Mancano poche settimane e una data cambierà il modo in cui la vostra azienda usa l’intelligenza artificiale: il 2 agosto 2026. Fino a ieri l’AI Act, il regolamento europeo sull’intelligenza artificiale, era un testo con scadenze lontane e sanzioni sulla carta. Da quel giorno diventa una legge con i denti: le multe si possono applicare davvero e scattano gli obblighi di trasparenza per chiunque usi un chatbot o generi contenuti con l’AI.

Il punto non è se la vostra organizzazione userà l’intelligenza artificiale. La sta già usando, spesso senza saperlo: un assistente virtuale sul sito, testi e immagini generati per il marketing, uno strumento che filtra i curriculum. Il problema è che dal 2 agosto ognuna di queste attività ha una regola precisa da rispettare, e un’autorità pronta a verificare.

Questo articolo non è l’ennesima spiegazione teorica dell’AI Act. È la mappa di cosa cambia concretamente il 2 agosto 2026, cosa rischiate se vi fate trovare impreparati, e cosa potete fare nelle settimane che restano.

Il 2 agosto 2026: la data in cui l’AI Act smette di essere un manifesto

L’AI Act, il Regolamento (UE) 2024/1689, è entrato in vigore il 1 agosto 2024, ma non tutto insieme. Il legislatore europeo ha scelto un’applicazione a tappe, come un semaforo che diventa rosso una corsia alla volta. I divieti sulle pratiche inaccettabili sono scattati a febbraio 2025. Gli obblighi per i modelli di AI generica sono arrivati ad agosto 2025.

Il 2 agosto 2026 è la tappa che tocca la stragrande maggioranza delle organizzazioni. Da questo momento diventano applicabili i poteri sanzionatori, entrano in vigore gli obblighi di trasparenza e si applicano le regole sui sistemi ad alto rischio elencati nell’allegato III del regolamento. Le autorità nazionali di vigilanza sono pienamente operative. La fase in cui “tanto è ancora presto” finisce qui.

Cosa cambia davvero dal 2 agosto

Tre cose diventano concrete lo stesso giorno. Vale la pena guardarle una per una, perché è nei dettagli che si nasconde la differenza tra essere in regola e prendere una diffida.

Le sanzioni diventano applicabili

Fino ad agosto 2026 le sanzioni dell’AI Act esistevano solo sulla carta. Da quella data possono essere comminate. Gli importi seguono tre fasce, sempre calcolate come il valore più alto tra una cifra fissa e una percentuale del fatturato mondiale annuo: fino a 35 milioni di euro o il 7% per le pratiche vietate, fino a 15 milioni o il 3% per la violazione degli altri obblighi, fino a 7,5 milioni o l’1% per le informazioni scorrette fornite alle autorità. Per le piccole e medie imprese e le startup il regolamento prevede che si applichi l’importo minore tra i due, ma “minore” resta una cifra capace di chiudere un’attività.

Scattano gli obblighi di trasparenza

È la parte che riguarda quasi tutti, anche chi non ha mai pensato di “fare AI”. L’articolo 50 dell’AI Act impone che l’interazione con una macchina sia dichiarata e che i contenuti sintetici siano riconoscibili. Se avete un chatbot che parla con i clienti, il cliente deve sapere che sta parlando con un sistema automatico. Se pubblicate testi, immagini, audio o video generati dall’intelligenza artificiale, devono essere marcati come tali in modo leggibile anche dalle macchine.

L’autorità in Italia ha un nome

In Italia il quadro è stato completato dalla legge 132 del 2025 sull’intelligenza artificiale, che ha designato le autorità nazionali competenti: l’Agenzia per la Cybersicurezza Nazionale e l’Agenzia per l’Italia Digitale. Sui profili che riguardano i dati personali resta competente il Garante per la protezione dei dati personali. Tradotto: non è un’entità astratta di Bruxelles a controllare, ma soggetti italiani che già conoscete.

Trasparenza: dovete dire quando a parlare è una macchina

Immaginate un ristorante che serve un piatto pronto surgelato spacciandolo per fatto in casa. Non è veleno, ma è un inganno, e la legge lo vieta. La logica della trasparenza nell’AI Act è la stessa: non vieta di usare l’intelligenza artificiale, vieta di nasconderla.

Gli obblighi concreti che entrano in vigore il 2 agosto 2026 sono questi:

  • I sistemi che dialogano con le persone (chatbot, assistenti vocali) devono informare l’utente che sta interagendo con un’AI, salvo che sia palese.
  • I contenuti generati o manipolati dall’AI, i cosiddetti deepfake, vanno dichiarati come artificiali.
  • I testi pubblicati per informare il pubblico su temi di interesse generale, se prodotti dall’AI, vanno segnalati.
  • Chi fornisce i sistemi generativi deve marcare gli output in un formato leggibile dalla macchina, così che siano tracciabili a valle.

Sono obblighi che sembrano piccoli finché non guardate quante volte, in una settimana normale, la vostra organizzazione produce un contenuto con l’aiuto dell’AI. Ogni volta, da agosto, c’è una regola.

Gli errori più frequenti che vi mettono fuori norma

Nella maggior parte dei casi non è la malafede a creare il problema, ma la distrazione. Ecco i quattro errori che vediamo più spesso.

Errore 1: pensare che l’AI Act non vi riguardi
“Noi non sviluppiamo intelligenza artificiale.” Vero, ma l’AI Act non regola solo chi la costruisce: regola anche chi la usa. Se adottate uno strumento di terzi per generare testi, filtrare candidati o assistere i clienti, siete un deployer e avete obblighi precisi.

Errore 2: confondere l’AI Act con il GDPR
Sono due regolamenti distinti che si sommano, non si sostituiscono. Essere in regola con il GDPR non vi copre sull’AI Act, e viceversa. Chi ha già un impianto di compliance dati parte avvantaggiato, ma deve estenderlo, non riciclarlo.

Errore 3: non sapere quali strumenti AI girano in azienda
La maggior parte delle organizzazioni non ha un elenco degli strumenti di intelligenza artificiale che usa. Senza quella mappa, non potete sapere quali obblighi vi toccano. È come voler mettere in sicurezza un edificio senza sapere quante porte ha.

Errore 4: rimandare la trasparenza a “quando ci sarà un controllo”
Aggiungere un avviso a un chatbot o una dicitura a un contenuto generato richiede poche ore di lavoro. Farlo dopo una diffida richiede lo stesso tempo, ma con una sanzione e una reputazione da recuperare.

Cosa fare nelle settimane che restano

La buona notizia è che l’adeguamento di base è alla portata di qualsiasi organizzazione che si muova ora. Ecco un piano in cinque mosse, ordinato per urgenza.

  1. Mappate gli strumenti di AI in uso: chatbot, generatori di testo e immagini, sistemi di selezione, assistenti integrati nei software che già usate.
  2. Classificate ogni uso: interazione con persone, generazione di contenuti, decisioni su persone (assunzioni, accesso a servizi). Le decisioni su persone possono ricadere nell’alto rischio.
  3. Applicate la trasparenza: dichiarazione nei chatbot, etichetta sui contenuti generati, informazione agli utenti.
  4. Aggiornate le informative e le policy interne, coordinandole con quelle già esistenti sul GDPR.
  5. Formate il personale: chi usa l’AI ogni giorno deve sapere cosa può e cosa non può fare. Il regolamento richiede un livello adeguato di alfabetizzazione sull’AI.

Non serve un progetto da mesi. Serve iniziare dalla prima riga, subito, perché il 2 agosto non si sposta.

L'AI Act si applica anche se la mia azienda non sviluppa intelligenza artificiale?

Sì. Il regolamento riguarda anche chi usa sistemi di AI forniti da terzi, non solo chi li costruisce. Se adottate un chatbot, un generatore di contenuti o un software di selezione del personale, siete un deployer e avete obblighi, in particolare quelli di trasparenza in vigore dal 2 agosto 2026.

Cosa cambia esattamente il 2 agosto 2026?

Da quella data diventano applicabili le sanzioni dell'AI Act, entrano in vigore gli obblighi di trasparenza dell'articolo 50 e si applicano le regole sui sistemi ad alto rischio dell'allegato III. Le autorità nazionali di vigilanza sono pienamente operative.

A quanto ammontano le sanzioni dell'AI Act?

Le fasce sono tre, calcolate come valore più alto tra una cifra fissa e una percentuale del fatturato mondiale: fino a 35 milioni o il 7% per le pratiche vietate, fino a 15 milioni o il 3% per gli altri obblighi, fino a 7,5 milioni o l'1% per informazioni scorrette. Per le PMI si applica l'importo minore tra i due.

Devo dire ai clienti che uso un chatbot basato su AI?

Sì. Dal 2 agosto 2026 i sistemi che interagiscono con le persone devono informare l'utente che sta dialogando con un'intelligenza artificiale, a meno che non sia già evidente. Basta un avviso chiaro all'avvio della conversazione.

Essere in regola con il GDPR mi copre anche sull'AI Act?

No. Sono due regolamenti distinti che si sommano. Il GDPR protegge i dati personali, l'AI Act regola i sistemi di intelligenza artificiale. Chi ha già un impianto GDPR parte avvantaggiato, ma deve estenderlo con adempimenti specifici sull'AI.

Chi controlla il rispetto dell'AI Act in Italia?

La legge 132 del 2025 ha designato come autorità nazionali l'Agenzia per la Cybersicurezza Nazionale e l'Agenzia per l'Italia Digitale. Sui profili relativi ai dati personali resta competente il Garante per la protezione dei dati personali.

Devo etichettare i contenuti che genero con l'intelligenza artificiale?

Sì. Testi, immagini, audio e video generati o manipolati con l'AI vanno resi riconoscibili come artificiali. Chi fornisce i sistemi generativi deve inoltre marcare gli output in un formato leggibile dalle macchine, così da renderli tracciabili.

Quanto tempo ho per mettermi in regola?

Gli obblighi di trasparenza e i poteri sanzionatori decorrono dal 2 agosto 2026. La scadenza non è rinviabile. L'adeguamento di base, cioè mappatura degli strumenti e applicazione della trasparenza, si può completare in poche settimane se si inizia subito.

Da dove inizio se non so nemmeno quali strumenti AI usa la mia organizzazione?

Dalla mappatura. Elencate ogni strumento che genera contenuti, dialoga con le persone o prende decisioni su di esse, compresi gli assistenti integrati nei software che già usate. Senza questo elenco non è possibile sapere quali obblighi si applicano: è il primo passo di qualsiasi adeguamento.

Risorse utili (tutte gratuite)

  • Testo ufficiale dell’AI Act (eur-lex.europa.eu): il Regolamento (UE) 2024/1689 nella versione consolidata in italiano.
  • Agenzia per la Cybersicurezza Nazionale (acn.gov.it): indicazioni sull’attuazione italiana e sul ruolo di autorità competente.
  • Garante per la protezione dei dati personali (garanteprivacy.it): per il coordinamento tra AI Act e GDPR.

Il 2 agosto 2026 non è una scadenza da temere, è un punto di ordine. Chi arriva preparato trasforma un obbligo in un vantaggio: processi più chiari, clienti più sicuri, un’organizzazione che sa cosa fa con l’intelligenza artificiale. Chi arriva impreparato scopre il costo della distrazione nel momento peggiore, quando l’autorità ha già bussato.

L’AI Act non premia chi ha più tecnologia, ma chi la governa meglio.
Maiora Labs Srl, software house romana specializzata in conformità normativa, affianca aziende ed enti nell’adeguamento all’AI Act: mappatura degli strumenti, obblighi di trasparenza, coordinamento con il GDPR e formazione del personale. Per capire cosa vi tocca fare entro il 2 agosto, contattateci.
 

Condividi questa notizia :