AI Act, dal 2 agosto 2026 cambia tutto — Cosa devono sapere cittadini, imprese e professionisti italiani

Cos'è l'AI Act e perché è importanteL'AI Act è il primo regolamento al mondo che disciplina in modo organico lo sviluppo, la commercializzazione e l'utilizzo dei sistemi di intelligenza artificiale. N…

Cos'è l'AI Act e perché è importante

L'AI Act è il primo regolamento al mondo che disciplina in modo organico lo sviluppo, la commercializzazione e l'utilizzo dei sistemi di intelligenza artificiale. Non riguarda solo chi sviluppa AI. Riguarda chiunque — aziende, enti pubblici, professionisti — utilizzi sistemi AI in contesti che toccano i diritti delle persone.

L'approccio scelto dall'Unione Europea non è quello del divieto generalizzato né quello del laissez-faire. È un approccio basato sul rischio: più un sistema AI è potenzialmente pericoloso per la sicurezza, i diritti fondamentali o la democrazia, più è pesante il regime di regolamentazione a cui è soggetto.

Questo significa che un algoritmo che filtra le email di spam e un algoritmo che decide se concedere un mutuo o assumere un lavoratore non vengono trattati allo stesso modo. Ed è esattamente la distinzione che i legislatori europei hanno cercato di codificare per la prima volta in un testo vincolante.

Il regolamento si applica a qualunque sistema AI immesso sul mercato o messo in servizio nell'Unione Europea, indipendentemente da dove il fornitore abbia sede. Se un'azienda americana vende in Italia uno strumento AI che ricade nelle categorie del regolamento, è soggetta all'AI Act. La portata extraterritoriale è analoga a quella del GDPR.

Il calendario: cosa è già in vigore e cosa scatta ad agosto

L'attuazione dell'AI Act è stata strutturata in fasi. Questa è la mappa completa:

2 febbraio 2025 — già in vigore Le disposizioni generali (Capi I e II) e il divieto delle pratiche AI inaccettabili sono applicabili da febbraio 2025. Da quella data sono illegali nell'UE:

I sistemi di social scoring dei cittadini (classificazione di persone in base al comportamento sociale per negare loro diritti)
Il riconoscimento biometrico in tempo reale in spazi pubblici, salvo eccezioni limitate per la sicurezza pubblica
I sistemi di manipolazione subliminale che sfruttano vulnerabilità cognitive
L'identificazione biometrica a distanza retroattiva, salvo casi specifici di indagine penale

2 agosto 2025 — già in vigore Le regole per i modelli AI di uso generale (come GPT-4, Gemini, Claude) con obblighi di trasparenza e governance.

2 febbraio 2026 — già in vigore Le norme per i sistemi AI ad alto rischio di cui all'Allegato III: sistemi usati in istruzione, occupazione, servizi pubblici essenziali, applicazione della legge, gestione delle migrazioni, amministrazione della giustizia.

2 agosto 2026 — la scadenza che si avvicina Piena applicazione del regolamento per quasi tutte le disposizioni rimanenti. Da quella data scatta l'obbligo di etichettatura dei contenuti generati da AI per le piattaforme, gli obblighi di conformità per i sistemi AI integrati in prodotti regolamentati (Allegato I), e diventa pienamente operativo il sistema sanzionatorio.

2 agosto 2027 Entrata in vigore delle norme per i sistemi ad alto rischio dell'Allegato I (prodotti regolamentati come dispositivi medici, veicoli, aeromobili).

L'accordo del 7 maggio 2026: la semplificazione dell'ultimo minuto

Il 7 maggio 2026, a meno di tre mesi dalla scadenza di agosto, Consiglio dell'UE e Parlamento Europeo hanno raggiunto un accordo provvisorio nell'ambito del pacchetto "Digital Omnibus AI" che introduce alcune semplificazioni significative rispetto al testo originale.

Le modifiche principali riguardano:

Riduzione degli oneri amministrativi ricorrenti per le imprese. L'accordo snellisce i processi di documentazione per i sistemi AI a rischio limitato, eliminando duplicazioni con obblighi già previsti da altri regolamenti settoriali.

Nuovo divieto esplicito di CSAM sintetico e deepfake sessuali non consensuali. Il Parlamento europeo ha ottenuto l'inserimento di un divieto specifico per i sistemi AI progettati per creare materiale di abuso sessuale su minori o contenuti intimi esplicitamente sessuali di persone identificabili senza il loro consenso. È il riconoscimento normativo che l'AI generativa può produrre danni immediati e gravissimi alla dignità e alla sicurezza personale.

Spostamento del termine per le AI sandbox nazionali. Il termine entro cui le autorità nazionali devono istituire gli spazi di sperimentazione regolamentare (sandbox) per i sistemi AI è spostato al 2 agosto 2027.

Riduzione del periodo di grazia per il watermarking. Il tempo concesso ai fornitori per implementare le soluzioni di marcatura dei contenuti AI-generated è ridotto da 6 a 3 mesi, con scadenza al 2 dicembre 2026.

Questo accordo non è ancora formalmente adottato al momento della pubblicazione di questo articolo, ma il testo è politicamente definito e la sua approvazione formale è considerata certa entro giugno 2026.

I quattro livelli di rischio: a quale categoria appartiene ciò che usi

La logica dell'AI Act si regge su quattro livelli di rischio. Capirli è fondamentale per capire se un sistema che usi — o che hai sviluppato — rientra nel perimetro degli obblighi.

Rischio inaccettabile — VIETATO

Sistemi AI che costituiscono una minaccia chiara per i diritti fondamentali, la sicurezza e la democrazia. Vietati senza eccezioni:

Social scoring generalizzato dei cittadini da parte di governi o enti pubblici
Manipolazione comportamentale subliminale che sfrutta vulnerabilità fisiche o psicologiche
Riconoscimento biometrico in tempo reale in spazi pubblici per il law enforcement (con eccezioni limitate)
Sistemi di predizione delle intenzioni criminali basati su caratteristiche personali

Rischio alto — OBBLIGHI STRINGENTI

Sistemi che possono avere impatti significativi su salute, sicurezza o diritti fondamentali. Richiedono valutazione di conformità, registrazione, supervisione umana, documentazione tecnica e trasparenza. Includono:

Sistemi di selezione del personale e valutazione dei CV
Strumenti di scoring creditizio e valutazione dell'affidabilità finanziaria
Sistemi usati nelle procedure di asilo e immigrazione
AI usata in ambito medico e sanitario
Sistemi di riconoscimento biometrico per finalità diverse dal law enforcement
Strumenti di valutazione degli studenti in contesti educativi
AI utilizzata nei processi giudiziari

Rischio limitato — OBBLIGHI DI TRASPARENZA

Sistemi che interagiscono direttamente con le persone ma non prendono decisioni ad alto impatto. Devono informare l'utente che sta interagendo con un'AI. Includono:

Chatbot e assistenti virtuali
Sistemi di generazione di immagini, video e audio sintetici
Deepfake con finalità creative o editoriali

Rischio minimo o nullo — NESSUN OBBLIGO SPECIFICO

La maggioranza delle applicazioni AI attuali ricade qui: filtri anti-spam, raccomandatori di contenuti, strumenti di ottimizzazione dei processi, AI utilizzata in videogiochi. Nessun obbligo specifico dell'AI Act, salvo il rispetto della normativa generale.

Cosa cambia per i cittadini italiani

Per chi non sviluppa né commercializza AI ma la utilizza quotidianamente — per lavoro, per informarsi, per interagire con servizi pubblici e privati — l'AI Act produce effetti concreti.

Il diritto a sapere quando si interagisce con un'AI. Dal 2 agosto 2026, qualunque sistema AI che generi contenuti o interagisca con gli utenti deve renderlo esplicito. Non è più sufficiente il disclaimer in fondo alle condizioni generali. La comunicazione deve essere chiara, immediata e comprensibile. Se stai parlando con un chatbot di un'azienda, un'istituzione pubblica o un servizio di assistenza, hai diritto a saperlo prima di interagire.

Il diritto di non essere valutato da soli sistemi AI in decisioni importanti. Per tutte le decisioni che ricadono nella categoria ad alto rischio — concessione di credito, selezione lavorativa, accesso a servizi pubblici essenziali — deve essere garantita la supervisione umana. Un algoritmo da solo non può decidere definitivamente. Deve esserci sempre una persona responsabile di quella decisione che può intervenire, modificare o sovvertire l'esito automatizzato.

Il diritto a contestare le decisioni automatizzate. L'AI Act si affianca al GDPR rafforzando il diritto a non essere soggetti a decisioni basate esclusivamente su trattamenti automatizzati. Nei settori ad alto rischio, chi subisce una decisione sfavorevole ha il diritto di richiedere una spiegazione comprensibile di come quella decisione è stata presa e di contestarla.

Protezione dai contenuti AI-generated non etichettati. Dal 2 dicembre 2026 (tre mesi dopo agosto, con il nuovo termine dell'accordo provvisorio), le piattaforme devono implementare sistemi di watermarking riconoscibili sui contenuti generati da AI. Questo riguarda direttamente il giornalismo, i social media, la pubblicità politica e qualsiasi contenuto visivo o audio sintetico diffuso su scala.

Cosa cambia per le imprese

Per le imprese italiane — di qualunque dimensione — il 2 agosto 2026 è una data da cerchiare in rosso. Le conseguenze del non adeguamento non sono teoriche.

Obbligo di verifica del catalogo AI in uso. Qualunque azienda che utilizzi sistemi AI nei processi di HR, credit scoring, supporto clienti automatizzato o gestione di servizi pubblici deve verificare se quei sistemi ricadono nelle categorie ad alto rischio. Se sì, deve garantire la conformità agli obblighi previsti dal regolamento.

Documentazione tecnica obbligatoria. I fornitori di sistemi AI ad alto rischio devono produrre e mantenere aggiornata una documentazione tecnica che descriva il funzionamento del sistema, i dati usati per addestrarlo, i risultati dei test di validazione, le misure adottate per la supervisione umana. Questa documentazione deve essere disponibile per le autorità competenti su richiesta.

Registrazione nel database europeo. I sistemi AI ad alto rischio devono essere registrati nella banca dati EU centralizzata gestita dalla Commissione europea. Questa registrazione è condizione per l'immissione sul mercato.

Designazione di un referente per la conformità AI. Le aziende che sviluppano o commercializzano sistemi AI ad alto rischio devono designare internamente un responsabile della conformità, con funzioni analoghe a quelle del Data Protection Officer previsto dal GDPR.

Adeguamento dei contratti con i fornitori di AI. Se la vostra azienda utilizza sistemi AI sviluppati da terze parti che ricadono nella categoria ad alto rischio, i contratti con quei fornitori devono includere clausole che garantiscano la conformità. La responsabilità non si trasferisce automaticamente al fornitore: l'utilizzatore finale che immette il sistema sul mercato o lo mette in servizio è anch'esso soggetto agli obblighi di conformità.

Il quadro italiano la Legge 132/2025

L'Italia si è dotata di una propria normativa nazionale complementare all'AI Act con la Legge 23 settembre 2025 n. 132, in vigore dal 10 ottobre 2025. Non sostituisce il regolamento europeo — che è direttamente applicabile — ma lo integra con disposizioni specifiche per il contesto italiano.

La legge si concentra su tre aree principali.

Principi etici per l'AI nella pubblica amministrazione. Introduce l'obbligo per le PA di adottare linee guida etiche per l'uso dell'AI nei processi decisionali che riguardano i cittadini, con particolare attenzione a non discriminazione, trasparenza e responsabilità.

Tutela dei lavoratori nell'era dell'AI. In attuazione di questa delega, il Decreto Ministeriale n. 180 del 17 dicembre 2025 del Ministero del Lavoro ha stabilito le linee guida per l'adozione responsabile dell'AI nel contesto lavorativo, imponendo la consultazione delle rappresentanze sindacali prima dell'introduzione di sistemi AI che incidono sulla valutazione delle prestazioni, sui ritmi di lavoro o sulle decisioni in materia di avanzamento professionale.

Promozione della ricerca e dell'innovazione responsabile. La legge stanzia risorse per programmi di ricerca applicata sull'AI con criteri di eticità e sicurezza, favorendo la collaborazione tra università, centri di ricerca e imprese.

Il quadro italiano, a differenza di quello di alcuni altri Stati membri, ha scelto un approccio complementare piuttosto che restrittivo: non introduce obblighi aggiuntivi rispetto a quelli europei, ma fornisce strumenti operativi per accompagnare imprese e organizzazioni in un percorso di adozione responsabile.

Le sanzioni quanto costano le violazioni

Il sistema sanzionatorio dell'AI Act è tra i più severi nel panorama del diritto europeo, secondo solo alle sanzioni del GDPR per entità.

Pratiche vietate (sistemi a rischio inaccettabile): Fino a 35 milioni di euro o il 7% del fatturato mondiale annuo del fornitore, se superiore.

Violazione degli obblighi principali (sistemi ad alto rischio, modelli AI per uso generale): Fino a 15 milioni di euro o il 3% del fatturato mondiale annuo.

Fornire informazioni errate o incomplete alle autorità: Fino a 7,5 milioni di euro o l'1% del fatturato mondiale annuo.

Per le piccole e medie imprese e le startup, il regolamento prevede la possibilità di applicare la sanzione inferiore tra le due soglie (importo fisso o percentuale del fatturato) e tiene conto della natura, delle dimensioni e del contesto dell'organizzazione. Ma le sanzioni sono comunque potenzialmente significative anche per soggetti di dimensioni ridotte.

L'applicazione delle sanzioni in Italia spetta alle autorità nazionali competenti che ogni Stato membro è tenuto a designare. L'Italia non ha ancora designato formalmente l'autorità competente per l'AI Act al momento della pubblicazione di questo articolo, un ritardo che è stato oggetto di critiche da parte di associazioni di categoria e osservatori del diritto europeo.

FAQ — Le domande più frequenti sull'AI Act

Quando entra in piena applicazione l'AI Act? Il 2 agosto 2026 scatta la piena applicazione del Regolamento (UE) 2024/1689 per quasi tutte le sue disposizioni. Alcune norme, come quelle per i sistemi AI ad alto rischio integrati in prodotti regolamentati specifici, entreranno in vigore il 2 agosto 2027.

L'AI Act si applica anche alle piccole imprese? Sì, ma con alcune modulazioni. Le PMI e le startup sono soggette agli stessi obblighi delle grandi aziende per i sistemi AI ad alto rischio, ma le sanzioni tengono conto delle dimensioni dell'organizzazione e le procedure di conformità sono semplificate rispetto a quelle previste per le grandi realtà.

ChatGPT, Claude e altri modelli AI generativi rientrano nell'AI Act? Sì. I modelli AI di uso generale (GPAI) sono regolamentati dall'AI Act a partire dal 2 agosto 2025. I provider di questi modelli — che includono OpenAI, Anthropic, Google e altri — devono rispettare obblighi di trasparenza, governance e documentazione tecnica. I modelli con capacità sistemiche molto elevate (sopra una certa soglia computazionale) hanno obblighi aggiuntivi.

Cosa succede se un sito web usa chatbot o contenuti generati da AI senza dichiararlo? Dal 2 agosto 2026 è obbligatorio informare gli utenti quando interagiscono con sistemi AI. Il mancato adeguamento può comportare sanzioni da parte delle autorità competenti. Il watermarking dei contenuti AI-generated diventerà obbligatorio entro il 2 dicembre 2026.

L'AI Act vieta l'uso del riconoscimento facciale? Non in modo assoluto. Il riconoscimento biometrico in tempo reale in spazi pubblici per finalità di law enforcement è vietato, con eccezioni limitate a specifiche situazioni di sicurezza (terrorismo, ricerca di persone scomparse, crimini gravi). L'uso del riconoscimento facciale in contesti privati — come i sistemi di accesso aziendali — non è vietato ma richiede il rispetto del GDPR e, se il sistema è classificato ad alto rischio, degli obblighi dell'AI Act.

Come posso sapere se il mio software aziendale è considerato ad alto rischio? La classificazione dipende dall'uso concreto del sistema AI. Se lo strumento viene utilizzato per prendere o supportare decisioni in materia di selezione del personale, valutazione della performance, concessione di credito, accesso a servizi pubblici essenziali, gestione delle migrazioni o applicazione della legge, ricade quasi certamente nella categoria ad alto rischio. In caso di dubbio, è consigliabile consultare un professionista specializzato in diritto delle tecnologie.

L'Italia ha già designato l'autorità competente per l'AI Act? Al 25 maggio 2026, l'Italia non ha ancora designato formalmente la o le autorità nazionali competenti per la vigilanza e l'applicazione dell'AI Act. Il ritardo è fonte di preoccupazione per le imprese che devono sapere a chi rivolgersi in caso di necessità. Il Governo è in attesa di completare questo processo prima della scadenza di agosto.

Cosa sono le AI sandbox e a cosa servono? Le sandbox regolamentari sono ambienti controllati in cui aziende e startup possono testare sistemi AI innovativi con una supervisione alleggerita, per favorire l'innovazione pur mantenendo la tutela dei diritti. L'accordo del 7 maggio 2026 ha spostato al 2027 l'obbligo per gli Stati membri di istituirle, ma molti Paesi le stanno già sviluppando volontariamente.

Conclusione: tre mesi per prepararsi

Il 2 agosto 2026 non è una data lontana. Sono meno di tre mesi. Per chi ancora non ha fatto nulla, il tempo stringe — ma non è ancora troppo tardi.

Per i cittadini, la priorità è capire i propri diritti: il diritto a sapere quando si interagisce con un'AI, il diritto a non essere valutati esclusivamente da sistemi automatizzati nelle decisioni che contano, il diritto a contestare quelle decisioni.

Per le imprese, la priorità è la mappatura: capire quale AI si usa, in quali processi, e se quei processi ricadono nelle categorie ad alto rischio. La conformità non si improvvisa in agosto — si costruisce nei mesi che lo precedono.

Per i professionisti — avvocati, medici, HR manager, giornalisti, insegnanti — la priorità è formarsi: l'AI Act ridisegna le responsabilità professionali in modo significativo, e chi si trova a usare AI nei propri processi senza capire il quadro normativo si espone a rischi che non aveva considerato.

L'intelligenza artificiale è già ovunque. Le regole per governarla arrivano il 2 agosto. La domanda non è se adeguarsi, ma quanto velocemente

Cerca nel sito