La vostra fonte di riferimento per le informazioni sull’intelligenza artificiale

Pubblica
Français English Español Italiano Deutsch Português Nederlands Polski Română Українська Türkçe العربية 中文 日本語 한국어
Crea il mio account
Legge / testo adottato

AI Act: è iniziato il conto alla rovescia per le imprese prima del 2 agosto 2026

Il rinvio di una parte degli obblighi sui sistemi ad alto rischio non deve ingannare le imprese: l’AI Act è già in applicazione progressiva. A partire dal 2 agosto 2026, una nuova scadenza importante si apre, in particolare per gli obblighi di trasparenza (articolo 50). Il rinvio parziale delle regole « alto rischio » non elimina questi obblighi: le imprese devono passare dalla sorveglianza normativa all’inventario operativo dei loro usi di IA per garantire la conformità.

STStephane Nachez · · ·10 min
Legge / testo adottatoRelazione con il clienteEtica dell'intelligenza artificialeEtica, fiducia e regolamentazione
AI Act: è iniziato il conto alla rovescia per le imprese prima del 2 agosto 2026
Visuel d'illustration généré avec l'IA
Sommario

Il rinvio di una parte degli obblighi sui sistemi ad alto rischio non deve ingannare le imprese: l’AI Act è già in applicazione progressiva. A partire dal 2 agosto 2026, si apre una nuova scadenza importante, in particolare per gli obblighi di trasparenza. Chatbot, contenuti generati da IA, deepfake, strumenti HR, SaaS arricchiti con IA, agenti conversazionali: IntelligenceArtificielle.com ricorda, in una nota di riferimento, che le organizzazioni devono ormai passare dalla sorveglianza normativa all’inventario operativo.

In molte aziende, l’AI Act resta ancora classificato nelle cartelle “legale”, “conformità” o “da affrontare più tardi”. È un errore di calcolo.

Il regolamento europeo sull’intelligenza artificiale non è più un testo lontano. È entrato in vigore il 1° agosto 2024 e si applica progressivamente. I divieti relativi ad alcune pratiche di IA e l’obbligo di alfabetizzazione in materia di IA sono applicabili dal 2 febbraio 2025. Le regole di governance e gli obblighi relativi ai modelli di IA per uso generale si applicano dal 2 agosto 2025. La prossima grande tappa arriva il 2 agosto 2026, con l’entrata in applicazione generale di numerose disposizioni, in particolare degli obblighi di trasparenza previsti dall’articolo 50.

In altre parole, la questione non è più: “Cosa prevede l’AI Act?” Ma: “Sappiamo dove, come e perché stiamo già usando l’IA in azienda?”

Il rinvio dell’alto rischio non rinvia l’AI Act

Il Digital Omnibus ha potuto creare un’impressione di tregua. Le regole applicabili ai sistemi di IA ad alto rischio devono ora essere riorganizzate, con un’applicazione prevista per il 2 dicembre 2027 per i sistemi autonomi rientranti nell’allegato III e per il 2 agosto 2028 per i sistemi integrati in prodotti soggetti a una regolamentazione settoriale. Il Parlamento europeo ha approvato queste misure di semplificazione il 16 giugno 2026, ma il testo deve ancora essere formalmente adottato dal Consiglio prima della sua entrata in vigore.

Ma questo rinvio non sospende il resto del regolamento.

Non rinvia le pratiche vietate già applicabili. Non rinvia l’obbligo di alfabetizzazione in materia di IA. Non rinvia gli obblighi relativi ai modelli di IA per uso generale. E non deve indurre le imprese a ignorare la scadenza del 2 agosto 2026.

È proprio questa la trappola: credere che l’AI Act inizi solo con i sistemi ad alto rischio. In realtà, la prima ondata operativa riguarda molti usi molto più comuni: assistenti conversazionali, chatbot per i clienti, contenuti generati da IA, testi pubblicati con l’aiuto dell’IA, immagini sintetiche, voci artificiali, deepfake, strumenti di generazione integrati nei software aziendali.

Cosa cambia il 2 agosto 2026

A partire dal 2 agosto 2026, gli obblighi di trasparenza diventano centrali. Mirano in particolare a evitare che le persone interagiscano con un’IA senza saperlo, che contenuti sintetici vengano diffusi senza un’adeguata segnalazione, o che deepfake e alcuni contenuti di interesse pubblico generati da IA siano presentati come se fossero interamente umani.

La Commissione europea ha pubblicato il 10 giugno 2026 un Codice di buone pratiche sulla trasparenza dei contenuti generati da IA. Dovrebbe aiutare fornitori e deployer a rispettare gli obblighi di marcatura, etichettatura e rilevamento previsti dall’articolo 50. L’adesione al codice è volontaria, ma gli obblighi di trasparenza dell’articolo 50 sono invece obblighi legali.

Per un’azienda, questo può tradursi in domande molto concrete:

  • un cliente sa di parlare con un chatbot?
  • un contenuto pubblicato su un tema di interesse pubblico è stato generato o fortemente modificato dall’IA?
  • un’immagine, un video o una voce sintetica sono segnalati come tali?
  • uno strumento interno produce testi, raccomandazioni o analisi che influenzano decisioni umane?
  • i team marketing, HR, customer service o prodotto sanno cosa devono indicare, archiviare o verificare?

Il Digital Omnibus prevede anche un termine fino al 2 dicembre 2026 per alcuni obblighi di marcatura dei contenuti generati da IA relativi ai sistemi già immessi sul mercato prima del 2 agosto 2026. Ma questo periodo transitorio non deve essere inteso come un rinvio generale della trasparenza: riguarda un perimetro specifico.

Il vero rischio: l’IA invisibile

Il rischio più grande per le imprese non è sempre il grande progetto di IA presentato in comitato di direzione. Spesso è l’IA che è già lì.

Funzionalità di IA attivate in un CRM. Un modulo di scoring aggiunto a uno strumento marketing. Un assistente HR testato da un team di recruiting. Un generatore di contenuti utilizzato dalla comunicazione. Un agente conversazionale collegato a una base documentale. Un copilota per ufficio distribuito senza una mappatura precisa degli usi. Un fornitore che utilizza l’IA nei propri deliverable senza segnalarlo esplicitamente.

Le Hub France IA insiste proprio sulla necessità di censire i sistemi di IA presenti nell’organizzazione, compresi quelli integrati in soluzioni di mercato, quelli in fase di sviluppo, quelli in produzione e quelli che emergono già dalla fase di ideazione. La sua guida “Premiers pas vers l’IA de Confiance” raccomanda di alimentare un registro dei sistemi di IA con le fonti dei dati, le architetture tecniche, i casi d’uso di business, le popolazioni interessate, il contesto di implementazione e l’analisi preventiva dei rischi.

Lo stesso documento mette in guardia sui sistemi forniti da terzi — editori, fornitori, integratori — che sempre più spesso incorporano componenti di IA talvolta invisibili per l’utente finale. Evidenzia anche il fenomeno della “Shadow AI”: usi informali di strumenti generalisti, opzioni IA aggiunte dai fornitori, piccoli contratti SaaS sottoscritti fuori dal processo acquisti, sperimentazioni interne fuori dal radar dell’IT.

È qui che la conformità all’AI Act diventa una questione di governance, non solo di diritto.

La conformità inizia da un registro

Per molte organizzazioni, la prima azione utile non è avviare un grande cantiere legale. È costruire un registro semplice degli usi di IA.

Questo registro non deve essere perfetto fin dal primo giorno. Deve consentire di rispondere ad alcune domande essenziali:

  • quale strumento o sistema di IA viene utilizzato?
  • da quale servizio?
  • per quale uso di business?
  • con quali dati?
  • su quali persone o categorie di persone l’uso può avere un effetto?
  • l’azienda agisce come semplice utilizzatore, deployer, integratore o fornitore?
  • l’uso rientra in un obbligo di trasparenza?
  • l’uso può rientrare nell’alto rischio?
  • quali prove vengono conservate?
  • quale fornitore è responsabile di cosa?

L’obiettivo non è bloccare l’innovazione. È riprendere il controllo.

Un’azienda che non sa dove utilizza l’IA non può dimostrare di governarla. E un’azienda che non sa chi usa cosa, con quali dati e con quale obiettivo, avrà molte difficoltà a rispondere a una richiesta di un cliente, di un auditor, di un assicuratore, di un partner, di un acquirente pubblico o di un’autorità di controllo.

La checklist da avviare subito

A poche settimane dalla scadenza del 2 agosto 2026, le imprese possono già avanzare con un metodo pragmatico.

1. Nominare un responsabile AI Act.
Non si tratta necessariamente di creare una nuova posizione. Ma serve un referente identificato, in grado di coordinare IT, legale, acquisti, business, HR, compliance, sicurezza e comunicazione.

2. Avviare l’inventario degli usi di IA.
Partire dagli strumenti visibili: chatbot, generatori di contenuti, copiloti, agenti interni, API di modelli, soluzioni HR, strumenti marketing, strumenti di scoring, strumenti di analisi documentale.

3. Cercare l’IA invisibile.
Interrogare business, acquisti e fornitori. Gli usi critici non sono sempre nei progetti ufficiali. Possono trovarsi in opzioni SaaS, account individuali o sperimentazioni locali.

4. Creare un registro minimo.
Per ogni uso: strumento, fornitore, finalità, servizio utilizzatore, dati trattati, persone interessate, livello di rischio presunto, eventuale obbligo di trasparenza, supervisione umana, prove disponibili.

5. Identificare gli usi sensibili.
HR, recruiting, valutazione dei dipendenti, istruzione, credito, assicurazione, salute, biometria, sicurezza, accesso a servizi essenziali: questi ambiti devono essere analizzati con priorità.

6. Preparare la trasparenza.
Per chatbot, agenti conversazionali, contenuti generati, immagini sintetiche, voci artificiali, deepfake o testi di interesse pubblico, l’azienda deve decidere cosa segnalare, dove, con quale formulazione, in quale interfaccia e con quale prova.

7. Rivedere i contratti con i fornitori.
Gli acquirenti devono chiedere a editori e fornitori le informazioni necessarie: ruolo nella catena del valore, documentazione disponibile, modello utilizzato, dati impiegati, condizioni di addestramento, log, sicurezza, cambi di versione, dismissione del servizio, subfornitori.

8. Formare i team.
L’alfabetizzazione in materia di IA non si limita a una formazione generica. Un recruiter, un marketer, un legale, uno sviluppatore, un responsabile acquisti o un manager non hanno gli stessi rischi né gli stessi bisogni.

9. Mettere in atto una supervisione.
Per gli usi più importanti, occorre definire chi controlla, in quale momento, con quali soglie di allarme e quali azioni correttive. Le Hub France IA raccomanda in particolare di prevedere supervisione continua, controllo umano, log, alert, monitoraggio dei bias, protocollo di segnalazione degli incidenti e aggiornamento della documentazione.

10. Costruire un dossier di prova.
La conformità non consiste solo nel fare. Consiste anche nel poter mostrare ciò che è stato fatto: registro, decisioni, analisi dei rischi, formazione, clausole con i fornitori, screenshot delle informazioni all’utente, procedure interne, log e verbali di revisione.

 

Checklist condivisibile in formato condensato :

Le sanzioni sono solo una parte del problema

L’AI Act prevede sanzioni importanti: fino a 35 milioni di euro o al 7% del fatturato annuo mondiale per le pratiche vietate, fino a 15 milioni di euro o al 3% per molti altri inadempimenti, compresi gli obblighi di trasparenza, e fino a 7,5 milioni di euro o all’1% per la fornitura di informazioni errate, incomplete o fuorvianti alle autorità.

Ma il rischio più immediato per molte imprese sarà forse meno spettacolare: perdere una gara d’appalto, non essere in grado di rispondere a un questionario per fornitori, scoprire che uno strumento HR non è stato qualificato, constatare che un chatbot per i clienti non è segnalato, o non poter dimostrare che una decisione assistita da IA sia effettivamente supervisionata da un essere umano.

La conformità all’IA diventa quindi anche una questione di fiducia commerciale.

Nei prossimi mesi, grandi imprese, acquirenti pubblici, assicuratori, investitori e partner tecnologici chiederanno sempre più spesso: quali sistemi di IA utilizzate? Con quali dati? Per quali usi? Con quale supervisione? Con quali garanzie da parte dei fornitori? Con quali prove?

Non aspettare la conformità perfetta

La trappola sarebbe aspettare la versione definitiva di tutte le guide, di tutte le norme e di tutte le pratiche di mercato prima di iniziare. A questo punto, la sfida non è avere un dispositivo perfetto. È avere una prima mappatura, un primo registro, una prima analisi degli usi sensibili e una prima capacità di risposta.

La conformità all’AI Act non inizia da un fascicolo legale. Inizia da una domanda operativa: sappiamo cosa stiamo facendo girare, dove, per fare cosa, con quali dati, sotto quale responsabilità e con quali prove?

Le imprese che sapranno rispondere avranno un vantaggio. Le altre scopriranno che l’IA, distribuita senza mappatura, diventa rapidamente impossibile da governare.

Questo articolo si basa sulla nota di riferimento dedicata al conto alla rovescia operativo dell’AI Act in azienda, con calendario consolidato, obblighi già applicabili, punti di attenzione sui modelli di IA per uso generale, trasparenza, alto rischio, fornitori e registro IA.

Questo articolo fornisce informazioni generali e non sostituisce una consulenza legale adattata alla situazione di ciascuna organizzazione.

ST
Stephane Nachez

Redazione ActuIA — notizie, dati e analisi sull'intelligenza artificiale per i decisori.

Attori citati
INIntelligenceArtificielle.com
HUHub France IA
Sullo stesso argomento
Gli Stati Uniti tagliano l'accesso ai modelli Fable 5 e Mythos 5 di Anthropic: un precedente per la sovranità dell'IA
15/06/2026
Anthropic costretta a sospendere Fable 5 e Mythos 5 dopo una direttiva del governo statunitense
13/06/2026
Con LARA, il rischio normativo dei LLM diventa un elemento di audit per i DPO
08/06/2026
Il Settimanale ActuIA

Iscrizione confermata, a presto!