AI Act 2026 — Scadenza 2 Agosto: Obblighi e Conformità

Cos'è l'AI Act?

L'AI Act (Regolamento UE 2024/1689) è il primo framework normativo al mondo dedicato all'intelligenza artificiale. È entrato in vigore il 1° agosto 2024 e adotta un approccio basato sul rischio per garantire sicurezza, trasparenza e rispetto dei diritti fondamentali.

Riferimento: Reg. UE 2024/1689 del Parlamento Europeo e del Consiglio del 13 giugno 2024 — pubblicato in GUUE L del 12 luglio 2024.

Il calendario di applicazione progressiva

2 Febbraio 2025

Già applicabile

Divieto delle pratiche IA a rischio inaccettabile (Art. 5). Obblighi di alfabetizzazione IA per il personale (Art. 4).

2 Agosto 2025

Già applicabile

Obblighi di governance per i modelli GPAI (General Purpose AI). Dichiarazioni di contenuti generati da IA.

2 AGOSTO 2026

Scadenza critica — la più importante

Piena applicazione di tutti gli obblighi normativi. Disposizioni complete per i sistemi IA ad alto rischio.

2027

Disposizioni residuali

Restanti disposizioni del Regolamento e regimi transitori per i sistemi preesistenti.

Quali sistemi IA sono "ad alto rischio"? (Allegato III)

Se usi IA in uno dei seguenti ambiti, devi adeguarti entro il 2 agosto 2026:

Identificazione biometrica e categorizzazione di persone;
Gestione di infrastrutture critiche (energia, trasporti, acqua, gas);
Istruzione e formazione (selezione studenti, valutazione, monitoraggio del rendimento);
Occupazione e gestione dei lavoratori (reclutamento, valutazione delle prestazioni, decisioni HR);
Accesso a servizi essenziali pubblici e privati (credito, assicurazioni, emergenze);
Contrasto, migrazione, asilo, gestione frontiere;
Amministrazione della giustizia e processi democratici.

Obblighi principali per i sistemi ad alto rischio (Art. 9-15)

1. Sistema di gestione del rischio (Art. 9)

Identificare e mitigare i rischi per salute, sicurezza, diritti fondamentali e dignità delle persone. Documentare tutte le misure adottate. Effettuare una valutazione d'impatto continua.

2. Qualità dei dati e documentazione (Art. 10-11)

I dati di addestramento devono essere accurati, rappresentativi e ben documentati. Va documentato l'intero ciclo: design, addestramento, prestazioni. Va garantita l'assenza di bias discriminatori.

3. Trasparenza e informazioni (Art. 13)

Informazioni chiare agli utenti sulla natura del sistema IA, sui potenziali impatti e sulla logica delle decisioni assunte.

4. Supervisione umana (Art. 14)

Persone qualificate devono supervisionare l'operato del sistema, con capacità di intervento e training adeguato.

5. Monitoraggio e registrazione (Art. 15)

Monitoraggio continuativo delle prestazioni, registrazione delle anomalie, report periodici.

Obblighi di trasparenza dal 2 agosto 2026 (Art. 50)

Per contenuti generati da IA (ChatGPT, Midjourney, ecc.)

Marcatura automatica: audio, immagini, video e testi generati o modificati da IA devono essere marcati in modo leggibile da software (machine-readable), per consentire il rilevamento automatico dell'origine artificiale.
Etichettatura visibile: i deepfake devono recare un'etichetta visibile chiara. I contenuti su questioni di interesse pubblico generati da IA senza revisione umana devono indicare l'origine artificiale.
Comunicazione con chatbot: gli utenti devono essere informati quando interagiscono con un sistema conversazionale IA, per evitare ogni confusione con interazioni umane.

Cosa fare ora? Roadmap di conformità in 5 fasi

Fase 1

Censimento (urgente)

Identificare tutti i sistemi IA usati in azienda, inclusi quelli incorporati in software di terze parti (CRM, HR, ERP, automazioni). Non dimenticare i generatori di testo, generatori di immagini, chatbot e sistemi di scoring.

Fase 2

Gap analysis

Confrontare lo stato attuale con i requisiti dell'AI Act. Identificare lacune su documentazione, governance, supervisione umana. Valutare il livello di rischio di ciascun sistema (Allegato III).

Fase 3

Nomina del responsabile

Designare una figura o un team responsabile della conformità AI. Combinazione ideale: competenze legali + tecniche, con budget e risorse adeguate.

Fase 4

Formazione del personale

Programmi di alfabetizzazione IA (obbligo Art. 4, già in vigore dal febbraio 2025). Training specifico per i supervisori dei sistemi ad alto rischio.

Fase 5

Implementazione tecnica

Completare sistemi di gestione del rischio, qualità dei dati, supervisione umana, monitoraggio e registrazione.

Sanzioni: quanto costa non essere conformi

Violazioni generiche: fino a 10 milioni di euro o 2% del fatturato globale annuo;
Violazioni gravi: fino a 20 milioni di euro o 4% del fatturato globale;
Violazioni molto gravi (pratiche vietate, Art. 5): fino a 35 milioni di euro o 7% del fatturato globale.

Oltre alle multe: rischi reputazionali significativi e perdita di fiducia da parte di clienti, partner e investitori.

Conclusioni

Il 2 agosto 2026 segna il passaggio dalla regolamentazione teorica alla conformità operativa. Non è uno slogan: è una scadenza concreta con conseguenze sanzionatorie reali.

Le organizzazioni che iniziano adesso hanno tempo sufficiente per adeguarsi senza affanno. Attendere gli ultimi mesi significa esporsi a un rischio normativo e operativo elevato. La conformità è un investimento, non un costo.

Vuoi un audit gratuito preliminare sui sistemi IA della tua organizzazione? Contattami.