Mancano meno di trenta giorni. Il 2 agosto 2026 l’Articolo 50 dell’AI Act diventa norma vincolante per chiunque sviluppi o utilizzi sistemi di intelligenza artificiale nel mercato europeo. Non si tratta di un adempimento burocratico di routine: è il momento in cui la trasparenza smette di essere un’opzione etica e diventa un requisito legale stringente, con sanzioni che possono arrivare a 15 milioni di euro o al 3% del fatturato annuo globale.

Questo post è una guida operativa a ciò che serve sapere — e fare — prima che la scadenza arrivi.


Che cosa prevede l’Articolo 50

L’Art. 50 è il pilastro della strategia europea per una Trustworthy AI. Il suo obiettivo è rafforzare la trasparenza nel mercato unico digitale in un contesto in cui la distinzione tra contenuto naturale e sintetico è diventata sempre più difficile da percepire per l’utente comune.

Gli obblighi si articolano su tre assi:

Interazione diretta con l’IA. Chi mette a disposizione un chatbot o qualsiasi sistema con cui una persona fisica interagisce deve informare l’utente che sta parlando con una macchina, a meno che ciò non sia già evidente dal contesto.

Riconoscimento delle emozioni e categorizzazione biometrica. I sistemi che analizzano le emozioni o categorizzano gli individui su base biometrica devono notificarlo esplicitamente alle persone esposte.

Marcatura e rilevabilità dei contenuti sintetici. Audio, video, immagini e testi generati o manipolati dall’IA devono essere marcati in modo da risultare rilevabili come sintetici. È qui che entra in gioco il sistema tecnico del dual layer watermarking, su cui torneremo più avanti.


Il grace period: attenzione a non confondersi

Il Digital Omnibus on AI — approvato in via definitiva dal Parlamento europeo il 16 giugno 2026 — ha introdotto una moratoria, ma con un perimetro preciso che è fondamentale non fraintendere.

Il grace period fino al 2 dicembre 2026 si applica esclusivamente agli obblighi di marcatura previsti dall’Art. 50(2) per i sistemi di IA generativa già immessi sul mercato prima del 2 agosto 2026.

Tutto il resto entra in vigore il 2 agosto senza deroghe. In particolare, l’obbligo di informare gli utenti dell’interazione con sistemi di IA è immediatamente vincolante dalla stessa data.

Per i deepfake generati prima del 2 agosto, l’etichettatura è incoraggiata — e opportuna sul piano reputazionale — ma non è ancora un obbligo legalmente sanzionabile. Questa distinzione temporale deve guidare i responsabili compliance nella prioritizzazione degli interventi tecnici nelle settimane che restano.


Chi è obbligato a fare cosa

L’AI Act distingue i ruoli in base all’autorità esercitata sul sistema, non alla natura giuridica del soggetto.

Infografica Chi fa cosa AI Act Art. 50: ruoli di Provider, Deployer e Piattaforme con le rispettive responsabilità e le scadenze del 2 agosto e 2 dicembre 2026

Provider (Fornitore) è chi sviluppa un sistema di IA — o lo fa sviluppare — per immetterlo sul mercato sotto il proprio nome o marchio. Rientrano in questa categoria: una software house che rilascia un generatore di immagini o un chatbot tramite API; un’azienda che offre applicazioni di IA generativa a consumatori o utenti professionali; un ente pubblico che ha sviluppato internamente un sistema interattivo e lo mette in servizio con il proprio marchio.

Deployer (Distributore) è chi utilizza l’IA sotto la propria autorità in un contesto non strettamente personale. L’elemento discriminante è il controllo decisionale o tecnico: una società che commissiona a un’agenzia pubblicitaria la produzione di un annuncio, senza esercitare alcun controllo su come l’agenzia usi l’IA nel processo produttivo, non è considerata un deployer.

Come mostra l’infografica, la catena di responsabilità non si esaurisce con chi produce il contenuto: le Piattaforme sono obbligate a non rimuovere le marcature inserite all’origine e a conservare i metadati. La trasparenza funziona solo se l’intera filiera la rispetta.


Le soluzioni tecniche: il sistema dual layer

Infografica Trasparenza a due livelli: metadati firmati e watermarking robusto, con nota su soglia 200 token per il testo e divieto di strumenti humanizer

Il Code of Practice definisce per immagini, audio e video un approccio standardizzato a due livelli:

Metadati firmati — informazioni codificate che viaggiano con il file e ne attestano l’origine sintetica in modo verificabile da sistemi automatici e da chiunque disponga degli strumenti di lettura appropriati.

Watermarking robusto — segnali impercettibili inseriti direttamente nel contenuto, progettati per resistere alle tipiche operazioni di elaborazione: compressione, ritaglio, modifica del colore. La robustezza non è una caratteristica opzionale: è parte integrante della definizione tecnica prevista dal Codice.

Due punti operativi da tenere a mente:

  • Per il testo è richiesto un singolo livello di watermarking, con esenzione per contenuti al di sotto dei 200 token.
  • È severamente vietato sviluppare o utilizzare strumenti humanizer progettati specificamente per rimuovere le marcature di trasparenza.

Sul fronte della detection, i Provider devono fornire soluzioni per rilevare i propri contenuti sintetici — preferibilmente gratuite per il pubblico. Una deroga è prevista per la rilevazione del testo, dove l’accesso pubblico e gratuito può essere limitato in determinati casi tecnici o di sicurezza. Tutte le soluzioni di verifica devono comunque garantire piena conformità al GDPR.


Il Code of Practice: perché aderire conviene

Il Code of Practice — redatto con il contributo di oltre 187 stakeholder e il supporto dei 27 Stati membri — non è un semplice documento di buone intenzioni. È uno strumento di conformità volontaria che, una volta approvato dalla Commissione, produce effetti giuridici concreti.

Chi aderisce ottiene:

  • Presunzione di conformità — valutazione semplificata da parte delle autorità, poiché il Codice è già validato come strumento adeguato per l’Art. 50.
  • Riduzione del carico amministrativo — processi di supervisione armonizzati in tutta l’UE, indipendentemente dallo Stato membro in cui si opera.
  • Certezza legale — protezione contro sanzioni derivanti da interpretazioni variabili delle norme da parte delle diverse autorità nazionali.
  • Posizionamento reputazionale — riconoscimento come organizzazione leader nella Responsible AI, fattore sempre più determinante per investitori e partner commerciali.

Chi sceglie di non aderire non è necessariamente fuori legge — ma dovrà dimostrare autonomamente, con oneri probatori e tecnici significativamente più elevati, l’efficacia delle proprie misure alternative. E potrà attendersi un numero maggiore di richieste di chiarimento da parte delle autorità.


Come aderire: i tre passi operativi

La lista dei firmatari verrà pubblicata a luglio 2026. Per formalizzare l’impegno in tempo, le organizzazioni devono:

  1. Scaricare il Signatory Form ufficiale dal portale della Commissione europea: ec.europa.eu/newsroom/dae/redirection/document/129548

  2. Far firmare il modulo da un Senior Executive — CEO o CTO — con l’autorità di vincolare legalmente l’organizzazione.

  3. Inviare il modulo compilato esclusivamente all’indirizzo dell’AI Office: CNECT-AIOFFICE-CODE-OF-PRACTICE-TRANSPARENCY@ec.europa.eu


La prospettiva strategica

Il 2 agosto non è soltanto una scadenza amministrativa. È il momento in cui l’Europa formalizza una scelta di campo: la trasparenza dei sistemi di IA come diritto degli utenti e come condizione strutturale del mercato digitale.

Per chi opera nel settore, l’adeguamento non è solo un obbligo da spuntare nella checklist compliance. È l’occasione per costruire una postura di Responsible AI verificabile, documentata e riconoscibile — un asset sempre più rilevante in un mercato in cui la fiducia degli utenti e la credibilità presso i regolatori stanno diventando fattori competitivi reali.

Le settimane che restano sono poche. Ma sono ancora sufficienti per agire con metodo, anziché in emergenza.


Per approfondire il quadro normativo completo dell’AI Act e le sue implicazioni per la cybersecurity e l’autonomia strategica europea, esplora gli altri articoli del blog.