BEACON Guida

L’EU AI Act, spiegato.

L’EU AI Act (Regolamento UE sull’IA, Regolamento (UE) 2024/1689) è la prima legge organica al mondo sull’intelligenza artificiale. È entrato in vigore il 1° agosto 2024 e si applica per fasi — vietando del tutto alcune pratiche di IA, imponendo obblighi rigorosi ai sistemi «ad alto rischio» e richiedendo trasparenza ogni volta che le persone interagiscono con l’IA o vedono contenuti generati dall’IA. Nel 2026 il «Digital Omnibus sull’IA» ha spostato diverse scadenze, quindi ecco il quadro aggiornato: cosa copre l’Atto, chi deve conformarsi ed entro quando, le sanzioni e cosa significa per un normale sito web.

Inizia gratis Esegui un controllo gratuito
Basato sul rischio, non generalizzatoQuattro livelli: pratiche vietate, sistemi ad alto rischio, rischio limitato (obblighi di trasparenza) e rischio minimo — la maggior parte dell’IA rientra nell’ultimo livello, senza nuovi obblighi.
Calendario per fasiDivieti e obblighi di alfabetizzazione sull’IA da febbraio 2025; regole per l’IA per finalità generali (GPAI) da agosto 2025; obblighi di trasparenza da agosto 2026; obblighi per l’alto rischio ora rinviati a dicembre 2027 / agosto 2028.
Portata extraterritorialeSi applica a fornitori e deployer al di fuori dell’UE ogni volta che l’output del sistema di IA è utilizzato nell’UE — come il GDPR, non serve una sede nell’UE per rientrare nel campo di applicazione.
Divieti assolutiSocial scoring, tecniche manipolative, scraping indiscriminato di immagini facciali, riconoscimento delle emozioni sul lavoro e a scuola (con eccezioni ristrette) — vietati da febbraio 2025.
Trasparenza per i siti webI chatbot devono dichiarare di essere IA; i contenuti generati e manipolati dall’IA (deepfake) devono essere etichettati, con marcatura leggibile dalle macchine per i media sintetici.
Sanzioni su scala GDPRFino a €35 milioni o al 7% del fatturato globale per le pratiche vietate; fino a €15 milioni o al 3% per la maggior parte delle altre violazioni; fino a €7,5 milioni o all’1% per la fornitura di informazioni fuorvianti.
I quattro livelli di rischio a colpo d’occhio
Rischio inaccettabile
Vietato
Alto rischio
Obblighi rigorosi + registrazione
Rischio limitato
Obblighi di trasparenza
Rischio minimo
Nessun nuovo obbligo
Sanzioni massime
Pratiche vietate€35M / 7%
La maggior parte delle altre violazioni€15M / 3%
Informazioni fuorvianti alle autorità€7.5M / 1%
del fatturato annuo mondiale (se superiore)
La tempistica — aggiornata dopo l’Omnibus digitale 2026
1.8.2024Entrata in vigore
2.2.2025Divieti + alfabetizzazione IA
2.8.2025Regole per i modelli GPAI
2.8.2026Trasparenza + sanzioniOggi
2.12.2026Nuovi divieti sui contenuti
2.12.2027Alto rischio — allegato III
2.8.2028Alto rischio — allegato I

Cosa è (e cosa non è) l’AI Act

L’AI Act è un regolamento in stile sicurezza dei prodotti per i sistemi di IA immessi sul mercato UE o il cui output è utilizzato nell’UE. Non regola l’«IA» come tecnologia — regola usi specifici in base al rischio. Più alto è il rischio per la salute, la sicurezza o i diritti fondamentali, più pesanti sono gli obblighi. La maggior parte dell’IA di uso quotidiano (filtri antispam, widget di raccomandazione, correttori ortografici, funzioni di IA negli strumenti di produttività) è a rischio minimo e non riceve alcun nuovo obbligo.

I quattro livelli di rischio

Tutto nell’Atto discende da questa classificazione:

  • Rischio inaccettabile — vietato del tutto dal 2 febbraio 2025: social scoring, tecniche di sfruttamento o manipolazione, scraping indiscriminato di immagini facciali, riconoscimento delle emozioni nei luoghi di lavoro e nelle scuole (ristrette eccezioni di sicurezza), categorizzazione biometrica per dedurre attributi sensibili e identificazione biometrica remota in tempo reale negli spazi pubblici a fini di contrasto (eccezioni limitate). Dal 2 dicembre 2026 la modifica del 2026 vieta esplicitamente anche i sistemi di IA per la generazione di immagini intime non consensuali o CSAM.
  • Alto rischio — consentito ma rigorosamente regolamentato: IA usata come componente di sicurezza di prodotti regolamentati (Allegato I — macchinari, dispositivi medici, ascensori…) o in casi d’uso sensibili (Allegato III — selezione del personale e gestione dei lavoratori, valutazione nell’istruzione, credit scoring, servizi essenziali, attività di contrasto, migrazione, giustizia). Gli obblighi comprendono gestione del rischio, governance dei dati, documentazione tecnica, logging, sorveglianza umana, test di accuratezza/robustezza e registrazione in una banca dati UE.
  • Rischio limitato — obblighi di trasparenza (Articolo 50): informare le persone quando interagiscono con un sistema di IA (chatbot), etichettare i contenuti immagine/audio/video generati o manipolati dall’IA (deepfake), marcare i contenuti sintetici in modo leggibile dalle macchine e dichiarare i testi generati dall’IA pubblicati per informare il pubblico su questioni di interesse pubblico.
  • Rischio minimo — tutto il resto: nessun nuovo obbligo, codici di condotta volontari incoraggiati.

Il calendario nel 2026 — aggiornato per il Digital Omnibus

L’Atto è entrato in vigore il 1° agosto 2024 e avrebbe dovuto applicarsi quasi integralmente dal 2 agosto 2026. A novembre 2025 la Commissione ha proposto il «Digital Omnibus sull’IA» per semplificare e scaglionare quelle scadenze; il Parlamento lo ha approvato il 16 giugno 2026 e il Consiglio ha dato l’approvazione definitiva il 29 giugno 2026. Le date chiave ora:

  • 2 febbraio 2025 — si applicano i divieti sulle pratiche a rischio inaccettabile e gli obblighi di alfabetizzazione sull’IA.
  • 2 agosto 2025 — obblighi per i fornitori di modelli di IA per finalità generali (GPAI): documentazione tecnica, politica sul diritto d’autore, sintesi dei dati di addestramento (obblighi aggiuntivi per i modelli a rischio sistemico), oltre all’Ufficio europeo per l’IA e alle strutture di governance.
  • 2 agosto 2026 — l’Atto diventa generalmente applicabile: obblighi di trasparenza (Articolo 50), sanzioni e la maggior parte delle disposizioni restanti. La marcatura leggibile dalle macchine dei contenuti sintetici gode di un periodo di tolleranza fino al 2 dicembre 2026 per i sistemi già sul mercato prima del 2 agosto 2026.
  • 2 dicembre 2026 — si applicano i nuovi divieti sull’IA che genera immagini intime non consensuali e CSAM.
  • 2 dicembre 2027 — obblighi per l’alto rischio nei casi d’uso dell’Allegato III (selezione del personale, credit scoring, istruzione…) — rinviati di 16 mesi rispetto alla data originaria di agosto 2026.
  • 2 agosto 2028 — obblighi per l’alto rischio per l’IA integrata nei prodotti dell’Allegato I (dispositivi medici, macchinari…) — rinviati di un anno rispetto ad agosto 2027. Le sandbox normative nazionali sono previste entro il 2 agosto 2027.

Chi deve conformarsi

Gli obblighi si legano ai ruoli nella catena del valore: fornitori (che sviluppano o immettono un sistema di IA sul mercato UE con il proprio nome), deployer (che usano un sistema di IA a titolo professionale), oltre a importatori e distributori. La portata è extraterritoriale — un SaaS statunitense o britannico il cui output di IA è utilizzato nell’UE rientra nel campo di applicazione. Le PMI godono di alcune agevolazioni: documentazione semplificata, accesso prioritario alle sandbox e sanzioni limitate al minore dei due importi anziché al maggiore.

Cosa significa l’AI Act per il Suo sito web

Per la maggior parte delle aziende i primi veri punti di contatto sono le regole di trasparenza applicabili da agosto 2026 — riguardano ciò che i visitatori vedono sul Suo sito:

  • I chatbot e gli assistenti IA sul Suo sito devono chiarire che il visitatore sta parlando con una macchina (a meno che non sia evidente dal contesto).
  • Le immagini, gli audio e i video generati o manipolati dall’IA (deepfake) che pubblica devono essere etichettati in modo visibile come generati o manipolati artificialmente.
  • I media sintetici dovrebbero recare una marcatura leggibile dalle macchine (es. metadati/watermarking) — l’obbligo di marcatura per i sistemi precedenti ad agosto 2026 si applica dal 2 dicembre 2026.
  • I testi scritti dall’IA pubblicati per informare il pubblico su questioni di interesse pubblico devono essere dichiarati come generati dall’IA, a meno che non siano passati per una revisione editoriale umana con assunzione di responsabilità.
  • Se usa l’IA nelle assunzioni, nel credito o in altri casi d’uso dell’Allegato III, si prepari al regime per l’alto rischio applicabile dal 2 dicembre 2027.
  • Alfabetizzazione sull’IA: le organizzazioni che usano l’IA a titolo professionale dovrebbero adottare misure affinché il personale comprenda i sistemi che utilizza.

Sanzioni

La struttura delle sanzioni è volutamente simile al GDPR: fino a €35 milioni o al 7% del fatturato annuo mondiale (se superiore) per le pratiche vietate; fino a €15 milioni o al 3% per la maggior parte delle altre violazioni, inclusi gli obblighi per l’alto rischio e i GPAI; fino a €7,5 milioni o all’1% per la fornitura di informazioni inesatte o fuorvianti alle autorità. Per le PMI ogni massimale è il minore dei due importi. L’applicazione è ripartita tra le autorità nazionali di vigilanza del mercato e, per i modelli GPAI, l’Ufficio europeo per l’IA.

Come si inserisce Beacon

Beacon analizza già ciò che i motori di ricerca e i crawler AI vedono davvero sul Suo sito web — le policy del robots.txt, i contenuti renderizzati, i dati strutturati e le informative. Su questa base stiamo costruendo una scansione di preparazione all’AI Act: una verifica automatica dei segnali di trasparenza rivolti ai visitatori del Suo sito (informativa del chatbot, etichettatura dei contenuti IA, marcatura leggibile dalle macchine e metadati correlati) con una lista di correzioni prioritizzata. Non sarà consulenza legale — ma Le mostrerà, concretamente, cosa espone oggi il Suo sito e cosa correggere per primo.

FAQ

L’EU AI Act si applica alle aziende al di fuori dell’UE?

Sì. Come il GDPR, ha portata extraterritoriale: se immette un sistema di IA sul mercato UE o l’output del sistema è utilizzato nell’UE, rientra nel campo di applicazione indipendentemente da dove ha sede la Sua azienda.

Quando si applicano effettivamente gli obblighi principali?

Divieti e alfabetizzazione sull’IA dal 2 febbraio 2025; obblighi per i modelli GPAI dal 2 agosto 2025; obblighi di trasparenza e sanzioni dal 2 agosto 2026. Dopo il Digital Omnibus del 2026, gli obblighi per l’alto rischio sono stati rinviati al 2 dicembre 2027 (casi d’uso dell’Allegato III) e al 2 agosto 2028 (IA integrata nei prodotti dell’Allegato I).

Devo etichettare i contenuti generati dall’IA sul mio sito?

Se pubblica immagini, audio o video generati o manipolati dall’IA (deepfake), sì — devono essere etichettati, e i media sintetici dovrebbero recare una marcatura leggibile dalle macchine. I chatbot devono dichiarare di essere IA. I testi scritti dall’IA su questioni di interesse pubblico devono essere dichiarati, a meno che un redattore umano non se ne assuma la responsabilità.

È responsabile ChatGPT o il mio fornitore di IA al posto mio?

Le responsabilità sono ripartite per ruolo. Il fornitore del modello (es. OpenAI) ha gli obblighi da fornitore GPAI; Lei, come deployer che mette un chatbot sul proprio sito o pubblica contenuti IA, ha gli obblighi di trasparenza lato deployer verso i Suoi visitatori.

Usare l’IA per la SEO o il content marketing è vietato?

No. Generare testi di marketing con l’IA è a rischio minimo/limitato — perfettamente legale. L’Atto richiede trasparenza solo in casi specifici (deepfake, testi di interesse pubblico, chatbot) e vieta un breve elenco di pratiche dannose estranee al normale marketing.

Cosa dovrebbe fare subito il titolare di un sito web?

Faccia l’inventario dei punti in cui l’IA tocca il Suo sito (chatbot, immagini/testi generati), aggiunga informative ed etichette IA chiare, verifichi la marcatura dei media sintetici e informi il Suo team. Poi tenga d’occhio il 2 dicembre 2027 se usa l’IA nelle assunzioni o in altre aree dell’Allegato III.

Autovalutazione rapida: a che punto siete?

Sei affermazioni — rispondete onestamente. Le risposte restano nel vostro browser.

I visitatori sanno quando chattano con un’IA (o non abbiamo chat IA).
Immagini, audio o video generati dall’IA sono etichettati visibilmente (o non ne pubblichiamo).
Gli articoli scritti dall’IA su temi di interesse pubblico sono dichiarati o revisionati da umani.
Abbiamo verificato che nessun uso di IA sia una pratica vietata (art. 5).
Sappiamo se un uso di IA rientra nell’alto rischio dell’allegato III.
Il nostro team ha ricevuto una formazione base sull’IA.
0/6 risposteOttieni la scansione gratuitaL’account Beacon gratuito include la scansione dei segnali e la checklist interattiva — senza carta.

Verifichi cosa espone oggi il Suo sito web — gratis

Esegua ora la scansione di visibilità gratuita di Beacon. Le verifiche di preparazione all’AI Act arriveranno presto su Beacon.

Inizia gratis Esegui un controllo gratuito