Back

AI Act: la scadenza del 2 agosto 2026 e cosa devi fare ora

AI Act: la scadenza del 2 agosto 2026 e cosa devi fare ora

Introduzione: il conto alla rovescia è iniziato

Il 2 agosto 2026 non è una data casuale nel calendario aziendale italiano. È il momento in cui l’AI Act europeo diventa pienamente applicabile, e con esso, una cascata di obblighi che riguardano non solo chi sviluppa sistemi di intelligenza artificiale, ma anche chi li utilizza. Se la tua azienda – PMI, PA, startup, grande impresa – impiega strumenti AI nel quotidiano (chatbot, automazione documentale, analitiche predittive, riconoscimento biometrico), questa scadenza ti riguarda direttamente.

Molte organizzazioni italiane ancora non sanno che il loro obbligo non è “facoltativo”. Non è una raccomandazione. È compliance normativa, con rischi reali di sanzioni, responsabilità legale e danni reputazionali. In questo articolo scoprirai cosa cambia, quali sono i tuoi obblighi concreti e come prepararti in tempo.

Che cos’è l’AI Act e perché il 2 agosto 2026 è cruciale

L’AI Act (Regolamento UE 2024/1689) è la prima legge mondiale che disciplina l’intelligenza artificiale in modo organico. Non è una direttiva vaga: è un regolamento direttamente applicabile, con articoli specifici, obblighi misurabili e sanzioni proporzionate al fatturato.

Il 2 agosto 2026 segna il passaggio dalla fase preparatoria alla piena operatività. Da quella data:

  • Gli obblighi per i sistemi AI ad alto rischio (Allegato III) diventano pienamente applicabili senza eccezioni
  • Gli obblighi di trasparenza e documentazione diventano vincolanti
  • Le autorità di controllo iniziano verifiche e ispezioni
  • Le sanzioni (fino al 6% del fatturato globale) diventano concrete

Oggi, nel 2024-2025, è il momento di inventariare i tuoi sistemi AI, classificarli per livello di rischio e pianificare la conformità. Chi aspetta agosto 2026 sarà già in ritardo.

Quali aziende sono obbligate: non è solo per i “big tech”

Un equivoco comune: “L’AI Act riguarda solo OpenAI, Google, Meta”. Sbagliato.

L’AI Act obbliga chiunque immetta un sistema AI sul mercato UE o lo utilizzi per prendere decisioni che impattano persone fisiche. Questo include:

  • PMI che usano chatbot AI per customer service
  • PA che implementano algoritmi per valutazione crediti, assegnazione risorse, controlli
  • Aziende manifatturiere con sistemi di quality control basati su visione artificiale
  • Studi professionali che adottano software di automazione documentale con AI
  • Fornitori di servizi cloud che offrono strumenti AI ai clienti

Se il tuo sistema AI può influenzare diritti, libertà o opportunità di una persona (accesso al credito, assunzione, ammissione a servizi pubblici, sanzioni), rientra nel perimetro normativo. E gli obblighi sono tuoi, indipendentemente dalle dimensioni aziendali.

I tuoi obblighi concreti entro il 2 agosto 2026

Non è sufficiente “avere un piano”. Ecco cosa devi fare, operativamente:

1. Inventario e classificazione dei sistemi AI

Identifica tutti i sistemi AI in uso (anche quelli acquistati come servizio SaaS). Per ognuno, determina il livello di rischio:

  • Rischio proibito: sistemi di manipolazione cognitiva, punteggi sociali, identificazione biometrica in tempo reale in spazi pubblici (vietati, salvo eccezioni ristrettissime)
  • Rischio alto: sistemi che impattano diritti fondamentali (credito, lavoro, istruzione, giustizia). Richiedono conformità piena: valutazione d’impatto, testing, documentazione, audit
  • Rischio limitato: chatbot, raccomandazioni. Obbligo di trasparenza: l’utente deve sapere che interagisce con un’IA
  • Rischio minimo: videogiochi, filtri foto. Obblighi ridotti

2. Valutazione d’impatto sui diritti fondamentali

Per sistemi ad alto rischio, devi condurre un’analisi strutturata (Data Protection Impact Assessment esteso all’AI). Documenta: come funziona il sistema, quali dati usa, quali rischi crea, come li mitighirai, chi è responsabile.

3. Testing e validazione

Devi provare che il tuo sistema funziona come dichiarato, che non discrimina, che è robusto. Non è “testing informale”: è documentazione tecnica verificabile.

4. Documentazione e registri

Mantieni registri dettagliati: descrizione del sistema, scopo, dati di addestramento, risultati di test, incidenti, correzioni. Questa documentazione deve essere disponibile alle autorità in caso di ispezione.

5. Trasparenza verso utenti e interessati

Se il tuo sistema AI prende decisioni che riguardano persone, loro devono sapere: cos’è, come funziona, perché ha preso quella decisione, come contestarla. Non è opzionale.

6. Nomina di un responsabile AI (ove richiesto)

Per sistemi ad alto rischio, designa una figura (interna o esterna) responsabile della conformità continua.

I rischi di non conformità: numeri concreti

Le sanzioni dell’AI Act non sono simboliche:

  • Violazioni gravi (uso di sistemi proibiti, mancata documentazione): fino a € 30 milioni o 6% del fatturato globale annuo, a seconda di quale sia maggiore
  • Violazioni medie (trasparenza insufficiente, testing inadeguato): fino a € 20 milioni o 4% del fatturato
  • Violazioni minori (registri incompleti): fino a € 10 milioni o 2% del fatturato

Per una PMI con fatturato di € 5 milioni, una violazione grave significa una multa potenziale di € 300.000. Per una PA, significa responsabilità legale verso cittadini, danni all’immagine, procedimenti disciplinari.

Oltre alle sanzioni, ci sono rischi indiretti: contenziosi civili (se il tuo algoritmo discrimina), esclusione da gare pubbliche, perdita di fiducia cliente, danno reputazionale.

Come prepararsi: le azioni da avviare subito

Non hai bisogno di aspettare agosto 2026. Anzi, è controproducente. Ecco il piano d’azione:

Fase 1 (Ora – Dicembre 2024): Consapevolezza e inventario

  • Raduna il tuo team: IT, legal, operations, marketing
  • Fai l’AI Act Readiness Assessment gratuito

    Scopri di più →

lorenzo.dalci
lorenzo.dalci