Obblighi di trasparenza AI Act: cosa devono fare le aziende dal 2 agosto 2026

Dal 2 agosto 2026 diventano effettivi gli obblighi di trasparenza definiti dall’Articolo 50 del nuovo AI Act, il regolamento europeo che disciplina l’uso dell’intelligenza artificiale (IA). Tale normativa coinvolge fornitori e deployer di sistemi di IA che interagiscono con persone, generano contenuti sintetici o producono deepfake. Le linee guida della Commissione europea, pur non vincolanti, offrono chiarezza e suggeriscono modi pratici per rispettare le nuove norme.

Che cos’è il ruolo del fornitore e del deployer?

Gli obblighi dell’Articolo 50 variano a seconda del ruolo svolto nel mercato dell’IA. Un fornitore è chi sviluppa e immette sul mercato o in servizio un sistema di IA con il proprio nome o marchio. Un deployer è invece chi utilizza un sistema di IA nell’esercizio della propria attività professionale. In alcuni casi, la stessa organizzazione può assumere entrambi i ruoli. Questo è un elemento cruciale per interpretare correttamente le responsabilità legate all’obbligo di trasparenza.

Linee guida della Commissione Europea

Per supportare il rispetto delle norme, la Commissione ha pubblicato le Draft Guidelines on the implementation of the transparency obligations under Article 50 of the AI Act (“Linee guida”). Si tratta di un documento non obbligatorio ma di elevata utilità nella pratica, poiché include esempi concreti e indicazioni sull’applicabilità delle nuove normative. Le Linee guida aiutano le aziende a interpretare gli obblighi di trasparenza richiesti, chiarendo le sollecitazioni e limitando la discrezionalità interpretativa.

Modifiche introdotte dal Digital Omnibus sull’AI

Bisogna considerare anche un aspetto recente: il Digital Omnibus sull’AI, un testo di modifica all’AI Act che ha ricevuto un accordo formale il 6 maggio 2026. Una delle modifiche chiave riguarda l’aggiornamento al paragrafo 4 dell’articolo 111 dell’AI Act. Questa modifica consente a fornitori di sistemi di IA, inclusi quelli per finalità generali, di generare contenuti audio, video, immagini o testi sintetici prima del 2 agosto 2026. Questi ultimi avranno tempo fino al 2 dicembre 2026 per introdurre una marcatura tecnica conforme all’Articolo 50, par. 2. Si ribadisce, però, che tali modifiche non sono ancora in vigore.

Obblighi specifici per i fornitori di sistemi di IA

I fornitori di sistemi progettati per interagire con persone fisiche devono assicurarsi che le persone siano informate di utilizzare un sistema di intelligenza artificiale. Questo obbligo ammette due eccezioni: (1) quando la natura non umana dell’interazione è chiaramente evidente; (2) quando il sistema è legalmente autorizzato a prevenire, accertare o investigare crimini.

I fornitori di sistemi di IA che generano contenuti sintetici (immagini, video, audio, testi) devono fornire output marcato in un formato leggibile meccanicamente, facilmente identificabile. La marcatura deve essere efficace, interoperabile, solida e affidabile, in base alla capacità tecnica e alle risorse disponibili. Tecnologie adottate come filigrane, metadati, metodi criptografici, e impronte digitali sono solo alcuni esempi suggeriti.

Obblighi specifici per i deployer

I deployer di sistemi di riconoscimento delle emozioni o di categorizzazione biometrica devono informare chiaramente le persone e trattare i dati personali nel rispetto del GDPR e degli altri regolamenti di protezione dei dati. Questi obblighi si applicano salvo quando sono autorizzati a utilizzare il sistema per scopi investigativi o legali.

Per parte degli output generati artificialmente, come i deepfake, i deployer dovranno informare chiaramente che i contenuti sono stati manipolati o generati da un sistema di IA. In casi specifici, come opere artistiche satiriche o fittizie, i deployer devono semplicemente specificare la natura artificiale senza interferire con l’esposizione o la godibilità dell’opera.

Un altro punto chiave è relativo ai testi generati o manipolati con IA da parte dei deployer, destinati a informazione pubblica. In questo caso, l’obbligo richiede che venga dichiarata la natura artificiale del contenuto, salvo in casi in cui esista una revisione umana o controllo editoriale da parte di un soggetto giuridicamente responsabile.

Regole generali applicative

Per tutti gli obblighi sopra menzionati, l’informazione deve essere fornita in modo chiaramente distinguibile e accessibile alle persone interessate già dalla prima interazione o esposizione. La normativa richiede che il messaggio non sia ambiguo e che l’utente lo percepisca facilmente. Devono essere rispettati anche i criteri di accessibilità.

Linee guida pratiche

Le Linee guida della Commissione, nonostante non siano normative, offrono spunti importanti per l’applicazione pratica. Ad esempio, la comunicazione deve avvenire all’interno del contesto dell’interazione, non tramite link esterni o documentazione separata. Alcune pratiche sono ritenute inadeguate a soddisfare l’obbligo, come:

• Divulgazioni limitate ai termini e condizioni;
• Watermark o metadati non visibili all’utente;
• Segnali ambigui o ambigui, come la parola “assistente” senza ulteriori chiarimenti;
• Descrizioni tecnologiche vuote, ad esempio menzionano l’utilizzo di modelli avanzati senza specificare la natura artificiale.

Modelli considerati adatti invece includono:

• Messaggi espliciti e testuali (“Stai interagendo con un sistema di intelligenza artificiale”);
• Indicazioni visive chiare, a condizione che siano comprensibili nel contesto;

Conclusione

Le aziende che sviluppano o utilizzano sistemi di intelligenza artificiale dovranno attrezzarsi in vista del 2 agosto 2026 per rispettare gli obblighi relativi agli output artificiali e all’interazione con le persone fisiche. Le nuove normative non sono solo formali, ma richiedono un piano strategico di adattamento. La trasparenza diventa quindi un punto centrale di ogni applicazione di IA, garantendo