L’EU AI Act (Regolamento UE sull’IA, Regolamento (UE) 2024/1689) è la prima legge organica al mondo sull’intelligenza artificiale. È entrato in vigore il 1° agosto 2024 e si applica per fasi — vietando del tutto alcune pratiche di IA, imponendo obblighi rigorosi ai sistemi «ad alto rischio» e richiedendo trasparenza ogni volta che le persone interagiscono con l’IA o vedono contenuti generati dall’IA. Nel 2026 il «Digital Omnibus sull’IA» ha spostato diverse scadenze, quindi ecco il quadro aggiornato: cosa copre l’Atto, chi deve conformarsi ed entro quando, le sanzioni e cosa significa per un normale sito web.
L’AI Act è un regolamento in stile sicurezza dei prodotti per i sistemi di IA immessi sul mercato UE o il cui output è utilizzato nell’UE. Non regola l’«IA» come tecnologia — regola usi specifici in base al rischio. Più alto è il rischio per la salute, la sicurezza o i diritti fondamentali, più pesanti sono gli obblighi. La maggior parte dell’IA di uso quotidiano (filtri antispam, widget di raccomandazione, correttori ortografici, funzioni di IA negli strumenti di produttività) è a rischio minimo e non riceve alcun nuovo obbligo.
Tutto nell’Atto discende da questa classificazione:
L’Atto è entrato in vigore il 1° agosto 2024 e avrebbe dovuto applicarsi quasi integralmente dal 2 agosto 2026. A novembre 2025 la Commissione ha proposto il «Digital Omnibus sull’IA» per semplificare e scaglionare quelle scadenze; il Parlamento lo ha approvato il 16 giugno 2026 e il Consiglio ha dato l’approvazione definitiva il 29 giugno 2026. Le date chiave ora:
Gli obblighi si legano ai ruoli nella catena del valore: fornitori (che sviluppano o immettono un sistema di IA sul mercato UE con il proprio nome), deployer (che usano un sistema di IA a titolo professionale), oltre a importatori e distributori. La portata è extraterritoriale — un SaaS statunitense o britannico il cui output di IA è utilizzato nell’UE rientra nel campo di applicazione. Le PMI godono di alcune agevolazioni: documentazione semplificata, accesso prioritario alle sandbox e sanzioni limitate al minore dei due importi anziché al maggiore.
Per la maggior parte delle aziende i primi veri punti di contatto sono le regole di trasparenza applicabili da agosto 2026 — riguardano ciò che i visitatori vedono sul Suo sito:
La struttura delle sanzioni è volutamente simile al GDPR: fino a €35 milioni o al 7% del fatturato annuo mondiale (se superiore) per le pratiche vietate; fino a €15 milioni o al 3% per la maggior parte delle altre violazioni, inclusi gli obblighi per l’alto rischio e i GPAI; fino a €7,5 milioni o all’1% per la fornitura di informazioni inesatte o fuorvianti alle autorità. Per le PMI ogni massimale è il minore dei due importi. L’applicazione è ripartita tra le autorità nazionali di vigilanza del mercato e, per i modelli GPAI, l’Ufficio europeo per l’IA.
Beacon analizza già ciò che i motori di ricerca e i crawler AI vedono davvero sul Suo sito web — le policy del robots.txt, i contenuti renderizzati, i dati strutturati e le informative. Su questa base stiamo costruendo una scansione di preparazione all’AI Act: una verifica automatica dei segnali di trasparenza rivolti ai visitatori del Suo sito (informativa del chatbot, etichettatura dei contenuti IA, marcatura leggibile dalle macchine e metadati correlati) con una lista di correzioni prioritizzata. Non sarà consulenza legale — ma Le mostrerà, concretamente, cosa espone oggi il Suo sito e cosa correggere per primo.
Sì. Come il GDPR, ha portata extraterritoriale: se immette un sistema di IA sul mercato UE o l’output del sistema è utilizzato nell’UE, rientra nel campo di applicazione indipendentemente da dove ha sede la Sua azienda.
Divieti e alfabetizzazione sull’IA dal 2 febbraio 2025; obblighi per i modelli GPAI dal 2 agosto 2025; obblighi di trasparenza e sanzioni dal 2 agosto 2026. Dopo il Digital Omnibus del 2026, gli obblighi per l’alto rischio sono stati rinviati al 2 dicembre 2027 (casi d’uso dell’Allegato III) e al 2 agosto 2028 (IA integrata nei prodotti dell’Allegato I).
Se pubblica immagini, audio o video generati o manipolati dall’IA (deepfake), sì — devono essere etichettati, e i media sintetici dovrebbero recare una marcatura leggibile dalle macchine. I chatbot devono dichiarare di essere IA. I testi scritti dall’IA su questioni di interesse pubblico devono essere dichiarati, a meno che un redattore umano non se ne assuma la responsabilità.
Le responsabilità sono ripartite per ruolo. Il fornitore del modello (es. OpenAI) ha gli obblighi da fornitore GPAI; Lei, come deployer che mette un chatbot sul proprio sito o pubblica contenuti IA, ha gli obblighi di trasparenza lato deployer verso i Suoi visitatori.
No. Generare testi di marketing con l’IA è a rischio minimo/limitato — perfettamente legale. L’Atto richiede trasparenza solo in casi specifici (deepfake, testi di interesse pubblico, chatbot) e vieta un breve elenco di pratiche dannose estranee al normale marketing.
Faccia l’inventario dei punti in cui l’IA tocca il Suo sito (chatbot, immagini/testi generati), aggiunga informative ed etichette IA chiare, verifichi la marcatura dei media sintetici e informi il Suo team. Poi tenga d’occhio il 2 dicembre 2027 se usa l’IA nelle assunzioni o in altre aree dell’Allegato III.
Sei affermazioni — rispondete onestamente. Le risposte restano nel vostro browser.
Esegua ora la scansione di visibilità gratuita di Beacon. Le verifiche di preparazione all’AI Act arriveranno presto su Beacon.