Mancano meno di due mesi alla scadenza più attesa dell'AI Act, il regolamento europeo sull'intelligenza artificiale. Il 2 agosto 2026 diventa applicabile la parte più consistente delle regole: gli obblighi per i sistemi ad alto rischio, gli obblighi di trasparenza, l'assetto di governance nazionale e — soprattutto — l'apparato sanzionatorio, con multe che possono arrivare fino a 35 milioni di euro o al 7% del fatturato mondiale annuo, a seconda di quale cifra sia più alta.
Per le imprese, soprattutto quelle italiane, non è più un esercizio teorico. Da quella data le autorità nazionali potranno avviare controlli e irrogare sanzioni. È il momento in cui il regolamento, entrato formalmente in vigore nell'agosto 2024 e applicato finora solo a tappe, mostra i denti.
Cosa cambia per chi sviluppa o usa sistemi ad alto rischio
L'AI Act classifica i sistemi in base al rischio. I cosiddetti sistemi «ad alto rischio» elencati nell'Allegato III — quelli usati per esempio nella selezione del personale, nel credit scoring, nell'istruzione, nei servizi essenziali o nell'identificazione biometrica — dovranno rispettare requisiti stringenti: gestione del rischio, governance dei dati, documentazione tecnica, tracciabilità, sorveglianza umana, accuratezza e robustezza, cybersicurezza. Sono previsti obblighi specifici anche per chi quei sistemi li utilizza (i deployer), procedure di valutazione della conformità, monitoraggio post-vendita e segnalazione degli incidenti.
L'obbligo di etichettare i contenuti generati dall'IA
La novità che toccherà più da vicino il pubblico è l'articolo 50, sulla trasparenza. A partire dal 2 agosto, fornitori e utilizzatori devono informare chiaramente le persone quando interagiscono con un sistema di IA, ad esempio un chatbot; devono etichettare i contenuti generati o manipolati artificialmente, inclusi i deepfake e i testi pubblicati su temi di interesse pubblico; e devono segnalare l'uso di sistemi di riconoscimento delle emozioni o di categorizzazione biometrica. L'informazione deve essere fornita in modo accessibile e tempestivo. È la base normativa che renderà via via obbligatoria, in Europa, l'etichettatura delle immagini, dei video e delle voci sintetiche.
Il nodo del "Digital Omnibus" e i possibili rinvii
C'è però un'incognita che pesa sul calendario. A fine 2025 la Commissione europea ha presentato il pacchetto di semplificazione noto come Digital Omnibus, che propone di alleggerire alcuni adempimenti e di posticipare parte degli obblighi sui sistemi ad alto rischio, legandoli alla disponibilità degli standard tecnici armonizzati e degli strumenti di supporto. Significa che alcune scadenze dell'Allegato III potrebbero slittare oltre l'agosto 2026, mentre le regole sulla trasparenza e l'impianto sanzionatorio dovrebbero restare confermate. È un cantiere ancora aperto: le imprese devono prepararsi alla data attuale, ma tenendo d'occhio gli aggiornamenti di Bruxelles.
L'Italia: autorità designate e legge nazionale
Sul versante italiano il quadro si è chiarito con l'approvazione della legge nazionale sull'IA, che ha affidato la vigilanza all'Agenzia per l'Italia Digitale (AgID) e all'Agenzia per la Cybersicurezza Nazionale (ACN) e ha avviato un programma di investimenti da un miliardo di euro a favore di startup e PMI. Restano da emanare diversi decreti attuativi, attesi entro l'estate. Per un sistema produttivo fatto in larga parte di piccole e medie imprese, la combinazione tra obblighi europei e regole nazionali rischia di tradursi in un carico di adempimenti significativo: la corsa contro il tempo, per molte aziende, è appena cominciata.
