AI Act 2026 cosa cambia davvero per le aziende italiane
AI Act 2026 cosa cambia davvero per le aziende italiane
Dal 2 agosto 2026 l'AI Act rende obbligatoria la trasparenza: ogni azienda italiana che usa chatbot o genera contenuti con l'AI deve dichiararlo. Gli obblighi sui sistemi ad alto rischio invece slittano al 2 dicembre 2027 per effetto del Digital Omnibus. In parallelo vale la Legge 132/2025, con sanzioni fino a 35 milioni di euro o 7% del fatturato e nuovi reati penali sui deepfake.
Sono Davide Cocozza, co-founder di Datazen. Nelle ultime settimane la domanda che ricevo più spesso dalle PMI è una sola: "Il 2 agosto 2026 dobbiamo essere conformi all'AI Act, è vero?". La risposta corretta è "sì, ma non per quello che pensi". Nel 2026 il quadro è cambiato due volte: l'Italia ha approvato la sua prima legge nazionale sull'IA e l'Unione Europea ha riscritto il calendario delle scadenze.
Questo articolo separa il rumore dai fatti. Cosa scatta davvero ad agosto, cosa è stato rinviato, come si incastra la Legge 132/2025, quali settori rischiano di più e quali passi concreti servono adesso. Senza allarmismo e senza minimizzazione.
Cosa cambia il 2 agosto 2026 per le aziende italiane
La data del 2 agosto 2026 è reale, ma riguarda gli obblighi di trasparenza dell'articolo 50, non i sistemi ad alto rischio. Da quel giorno ogni sistema di IA che interagisce con persone o produce contenuti deve dichiarare la propria natura artificiale.
Gli obblighi pratici dal 2 agosto sono tre. Primo: un chatbot o un assistente virtuale deve informare l'utente che sta parlando con un'AI. Secondo: i contenuti generati artificialmente (testi, immagini, audio, video, deepfake) devono essere etichettati come tali in formato leggibile dalle macchine. Terzo: dalla stessa data la Commissione UE acquisisce i poteri di enforcement sui modelli di general-purpose AI, i cui obblighi sono in vigore dal 2 agosto 2025 secondo la timeline ufficiale dell'AI Act.
Il punto che molti imprenditori non colgono: questi obblighi non dipendono dalla dimensione dell'azienda né dal settore. Un e-commerce con un chatbot, uno studio che genera bozze con un modello linguistico, un'agenzia che produce immagini sintetiche per i clienti rientrano tutti nella trasparenza. Come spiega Agenda Digitale, serve dichiarare l'uso dell'AI, documentare i sistemi e garantire la tracciabilità delle decisioni.
Perché molte scadenze sono slittate al 2027
Il 7 maggio 2026 Consiglio e Parlamento europeo hanno raggiunto un accordo sul pacchetto Digital Omnibus che ha spostato in avanti le scadenze più pesanti. È la prima revisione del calendario dell'AI Act dalla sua adozione.
| Categoria | Scadenza originale | Nuova scadenza | Esempi |
|---|---|---|---|
| Pratiche vietate (art. 5) | 2 feb 2025 | 2 feb 2025 (invariata) | Social scoring, manipolazione subliminale, emotion recognition sul lavoro |
| Trasparenza (art. 50) | 2 ago 2026 | 2 ago 2026 (invariata) | Chatbot, deepfake, contenuti generati |
| Alto rischio Allegato III | 2 ago 2026 | 2 dic 2027 | Screening CV, credit scoring, biometria, istruzione |
| Alto rischio in prodotti (Allegato I) | 2 ago 2027 | 2 ago 2028 | Dispositivi medici, macchinari, giocattoli |
Il rinvio degli obblighi sui sistemi ad alto rischio dell'Allegato III dal 2 agosto 2026 al 2 dicembre 2027 dà alle aziende italiane sedici mesi in più per i casi d'uso più complessi: software di selezione del personale, scoring del credito, sistemi biometrici, valutazione degli studenti. Il comunicato del Consiglio dell'Unione Europea conferma anche lo slittamento al 2 agosto 2028 per l'IA integrata in prodotti regolamentati.
Il Digital Omnibus non è solo un rinvio. Il Parlamento europeo ha approvato in parallelo nuovi divieti, tra cui le app "nudifier" che generano immagini intime senza consenso. La direzione è chiara nelle parole di Henna Virkkunen, vicepresidente della Commissione UE: "Regulation alone is not enough. We must also move from rulemaking to innovation building". Tradotto per chi fa impresa: più tempo sui sistemi complessi, tolleranza zero sui divieti e sulla trasparenza di base.
Come la legge italiana 132 si aggiunge all'AI Act
L'AI Act è un regolamento europeo direttamente applicabile, ma l'Italia ci ha costruito sopra una legge nazionale. La Legge 23 settembre 2025 n. 132, pubblicata in Gazzetta Ufficiale il 25 settembre 2025 ed entrata in vigore il 10 ottobre 2025, è il primo quadro nazionale UE allineato all'AI Act.
L'Italia è il primo Paese UE con un quadro nazionale pienamente allineato all'AI Act.
La Legge 132 aggiunge obblighi e responsabilità che il regolamento europeo da solo non prevede:
Due autorità nazionali
AgID gestisce promozione, notifica e accreditamento; ACN (Agenzia per la Cybersicurezza Nazionale) si occupa di vigilanza, ispezioni e sanzioni sui sistemi di IA.
Nuovi reati penali
L'art. 612-quater del codice penale punisce la diffusione illecita di deepfake con la reclusione da 1 a 5 anni, come analizza Altalex.
Tutela dei minori
Per i minori di 14 anni serve il consenso dei genitori all'uso dei sistemi di IA; tra i 14 e i 18 anni il consenso è autonomo se le informazioni sono comprensibili.
Trasparenza professionale
Avvocati, commercialisti, notai e consulenti devono informare i clienti sull'uso dell'IA, che deve supportare e non sostituire il giudizio umano.
La legge contiene una delega al Governo per adottare i decreti legislativi di attuazione. I primi due schemi sono stati approvati in esame preliminare dal Consiglio dei Ministri il 10 giugno 2026 e toccano scuola, lavoro, pubblica amministrazione, professioni e giustizia. Per un'azienda italiana significa muoversi su un doppio binario: il regolamento europeo per le date e la classificazione del rischio, la legge nazionale per le sanzioni penali e gli obblighi settoriali.
Quali aziende italiane rischiano di più
Il rischio maggiore non è la norma in sé, è il divario tra adozione e preparazione. I dati dell'Osservatorio Artificial Intelligence del Politecnico di Milano fotografano un Paese a due velocità.
Le grandi imprese corrono: il 71% ha avviato almeno un progetto di IA nel 2025, contro il 59% dell'anno prima. Le PMI restano indietro, con il 76% che non investe e non prevede di farlo. Eppure l'uso informale cresce: secondo l'indagine CNA citata da Agenda Digitale, il 35,6% delle aziende artigiane usa già almeno uno strumento di IA a gennaio 2026, contro il 5,2% di metà 2024. Tante imprese usano l'AI senza saperlo censire, ed è esattamente lì che nasce il rischio di non conformità.
I settori più esposti sono quelli dove l'IA tocca diritti e decisioni sensibili: sanità (supporto diagnostico e dati clinici), finanza e assicurazioni (credit scoring e antifrode, vigilati da Banca d'Italia, CONSOB e IVASS), risorse umane (selezione e valutazione del personale), pubblica amministrazione e studi professionali.
L'intelligenza artificiale non è solo una innovazione tra le tante, ma un fenomeno capace di incidere su investimenti, mercati finanziari e crescita dell'occupazione qualificata. Il potenziale impatto dell'IA potrebbe superare quello di altre tecnologie di uso generale del passato.
Quanto costano sanzioni e compliance
Le sanzioni dell'AI Act superano quelle del GDPR. Il tetto massimo per le pratiche vietate è del 7% del fatturato globale, contro il 4% del GDPR. La struttura, fissata dall'articolo 99 dell'AI Act, è su tre livelli.
| Violazione | Sanzione massima | Esempi |
|---|---|---|
| Pratiche vietate (art. 5) | 35 mln € o 7% del fatturato globale | Social scoring, riconoscimento emozioni sul lavoro |
| Obblighi alto rischio e trasparenza | 15 mln € o 3% del fatturato globale | Mancata etichettatura AI, assenza di supervisione umana |
| Informazioni false alle autorità | 7,5 mln € o 1% del fatturato globale | Dati errati forniti ad AgID o ACN |
Per le PMI il regolamento prevede tetti proporzionati, applicando l'importo minore tra valore fisso e percentuale. Il costo di adeguamento resta però concreto: la Commissione UE stima tra 6.000 e 7.000 euro per una PMI per ogni singolo sistema di IA ad alto rischio, una cifra che cresce rapidamente nei settori regolati come la sanità. A questo si aggiunge il rischio penale della Legge 132: la diffusione illecita di deepfake è un reato con reclusione fino a 5 anni, e non guarda al fatturato.
Il rischio più sottovalutato non è la multa, è la sospensione operativa del sistema. Per una PMI che ha costruito un processo di vendita o di customer support attorno a un'AI, fermarla per non conformità costa più della sanzione stessa.
Come prepararsi entro il 2 agosto 2026
La buona notizia: la trasparenza è l'obbligo più semplice da soddisfare e c'è ancora margine sui sistemi ad alto rischio. Ecco i cinque passi concreti, in ordine di priorità.
Mappa tutti i sistemi di IA in uso
Elenca ogni strumento di IA presente in azienda, inclusi quelli usati informalmente dai team (chatbot, generatori di contenuti, assistenti, automazioni). Senza un inventario non puoi classificare il rischio né dimostrare conformità.
Classifica il livello di rischio
Assegna a ogni sistema una categoria: vietato, alto rischio (Allegato III), rischio limitato o minimo. La maggior parte dei sistemi delle PMI ricade nel rischio limitato, dove conta solo la trasparenza.
Attiva la trasparenza subito
Aggiungi l'avviso "stai interagendo con un'AI" ai chatbot e l'etichettatura ai contenuti generati. È l'unico obbligo che scatta il 2 agosto 2026 per quasi tutte le aziende, e si implementa in giorni, non mesi.
Forma le persone e nomina un referente
L'AI literacy è obbligatoria dal 2 febbraio 2025. Forma chi usa l'AI e designa un referente interno per la compliance, un ruolo simile al DPO ma dedicato all'intelligenza artificiale.
Documenta e prepara l'alto rischio per il 2027
Se hai sistemi ad alto rischio (HR, credito, sanità), usa i mesi fino al 2 dicembre 2027 per costruire documentazione tecnica, supervisione umana e valutazione d'impatto, integrandola con la DPIA del GDPR.
Questa checklist ti permette di capire in un'ora dove sei oggi:
- Inventario di tutti i sistemi di IA aziendali completato e aggiornato
- Classificazione del rischio assegnata a ogni sistema con riferimento all'Allegato III
- Avviso di interazione con AI attivo su chatbot e assistenti
- Contenuti generati dall'AI etichettati come tali
- Formazione AI literacy erogata a chi sviluppa o usa i sistemi
- Referente interno per la compliance AI nominato
- Supervisione umana documentata sui sistemi che decidono su persone
- Valutazione d'impatto avviata per i sistemi ad alto rischio in vista del 2 dicembre 2027
Per la parte operativa più tecnica, la nostra guida ad AI Act e GDPR per software AI custom approfondisce DPIA, supervisione umana e data residency. Se invece vuoi vedere come si costruisce un'automazione conforme by design, il caso studio sui preventivi automatici mostra l'approccio Datazen su un processo reale.
Quando consegniamo un software AI custom o un'automazione, includiamo nello scope la classificazione del rischio, la trasparenza e la supervisione umana. Se hai già sistemi in produzione e vuoi capire dove sei rispetto al 2 agosto 2026, il punto di partenza è una sessione di consulenza gratuita con una gap analysis pratica.
Domande frequenti
Devi rendere esplicito che l'utente sta interagendo con un sistema di IA e non con una persona. È l'obbligo di trasparenza dell'articolo 50 dell'AI Act, applicabile dal 2 agosto 2026 a prescindere dalla dimensione dell'azienda. In pratica basta un avviso chiaro all'inizio della conversazione. Se il chatbot genera anche immagini o testi pubblicati, questi vanno etichettati come contenuti artificiali.
Sì. Con l'accordo del 7 maggio 2026 sul Digital Omnibus, Consiglio e Parlamento UE hanno spostato l'applicazione degli obblighi per i sistemi ad alto rischio dell'Allegato III dal 2 agosto 2026 al 2 dicembre 2027. I sistemi ad alto rischio integrati in prodotti regolamentati slittano al 2 agosto 2028. Restano invece confermate al 2 agosto 2026 le regole di trasparenza e dal 2 febbraio 2025 i divieti sulle pratiche inaccettabili.
L'AI Act prevede fino a 35 milioni di euro o il 7% del fatturato globale per le pratiche vietate, fino a 15 milioni o il 3% per le violazioni degli obblighi sui sistemi ad alto rischio e sulla trasparenza, fino a 7,5 milioni o l'1% per informazioni false alle autorità. Per le PMI si applica l'importo minore. Si aggiunge il rischio penale della Legge 132/2025, con la reclusione da 1 a 5 anni per la diffusione illecita di deepfake.
La Legge 132/2025 e l'AI Act spingono le aziende a designare un referente interno che comprenda il quadro normativo, un ruolo simile al Data Protection Officer ma focalizzato sull'intelligenza artificiale. Non è sempre una figura obbligatoria per legge come il DPO del GDPR, ma è una buona pratica concreta: serve qualcuno responsabile dell'inventario dei sistemi, della classificazione del rischio e della supervisione umana.
La Legge 132/2025 designa due autorità nazionali: AgID per la promozione, la notifica e l'accreditamento, e ACN (Agenzia per la Cybersicurezza Nazionale) per la vigilanza, le ispezioni e le sanzioni. Nei settori regolati intervengono anche le autorità di settore: Banca d'Italia, CONSOB e IVASS per finanza e assicurazioni, oltre al Garante Privacy per gli aspetti legati al trattamento dei dati personali.
Vuoi capire se la tua azienda è pronta all'AI Act?
Prenota una call conoscitiva gratuita: facciamo insieme la mappatura dei tuoi sistemi di IA e una gap analysis pratica sulle scadenze del 2026 e del 2027.
Richiedi Consulenza
