- Non rinviato: gli obblighi di trasparenza (articolo 50) valgono dal 2 agosto 2026 — avviso per i chatbot, etichettatura dei contenuti generati dall’AI, etichettatura dei deepfake. Multe: fino a 15 mln € o 3 % del fatturato mondiale.
- Rinviato (con il «Digital Omnibus»): gli obblighi ad alto rischio dell’Allegato III al 2 dicembre 2027, l’AI ad alto rischio integrata nei prodotti (Allegato I) al 2028.
- In vigore da tempo e trascurato: l’obbligo di competenza AI (articolo 4) si applica da febbraio 2025, come i divieti.
- La maggior parte delle PMI è deployer, non provider — la loro lista di obblighi è corta. Va solo completata prima che l’autorità faccia domande.
Una premessa: siamo implementatori di AI, non avvocati — questo articolo è un orientamento pratico, non consulenza legale. Si basa sul testo del regolamento, sulle date ufficiali e sulla copertura dell’accordo Omnibus, al 4 luglio 2026. Per la valutazione vincolante del singolo caso serve uno studio legale al tavolo. Quello che possiamo fare qui: tradurre la situazione giuridica in linguaggio aziendale — così sai di cosa devi parlare, e con chi.
Perché in questo momento tutti parlano di cose diverse
Il regolamento sull’AI è in vigore da agosto 2024 e diventa applicabile per fasi. Il calendario originale: febbraio 2025 i divieti e l’obbligo di competenza AI, agosto 2025 gli obblighi per i provider di grandi modelli, agosto 2026 «il resto» — soprattutto gli estesi obblighi ad alto rischio e le regole di trasparenza.
Poi è arrivato il dibattito sulla semplificazione. Con il «Digital Omnibus», Consiglio e Parlamento hanno concordato a maggio 2026 di rinviare gli obblighi ad alto rischio; il Parlamento ha approvato il 16 giugno 2026, il Consiglio ha adottato formalmente il 29 giugno 2026 — manca solo la pubblicazione nella Gazzetta ufficiale. Da allora metà della stampa titola «AI Act rinviato» mentre l’altra metà avverte della scadenza di agosto. Hanno ragione entrambe — parlano solo di parti diverse del regolamento. E un dettaglio si perde quasi ovunque: a inizio luglio 2026 l’Omnibus non era ancora pubblicato nella Gazzetta ufficiale UE. Finché non accade, restano formalmente in vigore le vecchie scadenze — l’accordo politico è molto probabilmente l’esito finale, ma non è ancora diritto applicabile.
Lo stato delle scadenze — una tabella invece di dieci titoli
| Obbligo | Scadenza | Stato |
|---|---|---|
| Pratiche vietate (tra cui social scoring, AI manipolativa) | 2 febbraio 2025 | già in vigore |
| Competenza AI / obbligo di formazione (art. 4) | 2 febbraio 2025 | già in vigore — spesso trascurato |
| Obblighi per i provider di grandi modelli (GPAI) | 2 agosto 2025 | già in vigore (riguarda i provider di modelli) |
| Obblighi di trasparenza (art. 50: chatbot, contenuti AI, deepfake) | 2 agosto 2026 | in arrivo — non rinviato |
| Marcatura leggibile dalle macchine / watermarking | 2 dicembre 2026 | leggermente rinviato con l’Omnibus |
| Obblighi ad alto rischio (Allegato III, es. AI in HR, credito) | 2 dicembre 2027 | rinviato con l’Omnibus (prima: ago. 2026) |
| AI ad alto rischio in prodotti regolamentati (Allegato I) | agosto 2028 | rinviato con l’Omnibus |
Al 4 luglio 2026. Date Omnibus soggette a pubblicazione nella Gazzetta ufficiale UE — fino ad allora valgono formalmente le vecchie date.
Cosa ti arriva concretamente dal 2 agosto 2026: l’articolo 50
Gli obblighi di trasparenza sono la parte del regolamento che riguarda il maggior numero di aziende — proprio perché non puntano a casi esotici ad alto rischio, ma all’uso quotidiano dell’AI:
- Chatbot e voicebot: chi gestisce un assistente AI nel contatto con i clienti deve rendere riconoscibile che l’utente sta interagendo con un’AI — a meno che non sia ovvio.
- Immagini, audio e video generati dall’AI: i contenuti sintetici — in particolare i deepfake — vanno etichettati come generati o manipolati artificialmente. Vale anche per le immagini AI nel marketing.
- Testi AI su temi di interesse pubblico: chi li pubblica generati dall’AI deve dichiararlo — salvo controllo editoriale umano con responsabilità.
- Riconoscimento delle emozioni e categorizzazione biometrica: le persone interessate vanno informate — più raro nelle PMI, ma chi lo usa deve saperlo.
La cornice sanzionatoria: fino a 15 milioni di euro o il 3 per cento del fatturato annuo mondiale. Realisticamente nessuna autorità parte dal massimo — ma «non lo sapevamo» da agosto non regge più. La buona notizia: questi obblighi si soddisfano con uno sforzo gestibile. Un avviso pulito nella finestra di chat, un processo di etichettatura per i visual AI, un’approvazione editoriale per i testi AI — è lavoro di processo, non un mega-progetto.
Deployer o provider? Lo scambio che decide i tuoi obblighi
Il regolamento distingue sistematicamente tra provider (chi sviluppa sistemi AI o li immette sul mercato con il proprio nome) e deployer (chi li usa professionalmente). Quasi tutte le PMI sono deployer — e gli obblighi dei deployer sono molto più snelli: usare in modo trasparente, formare il personale, seguire le istruzioni del provider.
Deve fare attenzione chi supera il confine: chi modifica sostanzialmente un sistema AI o consegna una soluzione AI ai clienti con il proprio marchio può diventare giuridicamente un provider — con il programma completo di obblighi. Fare bene questa classificazione una volta è forse la mezz’ora più importante di tutto l’esercizio di compliance. La logica utilizzatore-vs-provider è approfondita nella guida build-vs-buy (in tedesco); come interagiscono residenza dei dati e gestione in UE è nel vademecum sugli LLM locali (in tedesco).
Ciò che quasi tutti trascurano: l’obbligo di formazione vale da febbraio 2025
Mentre tutti fissano agosto 2026, l’articolo 4 è applicabile da tempo: dal 2 febbraio 2025 le aziende devono garantire una sufficiente competenza AI a chiunque lavori con sistemi AI. Nessun obbligo di certificato, nessun formato di corso prescritto — ma l’aspettativa che il personale sappia valutare i sistemi che usa: cosa sa fare lo strumento, cosa no, quali dati possono entrarci, quando deve verificare una persona?
Un concetto di formazione documentato e basato sui ruoli è la via consueta — e, per inciso, è semplicemente buon management: i dati DIHK e Bitkom mostrano da anni che i progetti AI nelle PMI raramente falliscono per la tecnica, ma perché nessuno sa lavorarci come si deve.
La tua to-do list fino ad agosto — cinque punti, nessun mega-progetto
- 1. Fai l’inventario AI. Quali sistemi AI sono in uso — ufficiali e non (shadow AI)? Senza lista, niente compliance.
- 2. Chiarisci il ruolo. Per ogni sistema: siamo deployer o (per sbaglio) provider? Nel dubbio, far verificare legalmente.
- 3. Attua la trasparenza. Avviso chatbot, etichettatura di immagini/video AI, processo di approvazione per i testi AI — entro il 2 agosto 2026.
- 4. Documenta la formazione. Concetto di competenza AI basato sui ruoli — l’obbligo vale da febbraio 2025.
- 5. Programma il check alto-rischio, senza drammatizzare. Se usi l’AI in decisioni HR, credito o simili: gli obblighi arrivano (previsti per dicembre 2027) — tempo per prepararsi bene invece di farsi prendere dal panico, ma non per rimuovere il tema.
E un sesto punto che non richiede alcun regolamento: chi compra soluzioni AI da fornitori di servizi dovrebbe integrare le domande di compliance nella selezione del fornitore — le cinque domande di verifica per ogni agenzia AI coprono già residenza dei dati e responsabilità. E per il quadro più ampio: l’AI come opportunità di crescita per l’Europa.
Fonti e inquadramento
Questo articolo è un orientamento pratico, non consulenza legale. Si basa sul regolamento AI (UE) 2024/1689 con il suo calendario di applicazione a fasi, sugli obblighi di trasparenza dell’articolo 50 con la relativa cornice sanzionatoria (fino a 15 mln € / 3 % del fatturato mondiale) e sulla copertura pubblica dell’accordo «Digital Omnibus» (accordo maggio 2026, approvazione del Parlamento europeo il 16 giugno 2026, adozione formale del Consiglio il 29 giugno 2026; rinvio degli obblighi ad alto rischio dell’Allegato III al 2 dicembre 2027, Allegato I al 2028, marcatura leggibile dalle macchine a dicembre 2026). Tutte le informazioni al 4 luglio 2026 — a quella data le modifiche Omnibus non erano ancora pubblicate nella Gazzetta ufficiale UE; fino alla pubblicazione valgono formalmente le scadenze originali. Valutazioni e priorità sono il punto di vista di Digital Maker.
Domande frequenti: l’EU AI Act nelle PMI
Cosa vale dal 2 agosto 2026 secondo l’EU AI Act?
Dal 2 agosto 2026 si applicano soprattutto gli obblighi di trasparenza dell’articolo 50: chi gestisce un chatbot deve informare gli utenti che stanno interagendo con un’AI; immagini, audio e video generati o manipolati dall’AI (deepfake) vanno etichettati; lo stesso vale per i testi AI pubblicati su temi di interesse pubblico. I grandi obblighi ad alto rischio (Allegato III) erano previsti per la stessa data, ma sono stati rinviati a dicembre 2027 con il «Digital Omnibus».
L’EU AI Act è stato rinviato?
In parte — ed è proprio questo a creare confusione. Il «Digital Omnibus» (accordo maggio 2026, approvazione del Parlamento europeo il 16 giugno 2026, adozione formale del Consiglio il 29 giugno 2026) rinvia gli obblighi per i sistemi ad alto rischio autonomi (Allegato III) al 2 dicembre 2027 e per l’AI ad alto rischio integrata nei prodotti (Allegato I) ad agosto 2028. NON sono rinviati gli obblighi di trasparenza dell’articolo 50 — valgono dal 2 agosto 2026. Inoltre, a inizio luglio 2026 l’Omnibus non era ancora pubblicato nella Gazzetta ufficiale UE; fino ad allora restano formalmente in vigore le vecchie scadenze.
L’EU AI Act vale anche per le piccole e medie imprese?
Sì. Non esiste un’esenzione generale per le PMI — solo singoli alleggerimenti. La buona notizia: la maggior parte delle PMI è «deployer» (utilizzatore) di AI, non «provider» — e gli obblighi dei deployer sono molto più snelli. Chi però modifica sostanzialmente un sistema AI o lo offre con il proprio nome può scivolare negli obblighi più severi dei provider. Questa classificazione va fatta bene una volta.
Cos’è l’obbligo di alfabetizzazione AI dell’articolo 4?
L’articolo 4 obbliga le aziende, dal 2 febbraio 2025, a garantire una sufficiente competenza AI a tutto il personale che lavora con sistemi AI. Questo obbligo vale quindi da tempo — viene solo trascurato perché tutti guardano ad agosto 2026. Un concetto di formazione documentato e basato sui ruoli è il modo consueto per adempiervi.
Quali sanzioni si rischiano violando gli obblighi di trasparenza?
Le violazioni degli obblighi di trasparenza dell’articolo 50 possono essere punite con multe fino a 15 milioni di euro o al 3 per cento del fatturato annuo mondiale — a seconda di quale importo sia più alto. Per le pratiche vietate valgono soglie ancora più alte. Realisticamente nessuna autorità parte dal massimo — ma «non lo sapevamo» da agosto 2026 non è più una difesa.
Il tuo uso dell’AI è pronto per agosto?
Nel discovery call esaminiamo il tuo inventario AI, chiariamo la questione deployer/provider per i tuoi sistemi e diamo priorità a ciò che va davvero fatto entro agosto — con sobrietà, senza panico. Quattro occhi, trenta minuti, niente slide.