Mancano poco piu' di due mesi al 2 agosto 2026, la data in cui scattano le sanzioni dell'AI Act. Per chi non ha ancora avviato una valutazione di conformita', il rischio non e' teorico: per le violazioni piu' gravi le multe possono arrivare al 7% del fatturato annuo globale, una cifra che supera il GDPR. Il 7 maggio l'Unione ha raggiunto l'accordo politico sull'omnibus digitale, un pacchetto che modifica il regolamento prima ancora che sia completamente applicabile.

Il punto principale dell'omnibus, secondo Agenda Digitale, e' lo slittamento di alcuni obblighi ad alto rischio: in particolare i sistemi usati per biometria, infrastrutture critiche, istruzione, lavoro, immigrazione e controllo delle frontiere, che si applicheranno dal 2 dicembre 2027. Per i sistemi integrati in prodotti soggetti a normativa di settore (per esempio ascensori o giocattoli) la deadline e' il 2 agosto 2028.

Cosa entra in vigore il 2 agosto 2026

Dal 2 agosto diventano pienamente applicabili alcune parti chiave del regolamento. Le piu' rilevanti per chi fa business:

  • Regole sui modelli a uso generale (GPAI), che includono GPT, Claude, Gemini, Mistral, Llama: i provider devono pubblicare documentazione tecnica, sintesi del dataset di training, policy sul copyright e valutazioni sui rischi sistemici per i modelli piu' potenti.
  • Le regole sulla trasparenza: chi distribuisce contenuti generati o manipolati (incluse immagini, video, audio deepfake) deve etichettarli in modo riconoscibile dalla macchina. C2PA e watermark sono le tecnologie indicate.
  • Le sanzioni: fino a 35 milioni di euro o 7% del fatturato per violazioni delle pratiche vietate; fino a 15 milioni o 3% per violazioni degli obblighi sui sistemi; fino a 7,5 milioni o 1,5% per informazioni inesatte alle autorita'.
I deployer di sistemi AI ad alto rischio devono predisporre policy di governance, registri tecnici e valutazioni d'impatto.

Pratiche vietate e perimetro di rischio

Le pratiche assolutamente vietate sono gia' in vigore dal febbraio 2025: social scoring di tipo governativo, manipolazione subliminale, sfruttamento di vulnerabilita' di minori o disabili, identificazione biometrica in tempo reale negli spazi pubblici (salvo eccezioni strette per le forze dell'ordine), riconoscimento delle emozioni nei luoghi di lavoro e nelle scuole, polizia predittiva basata solo su profili.

Le aziende italiane piu' esposte sono quelle che fanno HR-tech (sistemi di screening CV), credit scoring, controllo perimetrale, e tutte le PA che vogliono adottare sistemi AI nelle proprie procedure. Il rischio non sempre e' nello strumento ma nel caso d'uso: lo stesso modello GPT-5.5 puo' essere innocuo come assistente di scrittura e ad alto rischio se viene usato per decidere se assumere o licenziare.

Cosa fa l'omnibus politico del 7 maggio

L'accordo politico del 7 maggio, raccontato da Digitalic, non cancella nulla ma riapre il calendario su alcuni punti. La pressione dell'industria, sostenuta da Francia e Germania, e' stata efficace: i requisiti piu' pesanti per i sistemi ad alto rischio (registrazione nella banca dati UE, valutazioni di conformita' di terze parti, sorveglianza post-mercato) slittano di sedici mesi, dando alle PMI piu' tempo per adeguarsi.

In parallelo, la Commissione sta lavorando ai codici di condotta volontari per i modelli GPAI. I lab firmatari (OpenAI, Anthropic, Google, Mistral, Meta) si impegnano a rispettare standard di trasparenza, sicurezza e copyright. Chi non firma rischia di essere ispezionato piu' frequentemente.

Cosa fare in azienda da qui ad agosto

Per chi opera in Italia il vademecum minimo e' chiaro:

  1. Mappare gli usi di AI in azienda, dai chatbot ai sistemi di scoring, e classificarli per rischio (vietato, alto, limitato, minimo).
  2. Nominare un referente AI con responsabilita' di governance (UNI 11621-8 fissa i profili).
  3. Verificare con i fornitori (OpenAI, Anthropic, Google, Microsoft, Mistral) i loro data processing agreement, le valutazioni di rischio e le clausole su trasparenza.
  4. Documentare le decisioni: registro dei sistemi, valutazioni d'impatto, log delle interazioni con dati personali.
  5. Formare le persone: chi usa l'AI deve sapere cosa puo' e non puo' fare, e come segnalare incidenti.

In Italia il decreto legge 132/2025 ha individuato Agid e ACN come autorita' competenti, con un ruolo di vigilanza dei Garanti privacy, Bankitalia e Consob per i settori di propria competenza. Le ispezioni partiranno gradualmente dopo l'estate.

Perche' l'AI Act conta per la competitivita'

La narrativa critica racconta l'AI Act come un freno all'innovazione. La narrativa alternativa, sostenuta da molte associazioni di consumatori e da una parte dell'industria, dice il contrario: regole chiare offrono certezze, mentre l'America vive con un patchwork di Stati e l'amministrazione Trump preme per testare i modelli prima della pubblicazione. Per le aziende italiane che vendono in tutta Europa, l'AI Act puo' diventare un vantaggio competitivo se trasformato in marchio di qualita'.

I prossimi appuntamenti istituzionali: il 19 maggio Google I/O e il summit AI di Bologna, dove si discutera' del polo Frontier AI italiano in collaborazione con CINECA. Sara' un test su come imprese e PA italiane si presenteranno alla scadenza di agosto.