L'8 maggio la Commissione europea ha pubblicato la bozza di linee guida sull'applicazione dell'articolo 50 dell'AI Act, l'articolo che regola la trasparenza dei sistemi di IA generativa e dei deepfake. La consultazione pubblica e' aperta fino al 3 giugno 2026; la versione finale e' attesa per giugno, in tempo per la data di applicazione dell'articolo 50, fissata al 2 agosto 2026. Da quella data, chi produce o usa IA generativa in Europa dovra' rispettare obblighi precisi su come marchiare e dichiarare i contenuti sintetici.

Le linee guida si affiancano al Code of Practice on AI-generated Content, la cui seconda bozza era uscita il 5 marzo. Insieme, sono i due testi piu' rilevanti per capire cosa cambia nella pratica quotidiana per chi produce immagini, video, audio o testi con l'IA.

Cosa prevede l'articolo 50

L'articolo 50 dell'AI Act impone due obblighi distinti, su due categorie di soggetti diversi:

  • Provider (chi sviluppa e distribuisce un sistema IA generativo): deve fare in modo che gli output - immagini, audio, video, testo - portino un segno tecnico leggibile dalle macchine che li identifichi come sintetici. La Commissione cita esplicitamente standard come watermark, fingerprint crittografici e metadati C2PA.
  • Deployer (chi usa professionalmente un sistema IA per produrre contenuti destinati al pubblico): deve etichettare in modo chiaramente visibile per l'utente i deepfake e i testi generati o manipolati con IA su questioni di pubblico interesse. L'etichetta deve apparire al primo contatto con il contenuto, non in fondo a un articolo.

Cosa si conta come deepfake

La definizione che la Commissione fissa nelle linee guida e' ampia: rientrano nella categoria le immagini, gli audio e i video generati o manipolati con IA che assomigliano in modo convincente a persone, oggetti, luoghi, voci o eventi reali, dando l'impressione errata che siano autentici. Il punto chiave e' la verosimiglianza; cadono fuori solo le opere chiaramente artistiche, satiriche o di finzione, per le quali resta comunque obbligatoria un'etichetta - anche se meno invadente.

Per il testo generato dall'IA, l'obbligo di etichettatura scatta solo se il contenuto e' diffuso allo scopo di informare il pubblico su questioni di pubblico interesse - quindi articoli giornalistici, comunicati, post di influencer politici - e se manca una revisione editoriale umana significativa.

L'articolo 50 dell'AI Act diventa applicabile il 2 agosto 2026.

Icona unificata, in attesa di standard

Uno dei nodi tecnici e' l'etichetta visibile. La Commissione vorrebbe un'icona comune a livello europeo, magari interattiva, ma non e' ancora pronta. Nel periodo transitorio i firmatari del Code of Practice potranno usare un'etichetta a due lettere - AI in inglese, KI in tedesco, IA in italiano e francese - con l'impegno di passare in seguito allo standard unico quando sara' pubblicato.

Watermark e C2PA: la parte tecnica

Per i provider l'obbligo di marcare gli output e' tecnologicamente neutrale ma molto vincolante in pratica. Le linee guida raccomandano l'uso combinato di:

  • Watermark invisibili robusti a compressione e ritaglio - cosa che modelli come Imagen di Google (SynthID) e DALL·E (provenance) gia' fanno, mentre molti modelli open ancora no.
  • Metadati di provenienza C2PA firmati crittograficamente, ovvero lo standard che dichiara quale modello ha generato il contenuto, quando e con quale prompt.
  • Fingerprint perceptual per consentire al fornitore di riconoscere i propri contenuti anche dopo modifiche.

Il problema dei modelli open

Qui si apre la prima vera frizione con l'ecosistema open source. Modelli come Stable Diffusion, Flux o HiDream-O1-Image vengono distribuiti come pesi liberi: chi li usa puo' rimuovere o disattivare il watermark. La bozza riconosce il problema e parla di obblighi proporzionati - i provider devono fare il «ragionevole sforzo» - ma lascia ampi margini di interpretazione che genereranno contenzioso.

Cosa devono fare le aziende italiane gia' oggi

Per chi opera in Italia con IA generativa, indipendentemente dalle dimensioni, conviene fare quattro passaggi prima dell'estate:

  1. Inventario: censire tutti i punti dove l'azienda genera o pubblica contenuti con IA - dal marketing alle relazioni con i clienti.
  2. Etichette visibili: predisporre un'etichetta «IA» standard per immagini, video e articoli destinati al pubblico.
  3. Verifica del fornitore: chiedere ai vendor IA (OpenAI, Google, Anthropic, Stability, ecc.) la documentazione su watermark e C2PA che useranno; senza, il deployer non puo' rispettare gli obblighi.
  4. Procedure editoriali: per i testi, definire chi fa la revisione umana significativa, l'unico modo per evitare l'obbligo di etichetta sui contenuti di pubblico interesse.

Le sanzioni

Le sanzioni per la violazione degli obblighi di trasparenza arrivano fino a 15 milioni di euro o al 3% del fatturato mondiale annuo. Per i provider di modelli «general purpose», l'enforcement della Commissione partira' dal 2 agosto 2026, con un periodo di rodaggio di un anno gia' concesso ai grandi laboratori (OpenAI, Anthropic, Google, Meta, Mistral) i cui obblighi erano in vigore dal 2025.

La bozza di linee guida, secondo l'analisi pubblicata da Covington, riduce alcune delle ambiguita' del testo originario - in particolare sul tema del giornalismo - ma lascia aperti molti dubbi su come applicare in concreto i requisiti tecnici, su chi sia «deployer» e su cosa sia una «revisione editoriale significativa». Il vero stress test arrivera' a fine agosto, quando i primi casi finiranno sui tavoli dei Garanti nazionali.