Manca poco più di due settimane a una delle scadenze più attese del Regolamento europeo sull'intelligenza artificiale. Dal 2 agosto 2026 entrano in vigore gli obblighi di trasparenza previsti dall'articolo 50 dell'AI Act, la norma che impone a chi sviluppa e a chi utilizza sistemi di intelligenza artificiale di dichiarare, in modo chiaro e verificabile, quando un contenuto testuale, audio, video o un'interazione conversazionale è generata o manipolata da un algoritmo.

Non si tratta di un adempimento burocratico isolato, ma del tassello che rende operativo uno dei principi cardine dell'AI Act: nessun utente deve scoprire dopo di aver parlato con una macchina o di aver guardato un contenuto sintetico senza saperlo prima.

Cosa prevede l'articolo 50 dell'AI Act

La norma individua quattro obblighi distinti, che si applicano a seconda del ruolo — provider o deployer — e del tipo di sistema utilizzato.

  • Disclosure delle interazioni uomo-macchina: chi utilizza un chatbot o un assistente conversazionale deve essere informato che sta interagendo con un sistema di IA, a meno che questo non sia già evidente dal contesto d'uso.
  • Marcatura dei contenuti sintetici: i fornitori di sistemi che generano audio, immagini, video o testo devono garantire che gli output siano contrassegnati in formato leggibile da macchina e riconoscibili come generati o manipolati artificialmente.
  • Informativa sul riconoscimento biometrico: le persone esposte a sistemi di categorizzazione biometrica o riconoscimento delle emozioni devono esserne informate.
  • Etichettatura dei deepfake: chi genera o manipola immagini, audio o video che costituiscono un deepfake deve dichiararlo in modo chiaro e distinguibile, non oltre il primo momento di interazione o esposizione del pubblico.

"Nessun contenuto generato artificialmente potrà più circolare senza una traccia visibile della propria origine sintetica: è il principio di fondo che ispira l'intero impianto dell'articolo 50."

Le sanzioni previste

Il mancato rispetto degli obblighi di trasparenza non è una questione formale: l'AI Act prevede multe fino a 15 milioni di euro o al 3% del fatturato globale annuo, a seconda di quale valore risulti più elevato. Una soglia pensata per essere dissuasiva anche per i grandi player tecnologici.

Chatbot AI su smartphone con etichetta di trasparenza 'contenuto generato da intelligenza artificiale'

Il contesto: il "Digital Omnibus" e le scadenze riviste

Il quadro normativo, però, non è rimasto statico. Il 29 giugno 2026 il Consiglio dell'Unione Europea ha dato il via libera definitivo al cosiddetto "Digital Omnibus on AI", un pacchetto di modifiche pensato per semplificare l'applicazione delle regole e ridurre il carico amministrativo sulle imprese, senza però intaccare la tutela dei diritti fondamentali.

Le modifiche principali riguardano soprattutto i sistemi ad alto rischio, per i quali le scadenze sono state posticipate:

  • 2 dicembre 2027 per i sistemi ad alto rischio stand-alone;
  • 2 agosto 2028 per i sistemi ad alto rischio integrati in prodotti già regolamentati (es. dispositivi medici, macchinari).

Il pacchetto introduce inoltre due nuovi divieti assoluti, applicabili dal 2 dicembre 2026:

  1. l'uso dell'intelligenza artificiale per creare o manipolare, senza consenso, immagini o video intimi realistici (i cosiddetti deepfake sessuali);
  2. la generazione di materiale pedopornografico tramite sistemi di IA.

Il periodo transitorio si accorcia

Un dettaglio che le aziende non possono permettersi di ignorare: per i sistemi già presenti sul mercato, il periodo transitorio per adeguarsi agli obblighi di trasparenza è stato ridotto da sei a tre mesi. Chi ha già in produzione chatbot, generatori di immagini o assistenti vocali basati su IA deve quindi accelerare il percorso di compliance.

Il nodo GDPR: doppia valutazione, un solo processo

Uno degli aspetti più rilevanti per i responsabili privacy riguarda l'integrazione tra AI Act e GDPR. Il Digital Omnibus introduce una nuova base giuridica che consente ai fornitori di sistemi ad alto rischio di trattare categorie particolari di dati personali (ai sensi dell'articolo 9 del GDPR) per correggere distorsioni algoritmiche — il problema noto come bias — e prevede il coordinamento tra:

  • la valutazione d'impatto sui diritti fondamentali (FRIA, richiesta dall'AI Act);
  • la valutazione d'impatto sulla protezione dei dati (DPIA, richiesta dal GDPR).

L'obiettivo dichiarato è evitare duplicazioni documentali per le aziende, mantenendo però lo stesso livello di tutela per gli interessati.

Il Codice di buone pratiche sulla trasparenza

A supporto delle imprese, la Commissione europea ha pubblicato il 10 giugno 2026 il Code of Practice on Transparency of AI-Generated Content. Non sostituisce gli obblighi normativi, ma fornisce un framework operativo per dimostrare la conformità all'articolo 50, con esempi pratici di etichettatura, watermarking e disclosure per le diverse tipologie di contenuto.

Infografica delle scadenze AI Act 2026-2028 per aziende e sviluppatori di sistemi di intelligenza artificiale

Cosa devono fare aziende, consulenti e DPO da qui al 2 agosto

Per chi si occupa di compliance, consulenza o protezione dei dati, la finestra utile per adeguarsi si sta chiudendo. Le priorità operative includono:

  • mappare tutti i sistemi di IA generativa e conversazionale già in uso in azienda;
  • verificare la presenza di meccanismi di etichettatura machine-readable sui contenuti sintetici;
  • aggiornare le informative privacy e le policy interne sull'uso dell'IA;
  • coordinare DPIA e valutazione d'impatto sui diritti fondamentali, come previsto dal nuovo impianto normativo;
  • formare il personale sugli obblighi di disclosure verso clienti e utenti finali.

L'AI Act sta insomma entrando nella sua fase più concreta: dalle dichiarazioni di principio si passa a obblighi verificabili, con scadenze precise e sanzioni economiche rilevanti. Le prossime settimane saranno decisive per capire quante aziende italiane ed europee arriveranno pronte all'appuntamento del 2 agosto.


Fonti