AI Act 2026: l'Europa ha rinviato quasi tutto al 2027. Tranne le regole che scattano ad agosto

Tutti a strapparsi i capelli per l'AI Act. Poi arriva il pacchetto di aggiornamento del 16 giugno 2026 e scopri che la maggior parte degli obblighi più duri è slittata al 2027. Il panico, in buona parte, era rumore. Ma una scadenza vera c'è, ed è dietro l'angolo: il 2 agosto 2026. E riguarda chiunque abbia un chatbot, un generatore di contenuti o un deepfake sul proprio sito.

L'Unione Europea nel 2024 ha approvato la prima legislazione al mondo sull'intelligenza artificiale, ma ancora oggi se ne continua a parlare, soprattutto dopo l'importante pacchetto di aggiornamento, il cosiddetto Digital Omnibus, approvato dal Parlamento europeo lo scorso 16 giugno.

Cos'è l'AI Act?

L'AI Act (Artificial Intelligence Act) è una legislazione che regolamenta lo sviluppo, l'immissione nel mercato e l'utilizzo dei sistemi di IA all'interno dell'Unione Europea applicando regole proporzionate al rischio che rappresentano: più un sistema è pericoloso, più severi sono gli obblighi a cui è soggetto.

Quali regole ci sono per l'industria IA?

La normativa adotta un approccio basato sul rischio, introducendo una classificazione piramidale formata da quattro livelli che calibra il rigore delle regole in proporzione diretta alla gravità dei potenziali danni sociali, economici e individuali che ciascuna applicazione può generare.

Rischio inaccettabile

Al vertice si collocano i sistemi a rischio inaccettabile, per i quali vige un divieto assoluto di commercializzazione e utilizzo. Rientrano in questa categoria le tecnologie di sorveglianza di massa, il riconoscimento biometrico remoto in tempo reale negli spazi pubblici, lo scraping indiscriminato di immagini e i sistemi di manipolazione psicologica e comportamentale, con deroghe minime riservate esclusivamente alle forze dell'ordine previa autorizzazione giudiziaria.

Proprio il Digital Omnibus ha allargato questa lista con un nuovo divieto pesante: i sistemi di IA progettati per generare materiale sessualmente esplicito non consensuale o materiale di abuso sessuale su minori (come le cosiddette "undressing app") sono ora vietati a tutti gli effetti. Un segnale chiaro: l'Europa allenta i tempi sulla burocrazia, ma non sulle linee rosse.

Alto rischio

I sistemi ad alto rischio, impiegati in settori sensibili quali infrastrutture critiche, sanità, giustizia, istruzione, controllo delle frontiere e gestione del personale, sono invece consentiti, ma subordinati a rigorosi adempimenti di conformità. I fornitori devono implementare una gestione continua dei rischi, garantire una rigorosa governance dei dati per eliminare bias discriminatori, mantenere una documentazione tecnica aggiornata e assicurare una supervisione umana effettiva.

Il Digital Omnibus, approvato il 16 giugno, ha rinviato le scadenze per questa categoria: gli obblighi per i sistemi autonomi slittano dal 2 agosto 2026 al 2 dicembre 2027, mentre quelli per i sistemi integrati in prodotti già regolati, come dispositivi medici o macchinari industriali, arrivano al 2 agosto 2028.

Rischio limitato: la scadenza che NON è slittata

Per i sistemi a rischio limitato, come i chatbot e i generatori di deepfake, l'AI Act impone specifici obblighi di trasparenza: gli utenti hanno il diritto di sapere che stanno interagendo con un sistema di IA o che i contenuti che visualizzano sono stati manipolati.

Su questo fronte, a differenza dei sistemi ad alto rischio, il Digital Omnibus non ha concesso rinvii. Dal 2 agosto 2026, tutti i contenuti generati dall'IA destinati al pubblico dovranno essere etichettati con una marcatura leggibile da macchina, i deepfake dovranno recare un'etichetta visibile e i chatbot dovranno dichiarare esplicitamente la propria natura artificiale.

Tradotto per chi gestisce un sito o un'applicazione: se hai un assistente virtuale, immagini generate con l'IA o testi prodotti automaticamente rivolti al pubblico, hai poche settimane per metterti in regola. Questa è l'unica vera scadenza imminente, e non riguarda solo i colossi tech.

Infine, la maggior parte dei software attualmente in uso rientra nella fascia a rischio minimo o nullo, rimanendo esente da vincoli normativi aggiuntivi.

Modelli per scopi generali (GPAI)

Un regime specifico è inoltre dedicato ai modelli di intelligenza artificiale per scopi generali (GPAI, General Purpose AI), soggetti a requisiti di trasparenza sul diritto d'autore e alla pubblicazione di riepiloghi sui dati di addestramento, con controlli rinforzati per i modelli a elevata potenza computazionale.

Perché dà vantaggi al GDPR e alla sicurezza dei dati?

Contrariamente a quanto si potrebbe pensare, il GDPR e l'AI Act non sono in competizione: lavorano su piani diversi e si completano a vicenda. Il GDPR, in vigore dal 2018, tutela la privacy e i dati personali. L'AI Act va oltre: regolamenta i sistemi che quei dati li elaborano, affrontando rischi che il GDPR da solo non era attrezzato a gestire.

Il caso più evidente è quello dei bias algoritmici. L'AI Act consente il trattamento di dati particolari, come quelli sensibili, nella misura in cui sia necessario per rilevare e correggere eventuali distorsioni nei sistemi di IA ad alto rischio, a condizione che vengano adottate misure precise: pseudonimizzazione, controllo degli accessi e cancellazione dei dati non appena i bias sono stati corretti. È un passo avanti concreto nella lotta alla discriminazione algoritmica, un terreno su cui il GDPR non aveva strumenti.

Sul fronte della sicurezza informatica, la novità più rilevante arriva dal Digital Omnibus. È stato creato uno sportello unico europeo per tutte le notifiche relative a trattamenti, vulnerabilità ed eventi cibernetici, che unifica in un sistema coeso GDPR, NIS, DORA e altre discipline settoriali. Prima, queste segnalazioni viaggiavano su binari separati e spesso non comunicanti, rendendo più difficile rispondere rapidamente agli incidenti.

La combinazione di GDPR e AI Act rappresenta oggi il tentativo più avanzato a livello globale di bilanciare innovazione tecnologica e protezione dei diritti fondamentali. Due normative nate in momenti diversi, che insieme disegnano un modello europeo unico nel suo genere.

Cosa cambia per i professionisti italiani?

L'AI Act non riguarda solo le grandi imprese tecnologiche: arriva anche negli studi professionali. Il Consiglio dei Ministri italiano, nella seduta del 10 giugno 2026, ha dato il via libera preliminare a due schemi di decreto legislativo di recepimento dell'AI Act in Italia, in attuazione della delega contenuta nella Legge 132/2025, introducendo l'obbligo di includere nei percorsi di formazione iniziale e continua specifici moduli dedicati all'intelligenza artificiale.

I contenuti previsti si articolano su due livelli. Sul piano pratico, i professionisti dovranno acquisire conoscenze sul funzionamento dei sistemi di IA nel proprio settore, sulle tecniche di interrogazione dei modelli e sui limiti degli strumenti disponibili. Sul piano teorico, invece, la formazione dovrà coprire la disciplina europea e nazionale sull'IA, le responsabilità del professionista nell'uso di questi strumenti, gli obblighi informativi verso clienti e dipendenti, e il principio della prevalenza del pensiero critico umano sugli output generati dall'IA.

In pratica, la formazione sull'IA diventerà parte del monte crediti obbligatorio di ciascun iscritto. Gli Ordini nazionali avranno sei mesi dall'entrata in vigore del decreto per definire contenuti, modalità e periodicità dei percorsi, adeguando di conseguenza i propri regolamenti interni.

I rischi dell'AI Act

Una normativa ambiziosa come l'AI Act introduce inevitabilmente una serie di sfide e potenziali controindicazioni. La complessità della norma porta con sé tensioni strutturali tra l'esigenza di protezione dei diritti e la realtà dello sviluppo tecnologico.

Il rischio principale riguarda la competitività e l'innovazione. L'elevato carico di adempimenti richiesto per i sistemi ad alto rischio, governance dei dati, documentazione dettagliata, certificazioni preventive, potrebbe tradursi in un forte svantaggio competitivo per le imprese europee rispetto a quelle statunitensi o cinesi, che operano in contesti normativi più flessibili. Sebbene l'atto preveda tutele per startup e PMI, i costi legali e operativi per l'adeguamento rischiano di disincentivare la ricerca o di spingere talenti e capitali fuori dall'Unione Europea.

C'è poi il rischio di un'applicazione disomogenea: le diverse capacità tecniche, risorse finanziarie e sensibilità politiche dei vari Stati membri potrebbero portare a interpretazioni e controlli difformi all'interno dello stesso mercato europeo. L'effetto extraterritoriale della norma, invece, è un'arma a doppio taglio: chi vuole vendere in Europa dovrà adeguarsi, ma questo potrebbe anche spingere alcuni operatori a escludersi dal mercato comunitario piuttosto che sostenere i costi di conformità.

Il panorama dell'intelligenza artificiale evolve a una velocità esponenziale. L'AI Act, per quanto straordinaria come operazione normativa, è ancora uno strumento imperfetto, come quasi tutte le leggi che cercano di governare fenomeni in rapida evoluzione. Ma pone una domanda che va ben oltre la voglia di progresso tecnologico: chi decide come si sviluppa l'intelligenza artificiale, e in base a quali valori?

La risposta europea è chiara: i diritti fondamentali delle persone vengono prima dell'efficienza tecnologica. È una posizione legittima, e per molti aspetti coraggiosa. L'AI Act oggi è necessaria, ma la vera prova non è scrivere la legge, ma tenerla al passo con un'industria che cambia ogni giorno.

In sintesi: cosa devi fare adesso

Al netto del rumore, il quadro per chi gestisce un sito o un'applicazione è semplice:

• 2 agosto 2026 (imminente): chatbot, deepfake e contenuti generati dall'IA rivolti al pubblico devono essere etichettati e dichiarati. Questa scadenza non è slittata.
• 2 dicembre 2027: scattano gli obblighi per i sistemi autonomi ad alto rischio.
• 2 agosto 2028: obblighi per i sistemi ad alto rischio integrati in prodotti già regolati.

Il rinvio non è un'autorizzazione ad aspettare. Un software costruito bene fin dall'inizio, con dati tracciabili, sicurezza per design e separazione netta tra frontend e backend, arriva preparato a queste scadenze senza dover applicare pezze costose all'ultimo minuto. Un software costruito male, o con un template generico, si trova esposto.

Hai un chatbot, contenuti generati dall'IA o un'applicazione che tratta dati sensibili?

Dal 2 agosto cambiano le regole. In M's Works non aspettiamo la scadenza per correre ai ripari: costruiamo software conforme per design, con architetture moderne che separano i dati, riducono la superficie d'attacco e nascono già allineate a GDPR e AI Act. Niente pezze applicate dopo, niente dipendenze ricorrenti.