“Esempio: questo articolo è stato revisionato e completato con l’aiuto della Intelligenza Artificiale.”
Il Regolamento (UE) 2024/1689, meglio noto come EU AI Act, è entrato in vigore il 1 agosto 2024 e rappresenta il primo quadro normativo organico al mondo dedicato all’intelligenza artificiale. La sua applicazione, tuttavia, procede per fasi successive e proprio nelle ultime settimane è arrivato un aggiornamento che merita attenzione da parte di ogni impresa che utilizza strumenti di intelligenza artificiale nella propria attività quotidiana.
Una scadenza che si sposta, non un rinvio dell’intera normativa
Fino a poco tempo fa si indicava il 2 agosto 2026 come data chiave per l’applicazione piena degli obblighi relativi ai sistemi di IA ad alto rischio, quelli elencati nell’Allegato III del Regolamento. Un pacchetto di semplificazione denominato Digital Omnibus, proposto dalla Commissione Europea il 19 novembre 2025, ha modificato questo quadro: un accordo politico è stato raggiunto il 6 maggio 2026 e confermato dagli Stati membri il 13 maggio, mentre il Parlamento europeo lo ha approvato in via definitiva pochi giorni fa, il 18 giugno 2026, con 423 voti favorevoli.
In base a questo accordo, le scadenze si ridefiniscono così:
- i sistemi di IA ad alto rischio autonomi (Allegato III) vedono l’applicazione piena degli obblighi spostarsi dal 2 agosto 2026 al 2 dicembre 2027;
- i sistemi ad alto rischio incorporati in prodotti già regolamentati da normative europee sulla sicurezza (Allegato I) slittano al 2 agosto 2028;
- gli obblighi sui modelli di intelligenza artificiale per finalità generali (i cosiddetti GPAI), già in vigore dal 2 agosto 2025, restano invariati.
È bene precisare che, al momento della pubblicazione di questo articolo, il testo attende ancora l’adozione formale da parte del Consiglio dell’Unione Europea e la pubblicazione in Gazzetta ufficiale, attesa entro il 2 agosto 2026. Per questo motivo, consigliamo ai nostri lettori e/o clienti di considerare queste indicazioni come altamente probabili, ma non ancora definitive in senso giuridico. Basta che ci chiamate in ufficio o mandate un whatsapp e vi aggiorniamo.
Il punto che riguarda davvero le PMI: la trasparenza
Il punto o la domanda centrale è: ma quali sono “i sistemi di IA ad alto rischio autonomi”?
Se il rinvio degli obblighi per l’alto rischio interessa soprattutto settori come sanità, credito, selezione del personale o gestione di infrastrutture critiche, per la maggior parte delle imprese clienti di Blu7, per esempio, il punto realmente rilevante è un altro: l’obbligo di trasparenza previsto dall’articolo 50 del Regolamento.
Questa disposizione, che resta confermata a partire dal 2 agosto 2026 (con un periodo di tolleranza di quattro mesi, fino al 2 dicembre 2026, per la sola componente tecnica di etichettatura dei contenuti già in uso), stabilisce un principio semplice:
chi interagisce con un sistema di intelligenza artificiale,
o legge un contenuto da esso generato,
deve poterlo sapere in modo chiaro.
Riguarda direttamente chatbot presenti sui siti web, assistenti virtuali, contenuti testuali o visivi generati con strumenti di IA e pubblicati senza revisione dichiarata.
Esattamente come abbiamo scritto all’inizio dell’articolo:
“Esempio: questo articolo è stato revisionato e completato con l’aiuto della Intelligenza Artificiale.”
La piramide del rischio, in sintesi
L’AI Act organizza gli utilizzi dell’intelligenza artificiale in quattro livelli, con obblighi crescenti in base all’impatto potenziale sulle persone.
Alla base (1) si trovano gli usi a rischio minimo: strumenti di produttività, automazione di testi, supporto al marketing, che nella maggior parte dei casi non comportano obblighi specifici, pur restando soggetti alle normative generali già esistenti, come il GDPR.
Al livello successivo (2) troviamo gli usi con obblighi di trasparenza, di cui abbiamo parlato sopra: qui l’adempimento principale consiste nell’informare correttamente l’utente e nel definire regole interne chiare sull’utilizzo dell’IA.
Livelli 3 e 4: più in alto si collocano i sistemi ad alto rischio, tipici di ambiti come selezione del personale, valutazione del credito, accesso a istruzione e formazione, sanità, servizi pubblici essenziali e gestione di infrastrutture critiche: qui il Regolamento richiede documentazione tecnica, gestione del rischio, controllo della qualità dei dati e supervisione umana effettiva.
Fuori dal mercato restano infine le pratiche vietate in modo assoluto dal 2 febbraio 2025: tecniche di manipolazione subliminale, sfruttamento delle vulnerabilità delle persone, sistemi di valutazione sociale (social scoring) e determinati impieghi del riconoscimento biometrico in tempo reale negli spazi pubblici.
Dieci passaggi per orientarsi
A prescindere dalle scadenze, che restano in evoluzione, riteniamo utile suggerire ai nostri clienti un percorso di verifica interna, valido indipendentemente dal calendario definitivo:
- Censire tutti gli strumenti di intelligenza artificiale in uso in azienda, inclusi quelli integrati in software di terzi (CRM, piattaforme di email marketing, plugin del sito web).
- Classificare ogni strumento in base al livello di rischio corrispondente (anche se mettere come livello minimo 2 è suggeribile per tutti gli strumenti)
- Individuare il proprio ruolo nella filiera: fornitore, distributore, importatore o semplice utilizzatore (deployer).
- Verificare l’assenza di pratiche espressamente vietate.
-
Predisporre una documentazione minima su finalità, dati trattati e limiti di ciascuno strumento.
- Valutare la qualità e la provenienza dei dati utilizzati dai sistemi di IA.
-
Garantire una supervisione umana reale, non solo formale, sulle decisioni assistite dall’intelligenza artificiale.
- Adottare una policy interna sull’uso dell’IA, con indicazioni chiare per il personale.
-
Collegare questa valutazione a quanto già previsto dal GDPR e, dove pertinente, dalla normativa sulla cybersecurity (NIS2).
- Predisporre per tempo un piano di adeguamento, senza attendere l’ultimo momento.
Le sanzioni, con una nota rassicurante per le piccole imprese
Il sistema sanzionatorio dell’AI Act prevede tre livelli: fino a 35 milioni di euro o il 7% del fatturato mondiale annuo (il valore più alto tra i due) per le pratiche vietate, fino a 15 milioni di euro o il 3% per la violazione degli altri obblighi principali, fino a 7,5 milioni di euro o l’1% per informazioni false o incomplete fornite alle autorità.
Un aspetto spesso trascurato, ma importante per le piccole e medie imprese: il Regolamento prevede che, per PMI e startup, si applichi sempre l’importo o la percentuale più basso tra i due, e non il criterio del valore più alto usato per le grandi aziende. Una tutela pensata proprio per evitare sanzioni sproporzionate rispetto alle dimensioni reali dell’impresa.
Il personale e l’intelligenza artificiale
La normativa è chiara ed esplicita: la formazione del personale è obbligatoria quando entra in contatto con l’intelligenza artificiale.
Dire che ad oggi è impossibile non entrarci in contatto mi sembra il minimo.
Aggiungiamo che la formazione è obbligatoria ma proporzionale al livello di utilizzo e allo strumento utilizzato.
NB che anche i motori di ricerca sono diventati Intelligenza Artificiale o lo sono anche i programmi di video scritto con Gemini sempre pronto a dare “una mano”.
Anche in questo caso, rimaniamo a disposizione.
In conclusione
L’AI Act non ha lo scopo di bloccare l’utilizzo dell’intelligenza artificiale nelle imprese, ma di garantire che gli usi più delicati siano riconosciuti, documentati e sorvegliati con attenzione proporzionata al rischio reale. Per la gran parte delle aziende che si affidano a Blu7 per la propria presenza digitale, il tema centrale non è “se” utilizzano l’intelligenza artificiale, ma in quali processi la utilizzano e con quale grado di trasparenza verso i propri utenti e clienti.
Restiamo a disposizione per un confronto su questi temi e per valutare insieme quali accorgimenti applicare fin da ora ai vostri strumenti digitali.