• NORMATIVA
  • AI ACT

AI Act: cosa scatta il 2 agosto 2026 (e cosa è slittato)

23 giugno 2026

Il 2 agosto 2026 è una data che da mesi circola negli articoli, nei convegni e nelle newsletter come il momento in cui l'AI Act entrerà "pienamente in applicazione". La realtà, a poche settimane dalla scadenza, è più articolata. Una parte degli obblighi è in vigore da tempo, una parte scatta davvero quest'estate, e la parte più pesante - quella sui sistemi ad alto rischio - è stata rinviata al 2027 e al 2028 con un accordo raggiunto a Bruxelles a maggio. Capire quale pezzo del regolamento riguarda la propria azienda, e quando, è la parte più complessa e che proviamo ad aiutare ad individuare.

Un regolamento che si applica a tappe

L'AI Act è il Regolamento UE 2024/1689, la prima legge organica al mondo sull'intelligenza artificiale. È entrato in vigore il 1° agosto 2024, con un calendario di applicazione scaglionato negli anni successivi. La logica alla sua base risponde a una sorta di progressione: più un sistema di AI può incidere sulle persone, più obblighi ha chi lo sviluppa e chi lo utilizza.

  • 2 febbraio 2025 (già operativo): il divieto delle pratiche considerate inaccettabili, come il social scoring, la manipolazione subliminale o il riconoscimento delle emozioni sul luogo di lavoro, e l'obbligo di alfabetizzazione AI, che richiede alle aziende di garantire che chi usa sistemi di intelligenza artificiale abbia le competenze per farlo in modo consapevole.

  • 2 agosto 2025 (già operativo): si applicano le regole sui modelli di AI per scopi generali, di cui i grandi modelli linguistici come ChatGPT sono l'esempio più noto.

Per la maggior parte delle imprese questo primo biennio è passato quasi inosservato, perché gli obblighi più stringenti pesavano su chi i modelli li costruisce, mentre quelli rivolti alle aziende che li utilizzano restavano leggeri.

AI Act: cosa cambia il 2 agosto 2026

Quest'estate il regolamento inizia a riguardare direttamente chi l'AI la usa. Dal 2 agosto diventano applicabili:

  • Obblighi di trasparenza (Articolo 50): chi mette a disposizione un chatbot deve informare le persone che stanno interagendo con una macchina, e chi genera contenuti con l'intelligenza artificiale - testi destinati all'informazione pubblica, immagini, audio, video sintetici - deve garantire che siano riconoscibili come tali.

  • Sandbox regolatorie. Sempre da quella data ogni Stato membro deve avere almeno una sandbox regolatoria, uno spazio controllato in cui le imprese possono sperimentare sistemi di AI con l'accompagnamento delle autorità.

  • Il sistema sanzionatorio diventa operativo. Soprattutto, dal 2 agosto 2026 il sistema sanzionatorio diventa operativo. Le violazioni degli obblighi di trasparenza possono costare fino a 15 milioni di euro o il 3% del fatturato mondiale annuo, se superiore; per le pratiche vietate si arriva a 35 milioni o al 7%. Sono i massimali europei, pensati per essere proporzionati alla dimensione dell'impresa, ma segnalano che la fase pedagogica del regolamento sta finendo.

Un punto spesso frainteso merita chiarezza: l'AI Act si applica anche ai sistemi già in uso. Il regolamento non prevede una deroga generale per gli strumenti immessi sul mercato prima del 2 agosto 2026, che dovranno quindi essere conformi come tutti gli altri.

Uploaded image

Cosa è slittato con il Digital Omnibus

Il capitolo più impegnativo dell'AI Act riguarda i sistemi ad alto rischio: software per la selezione del personale, sistemi di credit scoring, strumenti di valutazione in ambito scolastico, identificazione biometrica. Per questi il regolamento prevede requisiti stringenti su documentazione tecnica, gestione del rischio, qualità dei dati, supervisione umana.

Questi obblighi sarebbero dovuti scattare anch'essi il 2 agosto 2026. Il 7 maggio 2026 Parlamento Europeo e Consiglio hanno però raggiunto un accordo politico provvisorio sul pacchetto Digital Omnibus che rinvia le scadenze:

  • Dal 2 dicembre 2027: gli obblighi sui sistemi ad alto rischio elencati nell'Allegato III

  • Dal 2 agosto 2028: Si applicheranno gli obblighi sui sistemi integrati in prodotti già regolamentati (macchinari, dispositivi medici, giocattoli). Il 16 giugno 2026 il Parlamento Europeo ha approvato il testo, perché entri in vigore manca ora l'adozione formale del Consiglio, attesa in tempo per la pubblicazione in Gazzetta ufficiale prima del 2 agosto.

La motivazione del rinvio è pragmatica: gli standard tecnici e le linee guida applicative sono arrivati in ritardo, e molte imprese, soprattutto piccole e medie, avrebbero dovuto conformarsi a regole prive di riferimenti operativi chiari.

Il tempo guadagnato ha però un costo nascosto, perché la preparazione richiesta, che prevede il censimento dei sistemi, la documentazione, le procedure di valutazione, si misura in mesi di lavoro. Chi rientra nelle categorie ad alto rischio farebbe bene a usare il 2027 come orizzonte di lavoro, anziché come nuova data da cui iniziare a pensarci.

Chi controlla, in Italia

Sul fronte nazionale il quadro è definito dalla Legge 132/2025, in vigore dal 10 ottobre 2025, che ha individuato le due autorità competenti:

  • L'Agenzia per l'Italia Digitale (AgID): gestisce la notifica e l'accreditamento degli organismi che valuteranno la conformità dei sistemi

  • L'Agenzia per la Cybersicurezza Nazionale (ACN): è l'autorità di vigilanza del mercato, con poteri ispettivi e sanzionatori.

I decreti attuativi che definiranno nel dettaglio il sistema sanzionatorio italiano sono attesi nei prossimi mesi.

Per una PMI, peraltro, il rischio legato alla non conformità va oltre la multa. Man mano che il regolamento entra a regime, la conformità all'AI Act diventerà un requisito nei capitolati, nelle gare e nei rapporti di fornitura, come è già accaduto con il GDPR. Arrivare preparati significa anche poter rispondere quando un cliente lo chiede.

La shadow AI, ovvero il problema che non si vede

C'è un ostacolo che precede qualsiasi piano di conformità: sapere quale intelligenza artificiale si sta già usando. In molte aziende la risposta ufficiale e la realtà operativa divergono. La shadow AI si verifica quando strumenti di intelligenza artificiale vengono utilizzati senza regole, supervisione o autorizzazione formale:

  • il collaboratore che carica un contratto su un assistente AI per riassumerlo.

  • il commerciale che prepara le offerte con un tool generativo.

  • l'ufficio tecnico che incolla porzioni di documentazione in una chat per ottenere una sintesi.

Quasi mai c'è cattiva intenzione, è necessario ribadirlo. Queste pratiche nascono dal desiderio di lavorare più in fretta o in modo amplificato, e proprio per questo si diffondono in silenzio. Il problema, però, diventa duplice:

  • Sicurezza dei dati: informazioni riservate, dati personali di clienti e dipendenti, proprietà intellettuale finiscono su piattaforme esterne di cui nessuno in azienda ha letto le condizioni d'uso.

  • Conformità normativa: è impossibile rispettare gli obblighi di trasparenza e di alfabetizzazione previsti dall'AI Act rispetto a strumenti di cui l'azienda ignora l'esistenza.

Secondo i dati ISTAT diffusi a dicembre 2025, il 16,4% delle imprese italiane con almeno dieci addetti utilizza almeno una tecnologia di intelligenza artificiale, il doppio rispetto all'anno precedente: l'uso effettivo, contando gli strumenti adottati in autonomia dalle persone, è verosimilmente più ampio di quanto risulti dai censimenti ufficiali.

Da dove cominciare

Per una PMI veneta che usa l'AI senza svilupparla — il che rispecchia la condizione di gran parte delle imprese del territorio — la preparazione al 2 agosto si traduce in cinque passi concreti, nessuno dei quali richiede progetti faraonici:

  1. Il censimento: mappare gli strumenti di AI effettivamente in uso, compresi quelli adottati informalmente e le funzioni di AI integrate nei software già in azienda, dal gestionale al CRM.

  2. La formazione (obbligo già attivo da febbraio 2025): la Commissione Europea ha chiarito che il regolamento richiede un formato libero, senza corsi standard né certificazioni obbligatorie, purché le persone che usano l'AI ne comprendano possibilità e limiti.

  3. Una policy interna d'uso: definire chiaramente quali strumenti sono autorizzati, quali dati possono essere caricati e quali no.

  4. Il controllo dei fornitori: chiedere a chi vende software con componenti di AI come si posiziona rispetto al regolamento, e cosa documenta.

  5. L'adeguamento agli obblighi di trasparenza: in vista di agosto, farsi trovare pronti se si hanno chatbot rivolti al pubblico o se si pubblicano contenuti generati con l'AI.

Sono attività che richiedono settimane, anziché anni, e che producono un beneficio indipendente dalla norma: un'azienda che sa quali strumenti usa, con quali dati e con quali fornitori, prende decisioni migliori anche indipendentemente dal regolamento.

Insomma, secondo il nostro parere, il 2 agosto smette di essere una scadenza da temere e può diventare una buona occasione per fare ordine (un passaggio impegnativo, ma fare ordine fa sempre bene).


scopri altri post