iubenda incontra IAB Italia sul Digital Omnibus e sull’AI: perché semplificare non è così semplice

In breve

Il Digital Omnibus promette regole digitali più semplici, ma l’applicazione pratica è la vera sfida: doppio enforcement, segnale del browser, granularità del consenso. Ne abbiamo parlato al webinar di IAB Italia insieme a Hearst e Omnicom Media. Intanto sul fronte AI le cose si muovono: il Consiglio ha dato il via libera definitivo alla semplificazione dell’AI Act.

Il Digital Omnibus nasce con una promessa semplice: ridurre la complessità delle regole digitali europee e alleggerire il peso della compliance per le aziende. Ma semplificazione reale? È la domanda che ha dato il titolo al webinar organizzato da IAB Italia, a cui ha partecipato Giulia Stancampiano, Director of Legal (Privacy & Tech) di iubenda, insieme a Federica Tigani (Hearst) e Guido Fossi (Omnicom Media).

Un punto fermo

Il Digital Omnibus è una proposta, pubblicata dalla Commissione europea il 19 novembre 2025, e non ancora legge. Le regole del General Data Protection Regulation (GDPR) e della direttiva ePrivacy restano in vigore così come le conosci.

Questo articolo è stato aggiornato a giugno 2026. Il quadro normativo è in evoluzione e alcune informazioni potrebbero cambiare.

Cosa propone (e cosa preoccupa) il Digital Omnibus

Il Digital Omnibus non tocca una sola legge. È un pacchetto che interviene su diverse norme europee, tra cui il GDPR, la direttiva ePrivacy, il Data Act, la direttiva NIS2 e il Single Digital Gateway Regulation. L’obiettivo dichiarato è chiaro: meno frammentazione, regole più facili da applicare.

Il problema è che, nel farlo, la proposta rischia di creare nuova complessità. Una delle criticità sollevate durante il webinar riguarda il doppio regime normativo: il testo distinguerebbe tra dati personali, disciplinati dal GDPR, e dati non personali, disciplinati dalla direttiva ePrivacy. Le imprese potrebbero così trovarsi esposte a un doppio enforcement, da parte delle autorità privacy e delle autorità nazionali delle telecomunicazioni.

Anche la definizione stessa di dato personale e le regole sulla riidentificazione dei dati pseudonimizzati verrebbero ridisegnate. Tradurre questi confini nella pratica quotidiana, per chi gestisce dati ogni giorno, non è banale.

Il segnale browser: semplice in teoria

Uno dei punti più discussi nel webinar è l’articolo 88-ter, che introduce il consenso a livello di browser: l’idea che l’utente esprima le proprie preferenze una volta, nelle impostazioni del browser o del sistema operativo, e che i siti le rispettino.

Sulla carta è elegante. Nella pratica, le cose si complicano. Come ha spiegato Giulia Stancampiano:

La sfida principale non è tanto tecnica in senso stretto, ma è strutturale.

Giulia Stancampiano, Director of Legal (Privacy & Tech), iubenda

Un segnale browser presuppone un ecosistema omogeneo, ma l’ecosistema reale non funziona così: “lo stesso utente ha un computer, un laptop con Chrome, uno smartphone con Safari e una smart TV con un sistema proprietario”. Come si raccordano questi segnali? E cosa succede quando sono incoerenti tra loro?

C’è poi la filiera. Tra publisher e inserzionista intervengono decine di attori, dai data broker agli ad server. Una volta che un segnale deve attraversare questa catena restando integro, chi ne è responsabile?

C’è anche un nodo di validità giuridica. Per il GDPR, il consenso deve essere informato, specifico e contestualizzato rispetto al singolo servizio: le aspettative di un utente su un social finanziato dalla pubblicità non sono quelle che ha verso un servizio fiscale o amministrativo. Un consenso raccolto una volta sola dal browser fatica a rappresentare finalità così diverse. A questo si aggiunge un tema concorrenziale: centralizzare le preferenze nel browser darebbe ai grandi operatori (Apple, Google) un ruolo dominante, con il rischio di squilibri di mercato e di tensioni con gli obiettivi del Digital Markets Act (DMA).

La granularità persa

Guido Fossi ha portato il punto di vista di chi gestisce campagne ogni giorno. Il consenso, ha ricordato, è contestuale: la propensione a darlo cambia da settore a settore. Mettere “tutto sotto un unico grande contenitore” significa perdere quella granularità che serve anche agli utenti, per poter dire “a questo potrei dare il consenso, a quest’altro magari no”.

Senza contare la misurazione: molti clienti, oggi, faticano già a capire quanti utenti atterrano sul loro sito. È un’informazione che dovrebbe essere più facile da ottenere, ed è proprio un esempio in cui le regole potrebbero essere più morbide: parliamo di un dato aggregato e a basso rischio, da cui non si torna indietro per identificare le singole persone.

E c’è la confusione di fondo tra dato personale e dato non personale. Come hanno notato Federica Tigani e Guido Fossi, lo stesso cookie può essere tecnico, analitico o di profilazione, e spesso un operatore non sa nemmeno a quale autorità guardare.

L’impatto economico dell’Omnibus Digitale

grafico dello studio Implement Consulting Group. Didascalia: "Gone in one click: assessing the socio-economic impact of browser-level consent in the EU", Implement Consulting Group, March 2026

I numeri aiutano a capire la posta in gioco. Secondo lo studio “Assessing the Socio-Economic Impact of Browser-Level Consent in the EU” di Implement Consulting Group (marzo 2026), presentato durante il webinar, il passaggio al consenso a livello di browser potrebbe ridurre i ricavi pubblicitari del 20-35%, con perdite stimate tra 40 e 50 miliardi di euro l’anno.

La Commissione europea, dal canto suo, stima risparmi per circa 820 milioni di euro per le imprese e 320 milioni per il settore pubblico, grazie all’eliminazione dei meccanismi di consenso separati. Le due stime misurano cose diverse: l’efficienza dei processi da un lato, la tenuta del modello pubblicitario dall’altro. Per chi vive di advertising, il secondo numero pesa.

L’AI Act nell’ambito Digital Omnibus

Il pacchetto non riguarda solo cookie e dati: tocca anche l’AI Act. E su questo fronte le cose si sono mosse in fretta: a fine giugno 2026 il Consiglio ha dato il via libera definitivo al regolamento che semplifica e razionalizza le norme sull’intelligenza artificiale.

I punti principali del nuovo regolamento:

  • Più tempo per i sistemi ad alto rischio: un calendario fisso e più realistico, distinto per i sistemi indipendenti e per quelli integrati nei prodotti (come dispositivi medici e giocattoli).
  • Divieto dei sistemi “nudifier”: vietata la generazione di contenuti sessuali o intimi non consensuali e di materiale di abuso sessuale su minori.
  • Meno sovrapposizioni con le leggi di settore: quando una normativa settoriale prevede già requisiti simili su un sistema di IA, un meccanismo dedicato evita i doppi obblighi.
  • Competenze più chiare per l’ufficio per l’IA sul controllo dei sistemi basati su modelli per finalità generali.
  • Più tempo alle autorità nazionali per istituire gli spazi di sperimentazione normativa (sandbox).
  • Un obbligo nuovo per la Commissione: fornire orientamenti pratici per aiutare gli operatori dei sistemi ad alto rischio a conformarsi, riducendo l’onere di compliance.

È qui che il tema dell’applicazione pratica torna centrale. Durante il webinar, Federica Tigani ha chiesto “un ulteriore sforzo di omogeneizzazione” e la redazione di vere best practice, perché oggi “manca chiarezza su quale sia il piano operativo da attuare”. Il nuovo regolamento va in questa direzione: più tempo per adeguarsi e orientamenti operativi in arrivo.

Cosa serve davvero: meno astrazione, più strumenti

Il punto non è difendere lo status quo. È che un principio giusto, senza strumenti operativi, resta solo un principio.

Anche in un modello basato sui segnali globali, qualcuno deve tradurre i diritti astratti in enforcement tecnico: decidere se un tracciamento può partire, raccogliere le prove del consenso, leggere e rispettare i segnali del browser. È esattamente il ruolo di una Consent Management Platform (CMP), che i segnali globali non sostituiscono, ma rendono ancora più necessaria.

Proprio per questo, iubenda è tra i co-fondatori della nuova European CMP Association. Sosteniamo la volontà dell’UE di semplificare: il sistema attuale pesa sulle aziende ed è rumoroso per gli utenti. Un quadro più pratico e interoperabile sarebbe meglio per tutti.

In sintesi

Le cose si stanno muovendo. Sul fronte AI il quadro inizia a stabilizzarsi, e il confronto tra istituzioni e industry sta entrando nel merito: non più solo principi, ma scadenze certe e orientamenti operativi.

La domanda giusta, adesso, non è se semplificare, ma come capire cosa funziona davvero nel mondo reale, con categorie chiare e strumenti che chi gestisce dati e campagne può usare ogni giorno. È il contributo che iubenda porta al tavolo, insieme all’industry.

A giugno 2026, il Digital Omnibus è ancora una proposta, e la compliance resta quella di oggi. iubenda continuerà a seguire il dossier e a tradurre le novità in indicazioni pratiche, appena il testo si stabilizza.


Articolo aggiornato a giugno 2026. Il quadro normativo è in evoluzione e alcune informazioni potrebbero cambiare.