AI Act: dal 2 agosto 2026 la trasparenza AI è obbligatoria — cosa cambia per le PMI

Il 2 agosto 2026 l'articolo 50 del Regolamento (UE) 2024/1689 (AI Act) diventa direttamente applicabile: qualunque azienda italiana che usa chatbot, genera contenuti sintetici o impiega sistemi di riconoscimento emotivo è già un "deployer" con obblighi legali concreti — indipendentemente dal fatturato o dalla dimensione.

Il Regolamento (UE) 2024/1689 è direttamente applicabile in tutti gli Stati membri senza recepimento nazionale. La data del 2 agosto 2026 è fissata dall'articolo 113 del Regolamento: non è prorogabile per via italiana. Se la tua azienda usa un chatbot per il customer care, genera immagini o video con AI per il marketing, o ha attivato un sistema di analisi del tono vocale nei colloqui HR, sei già un deployer soggetto all'articolo 50 — e mancano meno di due mesi.

Cosa scatta il 2 agosto 2026

L'articolo 50 in quattro obblighi operativi

L'articolo 50 stabilisce quattro categorie di obblighi di trasparenza, tutti attivi dalla stessa data.

Paragrafo 1 — sistemi interattivi: chi deploya un chatbot, un assistente vocale o qualsiasi sistema AI che dialoga direttamente con gli utenti deve informarli — in modo chiaro, al primo contatto — che stanno interagendo con un sistema di intelligenza artificiale. Eccezione: sistemi autorizzati per attività di contrasto penale.

Paragrafo 2 — contenuti sintetici: chi genera o distribuisce immagini, audio, video o testi prodotti artificialmente deve applicare una marcatura machine-readable (watermark digitale). L'obbligo vale "per quanto tecnicamente fattibile", ma l'onere della prova sull'infeasibility tecnica ricade sul deployer.

Paragrafo 3 — riconoscimento emotivo e biometrica: chi usa sistemi AI per rilevare emozioni o categorizzare biometricamente le persone deve informare previamente le persone esposte. Eccezione: sistemi di rilevamento criminale con specifiche salvaguardie legislative.

Paragrafo 4 — deepfake e testo AI per informazione pubblica: i contenuti deepfake (immagini, video, audio di persone reali generati artificialmente) devono essere etichettati come artificiali. Il testo AI usato per informare il pubblico su temi di interesse generale va identificato come generato artificialmente. Eccezioni: opere artistiche, satiriche e creative con adeguata disclosure; testo rivisto editorialmente da un essere umano che ne assume la responsabilità.

Chi è "deployer" ai sensi del Regolamento

Il Regolamento distingue provider (chi sviluppa o mette sul mercato il sistema AI) e deployer (chi lo mette in uso in contesto professionale). Per l'articolo 50, gli obblighi ricadono sul deployer — senza soglie dimensionali.

Esempi concreti per una PMI con €5–20M di fatturato:

• chatbot di customer care o e-commerce basato su LLM (par. 1)
• generatore di immagini per campagne social, newsletter o catalogo prodotti (par. 2)
• sistema HR con riconoscimento emotivo o analisi del tono vocale in selezione (par. 3)
• video promozionali con testimonial sintetici o volti generati da AI (par. 4)

Non è necessario sviluppare il sistema in casa: basta utilizzarlo in un contesto professionale. Avevamo analizzato il versante della semplificazione normativa in AI Act e pacchetto Omnibus; qui il focus è sull'obbligo di trasparenza che entra in vigore adesso.

Il calendario operativo

Consultazioni già chiuse (giugno 2026)

La Commissione UE ha condotto due consultazioni pubbliche per definire le linee guida operative dell'AI Act:

• Linee guida trasparenza (Art. 50): consultazione chiusa il 3 giugno 2026.
• Linee guida classificazione sistemi ad alto rischio: consultazione chiusa il 23 giugno 2026 (ore 22:00 CET).

Le linee guida finali — attese prima del 2 agosto — specificheranno i requisiti tecnici per la marcatura dei contenuti e le modalità di disclosure agli utenti.

Codice di pratica sulla trasparenza (Art. 50 par. 7)

L'articolo 50 par. 7 prevede un codice di pratica volontario specifico su etichettatura e trasparenza dei contenuti AI, la cui versione finale è attesa per giugno 2026. Va distinto dal General-Purpose AI Code of Practice (adottato luglio–agosto 2025 per i provider di modelli foundation come GPT, Gemini, Claude): quel codice non riguarda i deployer PMI.

L'adesione al codice di pratica trasparenza offre un percorso semplificato per dimostrare la conformità con minor onere amministrativo. Non è obbligatoria, ma è una scelta strategica conveniente per chi vuole documentare la compliance con risorse limitate.

2 agosto 2026 — scadenza vincolante

L'articolo 113 del Regolamento fissa la data di applicazione dell'articolo 50 al 2 agosto 2026. Non esiste meccanismo europeo o nazionale che consenta una proroga: il Regolamento è direttamente applicabile nei 27 Stati membri.

Cosa fare adesso

Meno di due mesi alla scadenza: è poco, ma sufficiente per impostare una compliance di base.

1. Mappare i sistemi AI in uso. Fare un inventario di chatbot, generatori di contenuti e strumenti HR con componente AI. Per ciascuno, verificare se siete provider o deployer — la distinzione emerge spesso dal contratto con il fornitore.
2. Aggiornare le disclosure agli utenti. Le interfacce (chatbot, form, pagine web) informano già che gli utenti stanno interagendo con AI? L'informativa è visibile "al primo contatto"? Aggiornare privacy notice e T&C dove necessario.
3. Verificare la marcatura dei contenuti sintetici. Per immagini, audio e video generati con AI, la tecnologia in uso produce watermark machine-readable? Se no, valutare strumenti alternativi o aggiuntivi.
4. Formare le persone coinvolte. Chi approva contenuti marketing, chi gestisce le selezioni HR, chi supervisiona i chatbot — queste persone devono conoscere gli obblighi specifici del loro ruolo. Non servono corsi lunghi: bastano 2–3 ore con riferimenti normativi precisi.
5. Documentare le misure adottate. Preparare un registro degli usi AI (sistema, fornitore, paragrafo Art. 50 applicabile, misure di compliance adottate). In caso di ispezione da parte di ACN o AgID, la documentazione interna è la prima difesa.

Le sanzioni

Le violazioni dell'articolo 50 ricadono nel Tier 2 dell'articolo 99 del Regolamento: sanzione fino a €15.000.000 oppure al 3% del fatturato annuo globale, quello più alto tra i due — per le grandi imprese. Per PMI e startup, il Regolamento introduce un meccanismo riduttivo: si applica il valore più basso tra i due parametri.

Per una PMI italiana con €10 milioni di fatturato, il 3% equivale a €300.000. Non è €15 milioni, ma non è nemmeno una cifra trascurabile per una SRL di medie dimensioni. Per una PMI con €5 milioni di fatturato il 3% scende a €150.000: comunque superiore a qualsiasi costo ragionevole di adeguamento.

In Italia, la Legge 132/2025 (GU 23 settembre 2025) ha designato ACN come autorità con poteri ispettivi e sanzionatori, e AgID per notifiche e conformità. Il Garante Privacy, AGCM e AGCOM sono competenti per la tutela dei diritti fondamentali (Art. 77 AI Act). I decreti legislativi attuativi delegati dalla Legge 132/2025 hanno scadenza ottobre 2026: alcuni aspetti dell'enforcement potrebbero non essere completamente operativi alla data del 2 agosto.

Fonti

• Regolamento (UE) 2024/1689, Art. 50 — EUR-Lex (testo ufficiale IT)
• Regolamento (UE) 2024/1689, Art. 113 — artificialintelligenceact.eu (data di applicazione)
• Regolamento (UE) 2024/1689, Art. 99 — artificialintelligenceact.eu (sanzioni)
• Legge 23 settembre 2025, n. 132 — Gazzetta Ufficiale (autorità nazionale AI Act)
• Consultazione linee guida trasparenza AI Act — EC Digital Strategy (chiusa 3 giugno 2026)
• Consultazione classificazione sistemi alto rischio — EC Digital Strategy (chiusa 23 giugno 2026)
• AI Act implementation — EC AI Office