AI Act nel 2026: il regolamento europea sull’intelligenza artificiale

DiDanilo Petrozzi

L’Europa ha scelto una strada chiara: regolamentare l’AI senza bloccare l’innovazione.

Con il Regolamento (UE) 2024/1689 (AI Act), l’UE ha introdotto il primo quadro normativo orizzontale completo sull’intelligenza artificiale, con un obiettivo doppio: tutela di diritti, sicurezza e valori europei da un lato; certezza legale per imprese e mercato interno dall’altro.

Come funziona l’AI Act

La logica è “risk-based”: più alto è il rischio del sistema AI, più pesanti sono obblighi e controlli.

In sintesi:

  • Rischio inaccettabile → pratiche vietate (art. 5), ad esempio social scoring, tecniche manipolative, scraping indiscriminato di volti, alcuni usi biometrici e di emotion recognition, con eccezioni molto strette per law enforcement.
  • Alto rischio → requisiti stringenti (governance del rischio, documentazione, supervisione umana, qualità dati, registrazione, ecc.) per i casi in Allegato III: biometria, istruzione, lavoro, servizi essenziali, law enforcement, migrazione, giustizia, processi democratici.
  • Rischio limitato → obblighi di trasparenza (art. 50): informare quando si interagisce con AI, etichettare contenuti sintetici/deepfake in determinate condizioni, disclosure su alcuni testi AI destinati al pubblico.
  • Rischio minimo → uso generalmente libero, con responsabilità generali e buone pratiche volontarie.

Implementazione: dove siamo nel 2026

L’AI Act è entrato in vigore il 1° agosto 2024, ma l’applicazione è scaglionata nel tempo.

Cosa è già operativo (al 7 febbraio 2026)

  1. Dal 2 febbraio 2025: sono applicabili i capitoli iniziali, inclusi i divieti dell’art. 5.
  2. Dal 2 agosto 2025: scattano le regole su governance UE e GPAI (general-purpose AI models) in base al calendario dell’art. 113.
  3. Sul fronte attuativo, la Commissione ha pubblicato:
    • linee guida sulle pratiche vietate;
    • chiarimenti su AI literacy (art. 4), con approccio flessibile ma obbligo concreto per provider e deployer di formare personale e operatori.
  4. Per i modelli general-purpose è stato pubblicato il GPAI Code of Practice (10 luglio 2025): strumento volontario, riconosciuto da Commissione e AI Board come via utile per dimostrare conformità (trasparenza, copyright, safety/security).

Cosa diventa centrale nel 2026

La data-chiave resta 2 agosto 2026, quando entra in applicazione la parte generale del regolamento (salvo eccezioni/scaglioni specifici previsti dal testo). È il punto in cui molte organizzazioni passano dalla “preparazione” alla piena operatività compliance.

Come funziona concretamente oggi per aziende e PA

Nel 2026 l’AI Act non è più solo “norma da studiare”: è già un framework operativo. In pratica:

  • va fatta una mappatura dei sistemi AI e del ruolo in filiera (provider, deployer, importatore, distributore);
  • va eseguito uno screening art. 5 per escludere pratiche vietate;
  • per use case ad alto rischio servono processi e prove documentali (risk management, accountability, tracciabilità, supervisione umana);
  • per AI generativa e contenuti sintetici serve prepararsi agli obblighi di trasparenza;
  • per i modelli GPAI avanzati, contano classificazione del rischio sistemico, documentazione tecnica, policy copyright, mitigazione rischi e sicurezza.

Un tassello spesso sottovalutato: l’AI literacy. Non è “formazione cosmetica”, ma requisito organizzativo da dimostrare in modo coerente con ruolo, rischio e contesto d’uso.

Governance e enforcement: chi controlla davvero

Il baricentro europeo è l’AI Office, con ruolo chiave soprattutto sui modelli general-purpose: può sviluppare metodologie, classificare rischi sistemici, chiedere informazioni, svolgere valutazioni e contribuire all’enforcement con i meccanismi previsti dall’AI Act.

Sul piano sanzionatorio, il quadro prevede multe molto elevate (fino a percentuali rilevanti del fatturato globale, a seconda della violazione), a conferma che la compliance non è opzionale.

Aggiornamenti 2025–2026 da tenere d’occhio

Nel novembre 2025 la Commissione ha presentato, nel pacchetto “digital simplification”, una proposta di modifiche mirate all’AI Act (tra cui maggiore centralizzazione di supervisione per sistemi basati su GPAI e possibili slittamenti di alcune scadenze). Ma è importante distinguere: si tratta di proposta legislativa, e la procedura risulta in corso. Quindi, finché non approvata, il calendario vigente dell’AI Act resta il riferimento operativo.

Articoli correlati: