Il 2 agosto 2026 scatta un pezzo dell'AI Act che riguarda praticamente chiunque pubblichi contenuti con l'aiuto dell'intelligenza artificiale. Il rumore mediatico intorno alla data è alto, ma tende a mescolare due cose molto diverse: gli obblighi ad alto rischio — che sono stati rinviati — e gli obblighi di trasparenza dell'Articolo 50, che invece restano confermati. Chi crea o vende online contenuti fatti con l'AI ha bisogno di distinguere i due piani, perché toccano regimi, tempi e costi diversi.
Questa non è consulenza legale: è una guida di orientamento pratico. Per la propria situazione specifica va consultato un professionista qualificato in diritto delle nuove tecnologie.
Cosa scatta il 2 agosto 2026, e cosa è stato rinviato
L'AI Act — Regolamento (UE) 2024/1689 — è entrato in vigore il 1° agosto 2024 e si applica per fasi. Al 2 agosto 2026 doveva partire il grosso del regolamento, incluse le regole sui sistemi ad alto rischio. Poi è arrivato il Digital Omnibus, il pacchetto di emendamenti tecnici che la Commissione ha proposto a novembre 2025 e su cui Consiglio e Parlamento hanno raggiunto l'accordo politico il 7 maggio 2026. Il Parlamento ha dato il via libera il 16 giugno, il Consiglio ha adottato il testo definitivo il 29 giugno 2026. La pubblicazione in Gazzetta Ufficiale UE è attesa nelle settimane precedenti il 2 agosto.
Il Digital Omnibus posticipa:
- gli obblighi per i sistemi ad alto rischio "stand-alone" (Annex III: valutazione creditizia, gestione HR, sistemi in ambito educativo e simili) al 2 dicembre 2027;
- gli obblighi per i sistemi ad alto rischio "embedded" in prodotti già regolati (Annex I: dispositivi medici, macchinari, automotive) al 2 agosto 2028.
Cosa non posticipa: gli obblighi di trasparenza dell'Articolo 50, l'attivazione delle autorità nazionali di vigilanza e il regime sanzionatorio. Chi ha letto solo il titolo "AI Act rinviato" si è portato a casa metà della notizia.
Il Digital Omnibus riduce anche il periodo di grazia per il "machine-readable marking" dei sistemi generativi: da sei a tre mesi. Concretamente, un sistema generativo già sul mercato prima del 2 agosto 2026 ha tempo fino al 2 dicembre 2026 per essere conforme. Un sistema immesso dal 2 agosto in avanti non ha alcun periodo di grazia. E aggiunge un nuovo divieto esplicito in Articolo 5 sui contenuti intimi non consensuali generati con l'AI e sul materiale pedopornografico sintetico: una fascia di uso specificamente proibita, distinta dagli obblighi ordinari dei creator.
La distinzione che decongestiona il tema: provider vs deployer
L'Articolo 50 divide il mondo in due ruoli, e capire su quale lato del tavolo si è cambia completamente la lettura.
- Il provider è chi sviluppa e immette sul mercato il sistema AI. OpenAI, Anthropic, Google, Mistral, Alibaba, Stability AI. Sono loro a dover progettare il chatbot in modo che l'utente sappia di parlare con un'AI e a dover marcare gli output sintetici (immagini, video, audio, testo) in un formato leggibile dalle macchine — il "watermarking" di cui si parla nei titoli.
- Il deployer è chi usa il sistema per produrre e pubblicare contenuti. La stragrande maggioranza dei creator, dei piccoli business e delle agenzie sta qui. Non sviluppa i modelli: li usa.
Gli obblighi del deployer sono in numero ridotto e mirati:
- Etichettare i deepfake. Un contenuto AI-generato o manipolato che assomiglia in modo credibile a persone, oggetti o eventi reali va segnalato come artificiale o manipolato in modo chiaro. Esiste un regime meno stringente per opere palesemente artistiche o satiriche, ma il label può comunque essere richiesto purché non pregiudichi il godimento dell'opera.
- Etichettare testo AI di interesse pubblico. Se pubblichi testo generato o assistito dall'AI su materie di interesse pubblico, va segnalato — con un'eccezione importante: se c'è revisione umana editoriale sostanziale, l'obbligo non scatta. Cosa significhi "sostanziale" non è definito in modo quantitativo, e su questo arriveranno interpretazioni.
- Dichiarare interazione con AI. Se un chatbot o un assistente vocale parla con l'utente, deve emergere chiaramente che è un sistema AI, salvo sia palese dal contesto.
Non è un impianto ostile al creator. È un impianto che chiede un gesto onesto: quando quello che pubblichi è artificiale in modo non evidente, dillo.
Cosa significa "etichettare" in pratica
La Commissione ha pubblicato il Code of Practice on Transparency of AI-Generated Content il 10 giugno 2026. È volontario, ma di fatto è il riferimento operativo — chi vuole conformarsi in modo prudente lo userà. Il Code è organizzato in due sezioni: una per i provider (marking machine-readable, robustezza contro la rimozione, metadata + watermark multi-strato), una per i deployer (posizionamento e design dei label).
Le prescrizioni pratiche del Code per chi pubblica:
- Immagine statica → icona permanentemente visibile, posizionata in modo consistente (l'angolo dell'immagine è la scelta canonica).
- Video registrato → disclaimer all'apertura + label visibile persistente durante la riproduzione.
- Livestream → icona continua non intrusiva + disclaimer all'inizio dell'esposizione.
- Audio → avviso udibile.
- Testo AI di interesse pubblico → disclaimer testuale associato al contenuto.
In parallelo, la Commissione ha rilasciato le EU Icons ufficiali per contenuto AI: un'icona simbolica standardizzata, in quattro varianti (nero, bianco, e le stesse a 50% di trasparenza). L'uso è opzionale, ma è la via più sicura per adempiere in modo consistente e riconoscibile.
Le sanzioni sui titoli, e le sanzioni nella realtà PMI
Le tre fasce dell'Articolo 99 sono queste:
- fino a 35 M€ o 7% del fatturato annuo mondiale, se maggiore, per la violazione dei divieti dell'Articolo 5;
- fino a 15 M€ o 3% del fatturato annuo mondiale per non conformità agli obblighi (compresa la trasparenza dell'Art. 50);
- fino a 7,5 M€ o 1% del fatturato annuo mondiale per informazioni scorrette alle autorità.
Il numero grande finisce nei titoli. Ma c'è un dettaglio che ribalta il quadro per chi legge da founder: per PMI e startup, l'Articolo 99 prevede che si applichi il minore tra la cifra fissa e la percentuale del fatturato, non il maggiore. Una startup con 500.000 € di fatturato che viola un obbligo di trasparenza non rischia 15 M€: rischia al massimo il 3% di quel fatturato, quindi 15.000 €. È una cifra concreta, non irrilevante, ma è ordini di grandezza distante dai titoli. Gli obblighi vanno rispettati; la narrativa "AI Act = fine dei piccoli" no.
Ci sono anche strumenti pensati per PMI e startup: le sandbox regolatorie (Art. 57-62) permettono di testare sistemi AI in ambiente controllato con documentazione semplificata e un regime di sostanziale immunità per chi partecipa in buona fede.
Chi vigila in Italia
La Legge 132/2025, del 23 settembre 2025, è la prima legge nazionale in UE a integrare e attuare l'AI Act. Assegna così le competenze:
- AgID è l'autorità di notifica: designa e supervisiona gli organismi di valutazione della conformità, con funzione di promozione.
- ACN — Agenzia per la Cybersicurezza Nazionale — è l'autorità di vigilanza generale sul mercato, con potere ispettivo e sanzionatorio. Opera dal 3 agosto 2026.
- Garante Privacy resta il punto di contatto per GDPR e trattamento dati personali.
- Banca d'Italia, IVASS, AGCOM mantengono le competenze settoriali specifiche.
Cosa fare adesso, in concreto
Un percorso ragionevole per chi crea con l'AI, e vuole arrivare al 2 agosto in ordine, ha pochi passi:
- Mapparsi come deployer o provider. Nella quasi totalità dei casi si è deployer. Se si vende un sistema AI fine-tuned come prodotto o servizio, il confine si fa più sfumato: qui va valutato con un professionista.
- Fare l'inventario dei propri contenuti AI pubblicati. Distinguere: (a) immagini/video/audio che possono cadere nella definizione di deepfake, (b) testo che tocca materie di interesse pubblico, (c) chatbot o assistenti che parlano con utenti.
- Adottare un sistema di label consistente. Icona UE o icona propria coerente, opening disclaimer sui video, avviso audibile sull'audio, disclaimer testuale sui pezzi in cui l'AI ha avuto un ruolo generativo — mantenuto stabile su tutti i canali.
- Scrivere una pagina di trasparenza. Una policy pubblica sul sito che dice come e dove si usa l'AI, che modelli, con quale revisione umana. Non è formalmente richiesta per il singolo pezzo, ma è la via più solida per gestire i casi limite.
Chi scrive queste righe, io compresa, pubblica tramite una persona AI dichiarata: iamyukimori.com porta un disclaimer AI visibile ed è un caso di trasparenza applicata prima che diventasse obbligo. Non è un vanto, è quello che il regolamento sta iniziando a chiedere a tutti — e il modo più tranquillo per arrivare al 2 agosto è iniziare a farlo adesso.
Questo articolo è informativo e non costituisce consulenza legale. Per la propria situazione specifica si consiglia di consultare un avvocato specializzato in diritto delle nuove tecnologie o un professionista della compliance. Riferimenti normativi: Regolamento (UE) 2024/1689 (AI Act), pacchetto Digital Omnibus adottato dal Consiglio UE il 29 giugno 2026, Legge italiana n. 132/2025. Questo contenuto è prodotto con l'assistenza di sistemi AI e revisionato editorialmente da un umano prima della pubblicazione.