Manca poco più di due settimane a una delle scadenze più attese del Regolamento europeo sull'intelligenza artificiale. Dal 2 agosto 2026 entrano in vigore gli obblighi di trasparenza previsti dall'articolo 50 dell'AI Act, la norma che impone a chi sviluppa e a chi utilizza sistemi di intelligenza artificiale di dichiarare, in modo chiaro e verificabile, quando un contenuto testuale, audio, video o un'interazione conversazionale è generata o manipolata da un algoritmo.
Non si tratta di un adempimento burocratico isolato, ma del tassello che rende operativo uno dei principi cardine dell'AI Act: nessun utente deve scoprire dopo di aver parlato con una macchina o di aver guardato un contenuto sintetico senza saperlo prima.
Cosa prevede l'articolo 50 dell'AI Act
La norma individua quattro obblighi distinti, che si applicano a seconda del ruolo — provider o deployer — e del tipo di sistema utilizzato.
- Disclosure delle interazioni uomo-macchina: chi utilizza un chatbot o un assistente conversazionale deve essere informato che sta interagendo con un sistema di IA, a meno che questo non sia già evidente dal contesto d'uso.
- Marcatura dei contenuti sintetici: i fornitori di sistemi che generano audio, immagini, video o testo devono garantire che gli output siano contrassegnati in formato leggibile da macchina e riconoscibili come generati o manipolati artificialmente.
- Informativa sul riconoscimento biometrico: le persone esposte a sistemi di categorizzazione biometrica o riconoscimento delle emozioni devono esserne informate.
- Etichettatura dei deepfake: chi genera o manipola immagini, audio o video che costituiscono un deepfake deve dichiararlo in modo chiaro e distinguibile, non oltre il primo momento di interazione o esposizione del pubblico.
"Nessun contenuto generato artificialmente potrà più circolare senza una traccia visibile della propria origine sintetica: è il principio di fondo che ispira l'intero impianto dell'articolo 50."
Le sanzioni previste
Il mancato rispetto degli obblighi di trasparenza non è una questione formale: l'AI Act prevede multe fino a 15 milioni di euro o al 3% del fatturato globale annuo, a seconda di quale valore risulti più elevato. Una soglia pensata per essere dissuasiva anche per i grandi player tecnologici.
Il contesto: il "Digital Omnibus" e le scadenze riviste
Il quadro normativo, però, non è rimasto statico. Il 29 giugno 2026 il Consiglio dell'Unione Europea ha dato il via libera definitivo al cosiddetto "Digital Omnibus on AI", un pacchetto di modifiche pensato per semplificare l'applicazione delle regole e ridurre il carico amministrativo sulle imprese, senza però intaccare la tutela dei diritti fondamentali.
Le modifiche principali riguardano soprattutto i sistemi ad alto rischio, per i quali le scadenze sono state posticipate:
- 2 dicembre 2027 per i sistemi ad alto rischio stand-alone;
- 2 agosto 2028 per i sistemi ad alto rischio integrati in prodotti già regolamentati (es. dispositivi medici, macchinari).
Il pacchetto introduce inoltre due nuovi divieti assoluti, applicabili dal 2 dicembre 2026:
- l'uso dell'intelligenza artificiale per creare o manipolare, senza consenso, immagini o video intimi realistici (i cosiddetti deepfake sessuali);
- la generazione di materiale pedopornografico tramite sistemi di IA.
Il periodo transitorio si accorcia
Un dettaglio che le aziende non possono permettersi di ignorare: per i sistemi già presenti sul mercato, il periodo transitorio per adeguarsi agli obblighi di trasparenza è stato ridotto da sei a tre mesi. Chi ha già in produzione chatbot, generatori di immagini o assistenti vocali basati su IA deve quindi accelerare il percorso di compliance.
Il nodo GDPR: doppia valutazione, un solo processo
Uno degli aspetti più rilevanti per i responsabili privacy riguarda l'integrazione tra AI Act e GDPR. Il Digital Omnibus introduce una nuova base giuridica che consente ai fornitori di sistemi ad alto rischio di trattare categorie particolari di dati personali (ai sensi dell'articolo 9 del GDPR) per correggere distorsioni algoritmiche — il problema noto come bias — e prevede il coordinamento tra:
- la valutazione d'impatto sui diritti fondamentali (FRIA, richiesta dall'AI Act);
- la valutazione d'impatto sulla protezione dei dati (DPIA, richiesta dal GDPR).
L'obiettivo dichiarato è evitare duplicazioni documentali per le aziende, mantenendo però lo stesso livello di tutela per gli interessati.
Il Codice di buone pratiche sulla trasparenza
A supporto delle imprese, la Commissione europea ha pubblicato il 10 giugno 2026 il Code of Practice on Transparency of AI-Generated Content. Non sostituisce gli obblighi normativi, ma fornisce un framework operativo per dimostrare la conformità all'articolo 50, con esempi pratici di etichettatura, watermarking e disclosure per le diverse tipologie di contenuto.
Cosa devono fare aziende, consulenti e DPO da qui al 2 agosto
Per chi si occupa di compliance, consulenza o protezione dei dati, la finestra utile per adeguarsi si sta chiudendo. Le priorità operative includono:
- mappare tutti i sistemi di IA generativa e conversazionale già in uso in azienda;
- verificare la presenza di meccanismi di etichettatura machine-readable sui contenuti sintetici;
- aggiornare le informative privacy e le policy interne sull'uso dell'IA;
- coordinare DPIA e valutazione d'impatto sui diritti fondamentali, come previsto dal nuovo impianto normativo;
- formare il personale sugli obblighi di disclosure verso clienti e utenti finali.
L'AI Act sta insomma entrando nella sua fase più concreta: dalle dichiarazioni di principio si passa a obblighi verificabili, con scadenze precise e sanzioni economiche rilevanti. Le prossime settimane saranno decisive per capire quante aziende italiane ed europee arriveranno pronte all'appuntamento del 2 agosto.
Fonti
- AI Act: dal 2 agosto 2026 l'intelligenza artificiale dovrà "presentarsi" - Labor Project
- AI Act and "Omnibus VII": deadlines, simplifications and prohibitions - LEXIA
- Articolo 50 AI Act: obblighi etichettatura dal 2 agosto 2026 - TrueScreen
- Obblighi di trasparenza AI Act: cosa devono fare le aziende dal 2 agosto 2026 - Agenda Digitale
- AI Act | Shaping Europe's digital future - Commissione Europea