulla gestione dell’incidente invece che sulla compilazione di moduli per ciascun regolatore.
Anche le autorità beneficeranno di una visione centralizzata e coordinata delle minacce, potendo condividere rapidamente informazioni tramite la piattaforma comune. ENISA, incaricata di sviluppare e gestire il portale, dovrà garantirne la sicurezza e consultarsi con gli organismi nazionali durante la messa a punto tecnica. Verrà avviato un progetto pilota e solo quando la Commissione ne certificherà il corretto funzionamento (riservandosi verifiche su affidabilità, confidenzialità, etc.) il sistema entrerà a regime.
Come cambia l’AI Act
La Commissione propone di ritardare e attenuare alcune misure dell’AI Act per alleggerire la pressione sull’industria tech. Il regolamento sull’intelligenza artificiale (AI Act, formalmente Reg. UE 2024/1689) è stato approvato di recente con l’obiettivo di imporre fin dal 2026 stringenti requisiti sui cosiddetti sistemi AI ad alto rischio (dalla biometria alla valutazione del credito).
Ebbene, con il Digital Omnibus la Commissione mira a “facilitare l’applicazione fluida ed efficace” di quelle regole, il che nella pratica si traduce in un allentamento e rinvio di alcune disposizioni chiave. Anzitutto, si prevede di posticipare di circa un anno e mezzo l’entrata in vigore delle norme più severe per gli impieghi sensibili di AI: dai sistemi di identificazione biometrica ai tool usati in ambito medico, finanziario o di polizia. Invece che ad agosto 2026 (come originariamente fissato), le “regole più rigide sull’AI” scatterebbero solo a dicembre 2027.
La motivazione ufficiale è concedere più tempo a industria e autorità per adeguarsi; l’effetto concreto è che i cittadini europei rimarranno più a lungo senza tutele robuste proprio nelle aree dove l’IA può fare più danni. Un secondo cambiamento riguarda la trasparenza: l’AI Act nella sua versione originale richiede che ogni sistema IA ad alto rischio immesso sul mercato UE sia registrato in un’apposita banca dati pubblica.
Il Digital Omnibus introduce un’esenzione a questo obbligo: se un sistema di AI ad alto rischio è utilizzato solo per compiti “ristretti o procedurali” (ad esempio, funzioni interne aziendali), l’azienda potrà evitare di inserirlo nel registro UE.
Dunque non tutti i sistemi ad alto rischio saranno visibili al pubblico: alcune AI impiegate dietro le quinte sfuggiranno alla luce del sole, riducendo quello che era pensato come uno strumento fondamentale di accountability e conoscenza.
Oltre a queste modifiche puntuali, la Commissione ha contestualmente proposto (come parte del pacchetto Omnibus) una serie di emendamenti orizzontali in materia di data protection che impattano direttamente sull’IA.
Vengono ad esempio chiariti i criteri per stabilire “quando un dato cessa di essere personale” secondo il GDPR, con l’obiettivo palese di facilitare l’uso di dati anonimizzati / pseudonimizzati degli utenti UE per l’addestramento algoritmico.
Più controverso ancora, si intende consentire il trattamento di dati personali per addestrare modelli di AI basandosi sul legittimo interesse del titolare.
Ciò rappresenterebbe un cambiamento epocale: attualmente usare dati personali degli individui per fare machine learning massivo richiede basi giuridiche solide (spesso il consenso esplicito o altre condizioni molto restrittive), mentre con la nuova deroga del Digital Omnibus le big tech potrebbero legittimamente alimentare i loro algoritmi con tonnellate di informazioni personali senza dover chiedere permesso, appellandosi al “legittimo interesse” aziendale.
Di fatto, come riportato dalle agenzie, le proposte “permetterebbero a Google, Meta, OpenAI e altri di utilizzare i dati personali degli europei per addestrare modelli di IA”, una svolta normativa fortemente voluta dall’industria.
Come cambia il Data Act
Accanto a AI e piattaforme, l’altro grande cantiere è quello dei dati.
Il Data Act (Reg. UE 2023/2854) era nato per regolare accesso e condivisione dei dati industriali e dei dispositivi IoT, ma operava in un ecosistema normativo affollato: c’era già il Data Governance Act (DGA) sul data sharing pubblico-privato, la Open Data Directive sul riuso dei dati delle PA, e persino il vecchio regolamento 2018/1807 sul libero flusso dei dati non personali. Un vero “patchwork”, spesso non allineato nei termini.
Il Digital Omnibus interviene con un riordino radicale: integra nel Data Act le disposizioni chiave del DGA, della direttiva Open Data e del regolamento Free Flow. In pratica il Data Act diventa il contenitore unico della strategia europea sui dati, assorbendo quelle parti degli altri testi che potevano sovrapporsi o risultare ridondanti.
Ad esempio, viene inserito nel Data Act un intero capo nuovo sul riuso dei dati e documenti delle pubbliche amministrazioni, che combina le regole generali del DGA e dell’Open Data Directive. Si uniformano anche le definizioni: finalmente concetti come “dato” (digitale) e “documento” (non digitale) vengono distinti chiaramente e usati in modo coerente in tutto il quadro normativo.
Allo stesso modo si introduce una definizione unica di “servizio di intermediazione di dati” e si delineano principi comuni come la non discriminazione nell’accesso ai dati pubblici e il divieto di accordi esclusivi per il riuso dei dati governativi.
In sostanza, grazie all’Omnibus, i vari pezzi del puzzle normativo sui dati (pubblici, industriali, personali e non) vengono incastrati in un quadro unico più coerente. Parallelamente, il Digital Omnibus rafforza alcune tutele e chiarisce obblighi nel Data Act.
Viene data particolare enfasi alla protezione dei segreti commerciali delle imprese che condividono dati: si introducono nuovi safeguard per impedire che informazioni riservate finiscano nelle mani sbagliate, ad esempio in paesi terzi non sicuri.
Questa mossa, accolta favorevolmente dall’industria, mitiga uno dei timori maggiori legati alla condivisione obbligatoria di dati (come quella verso le autorità pubbliche prevista dal Data Act).
In secondo luogo, si semplifica il quadro delle data sharing per finalità di interesse pubblico (B2G), giudicato finora macchinoso e “a maglie troppo larghe” (si temeva che potesse applicarsi quasi a qualunque dato).
Ci saranno criteri più precisi per delimitare quando un ente pubblico può chiedere dati ad aziende, aumentando la certezza giuridica per queste ultime. Anche le norme sulle smart contract vengono chiarite, dato che erano risultate poco comprensibili nella pratica.
Si rivedono in parte gli obblighi di portabilità e switching dei servizi cloud: il principio rimane cruciale per aprire il mercato, ma si riconosce che alcune previsioni erano “eccessivamente gravose non solo per le PMI ma anche per le mid-cap”.
L’Omnibus introduce deroghe per contratti legacy su servizi di cloud personalizzati e alleggerisce i requisiti di interoperabilità, in modo da non penalizzare le realtà di dimensioni medie.
Cookie e privacy: cosa cambia?
Non meno importante, il Digital Omnibus interviene sul fronte privacy e comunicazioni elettroniche, con un occhio di riguardo alla tanto odiata cookie law. Viene infatti trasferita nel GDPR l’intera disciplina sui cookie oggi contenuta nella direttiva ePrivacy.
L’idea di fondo è integrare il consenso per i cookie nel quadro generale della GDPR, così da sfruttarne i meccanismi di enforcement più robusti e uniformi (ricordiamo che la direttiva ePrivacy, a differenza di un regolamento, lasciava margini di differenza nei recepimenti nazionali).
Si promuovono meccanismi di consenso automatizzato: ad esempio, browser o sistemi operativi potrebbero trasmettere ai siti preferenze generali dell’utente riguardo ai cookie, eliminando la necessità di cliccare ogni volta sui banner. Questo potrebbe voler dire l’adozione di uno standard tipo “Do Not Track” o segnali simili per semplificare l’esperienza utente e ridurre la dipendenza dai fastidiosi pop-up.
Importante notare che viene abrogato l’art. 4 della direttiva ePrivacy, la norma che imponeva ai fornitori di comunicare le violazioni dei dati personali alle autorità e agli utenti.
Tale obbligo infatti ora risulta assorbito dal GDPR e dalla NIS2, rispettivamente per le violazioni di dati personali e per gli incidenti di sicurezza sulle reti, eliminando così un doppione normativo.
In sintesi, il risultato è un allineamento della normativa sulla riservatezza nelle comunicazioni all’impianto generale: meno leggi separate e più coerenza con il GDPR.
Quali sono le nuove sanzioni introdotte dal Digital Omnibus
Veniamo infine al tema delle sanzioni, su cui fortunatamente il legislatore Omnibus non aggiunge pene draconiane ulteriori, bensì adotta un approccio di armonizzazione e trasparenza.
Invece di introdurre nuove fattispecie sanzionatorie, il regolamento propone di uniformare i regimi di enforcement esistenti nei vari atti digitali.
Questo avviene tramite alcune misure chiave:
- Criteri comuni di proporzionalità: vengono stabiliti parametri unificati per valutare gravità delle violazioni, attenuanti ed eventuali esimenti, così da assicurare che una stessa infrazione sia trattata con analoga severità in tutti gli Stati membri.
- Linee guida nazionali sul calcolo delle multe: gli Stati saranno tenuti a pubblicare linee guida ufficiali su come vengono quantificate le sanzioni pecuniarie nei casi concreti. Questo per evitare opacità e discrezionalità eccessiva nella comminazione delle ammende.
- Banca dati europea delle sanzioni: si creerà un database centralizzato delle sanzioni digitali irrogate, gestito dalla Commissione. Ciò permetterà di monitorare l’applicazione delle norme e confrontare l’azione repressiva tra i diversi paesi, aumentando la trasparenza.
Insomma, non vengono introdotte nuove sanzioni rispetto a quelle già previste nei regolamenti di settore, “ma vengono armonizzati i criteri di calcolo e di pubblicazione” delle sanzioni stesse.
Un’azienda che violi il DSA o il Data Act non rischierà dunque multe diverse da prima, però saprà che ovunque in UE esistono criteri comuni e una banca dati che registra le violazioni (con probabile effetto deterrente reputazionale).
La Commissione, da par suo, potrà usare il database per controllare l’effettività dell’enforcement nazionale e fare pressione se alcuni paesi chiudono un occhio. Le intenzioni paiono condivisibili: coerenza sanzionatoria e pubblicità come anticorpi contro arbitrii e lassismi. La domanda è se basteranno.
I critici sottolineano infatti che il problema attuale non è tanto la mancanza di criteri (già ora le leggi prevedono range e principi generali), quanto la scarsa applicazione delle sanzioni dove servirebbe. Uniformare le regole del gioco è positivo, ma il Digital Omnibus non affronta il nodo delle differenze di capacità tra autorità nel far rispettare le norme.
Inoltre, fissare criteri comuni potrebbe inavvertitamente portare alcune autorità a ridurre l’entità delle sanzioni per allinearsi alla media europea, soprattutto in quei paesi che finora hanno adottato approcci più rigorosi. Un’armonizzazione “al ribasso” è un rischio da considerare. D’altro canto, la maggiore trasparenza potrebbe innescare una virtuosa emulazione: nessun garante vorrà apparire come l’anello debole nell’elenco delle multe UE.
Un’altra scelta che sembra pensata per rassicurare le imprese è la logica del “same objectives at lower cost” sbandierata dalla Commissione: le regole e relative punizioni sulla carta restano, ma si promette che costeranno meno fatica e soldi a tutti.
Conclusione
Il Digital Omnibus è un intervento di ingegneria legislativa ambizioso, probabilmente necessario sotto molti aspetti pratici, ma che solleva interrogativi fondamentali: semplificare per chi? modernizzare a quale prezzo?
La sensazione, condivisa da molte voci critiche, è che si stia percorrendo una linea sottile tra l’aggiornare un sistema complesso per renderlo più efficiente e il deregolare surrettiziamente quello stesso sistema sacrificando principi di trasparenza e tutela conquistati negli anni.
Sin dalle prime reazioni, molti osservatori guardano alla proposta con scetticismo. Sotto la retorica accattivante della “semplicità by design” e della necessità di “sostenere l’innovazione e la crescita” nel digitale, il Digital Omnibus cela un pericoloso passo indietro rispetto a principi ormai consolidati di trasparenza, governance e tutela dei diritti digitali.
Non a caso, una coalizione di 127 organizzazioni della società civile ha definito questa proposta “il più grande arretramento dei diritti digitali fondamentali nella storia dell’UE”.
Anche attivisti come Max Schrems (noyb) denunciano che, con queste modifiche, “tutti i tuoi dati verranno scaraventati negli algoritmi di Meta, Google o Amazon, facilitando sistemi di IA che conosceranno i dettagli più intimi e di conseguenza potranno manipolare le persone”.
Insomma, dietro il mantra della semplificazione normativa e della competitività, il rischio paventato è quello di una “deregolamentazione strisciante”, dove a guadagnarci davvero sarebbero le grandi aziende tech a discapito di utenti e diritti.
