AI Act / obblighi per le imprese dal 02 agosto 2026

AI Act / obblighi per le imprese dal 02 agosto 2026 / Note Rev. 0.0 2026

ID 26488 | 21 Giugno 2026 / Note complete in allegato

Il Regolamento (UE) 2024/1689, prima regolamentazione sistematica in materia di intelligenza artificiale, entrato in vigore il 1° agosto 2024, prevede un'applicazione differita per fasi.

I divieti dell'art. 5 e gli obblighi di alfabetizzazione (AI literacy, art. 4) sono efficaci dal 2 febbraio 2025, le regole di governance e gli obblighi per i modelli per finalità generali (GPAI) dal 2 agosto 2025, mentre, il 2 agosto 2026 è la scadenza che riguarda il maggior numero di imprese, perché diventano applicabili i Capi III-VIII del Regolamento (alto rischio, trasparenza, GPAI, sorveglianza del mercato, governance e sanzioni).

Tabella date applicazioni

Obblighi al 2 agosto 2026

Obblighi di trasparenza (art. 50)

A supporto applicativo, l'AI Office ha predisposto le Linee guida sui sistemi di IA trasparenti (in consultazione dall’8 maggio 2026) e un Codice di condotta sulla trasparenza dei contenuti generati da IA (strumento volontario).

Code of Practice on Transparency of AI-Generated Content

Il Code of Practice on Transparency of AI-Generated Content (Codice di condotta sulla trasparenza dei contenuti generati da IA) è il testo ufficiale pubblicato dalla Commissione Europea e dall'Ufficio per l'IA (AI Office) il 10 giugno 2026.

Questo documento è una guida pratica e operativa nata per aiutare le aziende a rispettare gli obblighi di trasparenza previsti dall'Articolo 50 dell'AI Act, che diventeranno vincolanti a partire dal 2 agosto 2026.

Sebbene l'adesione al Codice in sé sia volontaria, rispettare l'Articolo 50 è un obbligo di legge: firmare e seguire il Codice garantisce alle imprese la certezza giuridica di essere in regola (presunzione di conformità).

Il Codice si divide in due sezioni chiave: una per chi i sistemi li crea (i fornitori) e una per chi li usa per pubblicare contenuti (gli utilizzatori).

Sezione 1: I Fornitori (Providers) - Marcatura e Rilevamento

Si rivolge a chi sviluppa sistemi di IA generativa (come OpenAI, Google, Midjourney, ecc.). Il codice stabilisce un approccio tecnico basato su due livelli per far sì che i contenuti generati siano identificabili:

- Metadati sicuri e Watermarking: I fornitori devono inserire nei file (audio, immagini, video, testo) dei marcatori digitali invisibili e resilienti, capaci di resistere a modifiche comuni come la compressione del file o il ritaglio (cropping).

- Tracciabilità e Fingerprinting: Come soluzione di riserva (fallback), si incoraggia l'uso di impronte digitali informatiche per verificare l'origine del file se la marcatura attiva dovesse fallire.

- Strumenti di controllo pubblici: I fornitori devono rendere disponibili (anche tramite API gratuite) dei sistemi di rilevamento che permettano a terzi di verificare, con un tasso di affidabilità percentuale, se un contenuto è stato generato dai loro modelli.

Sezione 2: Gli Utilizzatori (Deployers) - Etichettatura dei Deepfake e Testi Pubblici

Si applica alle aziende o ai professionisti che usano l'IA per creare o modificare contenuti destinati al pubblico. Qui l'obbligo è puramente visivo e comunicativo:

- L'obbligo sui Deepfake: Immagini, video o audio generati da IA che ritraggono persone, luoghi o eventi reali in modo apparentemente autentico devono essere chiaramente etichettati. Per i video live serve un disclaimer iniziale e un indicatore visivo continuo.

- I testi di interesse pubblico: Se l'IA viene usata per generare o modificare significativamente testi scritti con lo scopo di informare il pubblico su temi di interesse generale, scatta l'obbligo di trasparenza.

- Introduzione delle "Icone UE": Il Codice introduce ufficialmente tre varianti di un'icona standard europea (un simbolo grafico comune) da inserire direttamente sopra il contenuto o nell'interfaccia utente per avvisare immediatamente il lettore/spettatore dell'uso dell'IA.

Le icone hanno lo scopo di aiutare le persone fisiche esposte a tali contenuti a riconoscere, in modo chiaro e inequivocabile, che il contenuto è stato generato o manipolato artificialmente. Questo obbligo rafforza la fiducia del pubblico, riduce il rischio di disinformazione e promuove una fruizione e una lettura consapevoli da parte delle persone fisiche di qualsiasi tipo di contenuto.

Non tutti i contenuti generati o manipolati dall'IA devono essere etichettati. L'obbligo di divulgazione previsto dalla legge sull'IA riguarda solo i contenuti generati o manipolati dall'IA. Le icone supportano la conformità all'articolo 50(4) della legge sull'IA, che richiede a chi implementa sistemi di IA di divulgare:

- Deep fake: contenuti di immagini, audio o video generati o manipolati dall'intelligenza artificiale che assomigliano a persone, oggetti, luoghi, entità o eventi esistenti e che potrebbero apparire falsamente autentici o veritieri a una persona.

- Testo generato o manipolato dall'intelligenza artificiale, pubblicato per informare il pubblico su questioni di interesse pubblico, che non è stato sottoposto a revisione umana o controllo editoriale e la cui responsabilità editoriale non è stata assunta da alcuna persona fisica o giuridica.

Limitazioni ed eccezioni

Evidentemente opere artistiche, creative, satiriche, di finzione e analoghe

Quando i contenuti deepfake fanno parte di un'opera o di un programma evidentemente artistico, creativo, satirico, di finzione o analogo, gli obblighi di trasparenza si limitano alla divulgazione in modo appropriato, tale da non ostacolare la fruizione o l'esposizione dell'opera.

Autorizzato dalla legge

L'obbligo di divulgazione non si applica quando l'uso di deepfake o di testi pubblicati su argomenti di interesse pubblico è autorizzato dalla legge per individuare, prevenire, indagare o perseguire reati penali.

Revisione umana o controllo editoriale del testo

L'obbligo di divulgazione non si applica qualora il testo generato dall'IA sia stato sottoposto a un processo di revisione umana o di controllo editoriale e qualora una persona fisica o giuridica sia responsabile della pubblicazione del contenuto.  

Le icone dell'UE

Le icone sono disponibili in 4 varianti: nero, bianco, nero con trasparenza al 50% e bianco con trasparenza al 50%.

Le icone sono state sottoposte a test con gli utenti e i risultati hanno influenzato la loro progettazione. In particolare, le prestazioni sono migliorate in tutti i parametri quando l'icona di base era accompagnata da un'etichetta di testo (ad esempio, modificata).

*Potrebbero essere previsti requisiti di divulgazione limitati per opere artistiche, creative, di finzione o satiriche.

L'utilizzo di queste icone UE è facoltativo, ma i requisiti di etichettatura previsti dall'articolo 50 della legge sull'IA non lo sono. L'utilizzo di queste icone non garantisce di per sé la conformità legale. Chi implementa i contenuti rimane responsabile di garantire che qualsiasi divulgazione soddisfi i requisiti dell'articolo 50 della legge sull'IA. I firmatari del Codice di condotta sulla marcatura e l'etichettatura dei contenuti generati dall'IA devono debitamente attuare le misure in esso contenute.

Governance nazionale e apparato sanzionatorio

Al 2 agosto 2026 entra in piena operatività dell'impianto sanzionatorio (art. 99 e ss.) e della governance nazionale: gli Stati membri devono aver designato le autorità competenti di notifica e di vigilanza del mercato. È la data in cui il regolamento acquisisce, sul piano dell'enforcement, la sua piena cogenza per le fattispecie già applicabili.

Tabella Tipo di violazione / sanzione massima

[...]

Applicazione Generale e Sistemi ad Alto Rischio: Articolo 6, Paragrafo 2 e Allegato III

Il 2 agosto 2026 segna la scadenza per l'entrata in vigore dei severi obblighi di conformità per i sistemi di Intelligenza Artificiale classificati come ad alto rischio ai sensi dell'Articolo 6, paragrafo 2.

I fornitori e i deployer di questi specifici sistemi devono, a partire da questa data, rispettare i requisiti di governance dei dati, documentazione tecnica (Allegato IV), registro degli eventi (logging), supervisione umana e sicurezza informatica.

Per immettere legalmente sul mercato un sistema ad alto rischio il fornitore di un sistema ad alto rischio, deve avere predisposto, prima della messa in servizio:

- Sistema di gestione dei rischi continuo lungo tutto il ciclo di vita.
- Governance dei dati - dataset di addestramento/test pertinenti, rappresentativi, con gestione dei bias.
- Documentazione tecnica completa, da tenere aggiornata.
- Registrazione automatica degli eventi (logging) per la tracciabilità.
- Trasparenza e istruzioni d'uso chiare per i deployer.
- Sorveglianza umana progettata "by design".
- Accuratezza, robustezza e cybersicurezza adeguate.
- Sistema di qualità (QMS).
- Valutazione di conformità, marcatura CE e dichiarazione UE di conformità.
- Registrazione nella banca dati UE dei sistemi ad alto rischio.

Esempio
Una software house che vende uno strumento di screening automatico dei CV (Allegato III) e che, al 1° agosto 2026, non ha completato la valutazione di conformità, la registrazione nella banca dati UE e i meccanismi di sorveglianza umana, è in violazione dal primo giorno di applicazione (2 agosto 2026).

Il deployer di un sistema ad alto rischio ha obblighi:

- Usarlo secondo le istruzioni del fornitore;
- Garantire la sorveglianza umana affidandola a persone competenti;
- Monitorare il funzionamento e sospendere/segnalare in caso di rischi o incidenti gravi;
- Conservare i log generati dal sistema;
- Informare i lavoratori e i loro rappresentanti quando il sistema è usato sul posto di lavoro;
- Informare le persone fisiche soggette a decisioni basate sul sistema;

In alcuni casi (enti pubblici, servizi essenziali) condurre una valutazione d'impatto sui diritti fondamentali (FRIA).

[...] 

Scadenze rinviate per effetto del Digital Omnibus

Il 16 giugno 2026, il Parlamento europeo ha approvato in via definitiva una modifica di alcune norme della legge UE sull’intelligenza artificiale nell’ambito della proposta omnibus digitale. Il Digital AI Omnibus (chiamato anche Digital Omnibus on AI) è un importantissimo pacchetto di emendamenti e semplificazioni normative dell'Unione Europea.

La modifica più sostanziale riguarda il calendario dei sistemi ad alto rischio dell'Allegato III (art. 6, par. 2) biometria, infrastrutture critiche, istruzione, occupazione, accesso a servizi essenziali, law enforcement, migrazione, asilo e controllo frontiere, amministrazione della giustizia - la cui efficacia è posticipata di circa sedici mesi al 2 dicembre 2027. Per i sistemi integrati in prodotti già regolati da altre normative UE (macchine, ascensori, giocattoli) il termine è il 2 agosto 2028. Il rinvio è motivato dall'esigenza di rendere disponibili standard tecnici armonizzati e strumenti di supporto prima dell'efficacia degli obblighi.

Incide sull'art. 50 anche una modifica all'art. 111, par. 4: i fornitori - inclusi i GPAI - di sistemi che generano contenuti sintetici immessi sul mercato prima del 2 agosto 2026 dispongono di un periodo di adeguamento alla marcatura tecnica ridotto da sei a tre mesi, con termine al 2 dicembre 2026. Si tratta di previsione non ancora in vigore.

Nuove scadenze

Viene rinviata l’applicazione di alcune parti della legge sull’IA (AI Act Regolamento (UE) 2024/1689) per garantire che siano prima predisposti gli standard e le misure di sostegno necessari. Gli obblighi per i sistemi di IA ad alto rischio si applicheranno:

- dal 2 dicembre 2027 per i sistemi di IA indipendenti ad alto rischio;
- dal 2 agosto 2028 per i sistemi di IA integrati come componenti di sicurezza e disciplinati dalla normativa settoriale UE sulla sicurezza e sulla vigilanza del mercato.

Inoltre al 2 dicembre 2026 è previsto il rinvio dell’applicazione degli obblighi di marcatura dei contenuti generati dall’IA. Entro tale data, i contenuti generati dall’IA dovranno essere etichettati in modo leggibile per aumentare la trasparenza.

Divieto delle app “nudifier”

La legge vieta i sistemi di IA che generano materiale di abuso sessuale su minori o creano immagini, video e audio che raffigurano le parti intime di una persona identificabile o attività sessualmente esplicite senza il suo consenso. I fornitori non potranno immettere tali sistemi sul mercato dell’UE, salvo che siano dotati di adeguate salvaguardie tecniche per impedire la creazione di tale materiale. Il divieto si applica anche agli utilizzatori che impiegano questi sistemi a tale scopo. Le imprese avranno tempo fino al 2 dicembre 2026 per adeguare i propri sistemi.

[...] Segue in allegato

Certifico Srl - IT | Rev. 0.0 2026
©Copia autorizzata Abbonati 

Collegati

Allegati (Riservati) Abbonati Full Plus

Allegati

	Descrizione	Lingua	Dimensioni	Downloads
	AI Act / obblighi per le imprese dal 02 agosto 2026 / Note Certifico Srl - Rev. 0.0 Giugno 2026 Abbonati Full Plus	IT	247 kB	0