Codice di condotta UE sull’IA: cosa cambia per chi produce contenuti sintetici dal 2 agosto 2026

Da maggio 2026 il quadro di attuazione dell'articolo 50 del regolamento (UE) 2024/1689 ha preso forma operativa. L'8 maggio la Commissione europea ha pubblicato la bozza delle linee guida sull'attuazione degli obblighi di trasparenza, in parallelo alla seconda bozza del Codice di condotta sulla marcatura e l'etichettatura dei contenuti generati dall'IA del 5 marzo. Per le imprese che producono contenuti sintetici in ambito marketing, customer service generativo, sintesi vocale, video promozionali e formazione interna, il quadro non è più ipotetico: il 2 agosto 2026 le regole diventano applicabili.

Il problema operativo è duplice. Da una parte serve definire l'etichetta giuridicamente adeguata al contenuto, al canale e al pubblico esposto. Dall'altra serve mantenere una prova verificabile di cosa è stato prodotto come contenuto sintetico, quando, da chi e con quale modello, perché chi contesta l'etichetta o il contenuto in giudizio chiede esattamente questo. La risposta a entrambe le esigenze passa da una scelta architetturale: trattare la trasparenza come un livello visibile all'utente e la provenienza come un livello probatorio separato, integrato all'origine del contenuto.

Cosa dice la bozza di linee guida della Commissione dell'8 maggio 2026

La bozza pubblicata dalla Commissione europea l'8 maggio 2026 è un documento di circa 40 pagine, in consultazione pubblica fino al 3 giugno e destinato ad applicarsi a partire dal 2 agosto 2026 insieme all'articolo 50. Il testo fornisce orientamenti pratici ad autorità competenti, fornitori e utilizzatori di sistemi di IA, e copre l'intero perimetro dell'articolo 50, comprese le parti non trattate dal Codice di condotta come gli obblighi di auto-identificazione dei sistemi interattivi e gli avvisi per i sistemi di riconoscimento delle emozioni e categorizzazione biometrica.

L'elemento più rilevante per chi produce contenuti è la qualificazione del dovere informativo. L'informazione di trasparenza deve essere chiara, distinguibile e ripetuta nel tempo per ogni soggetto esposto al contenuto. "Chiara" significa percepibile e comprensibile senza sforzo; "distinguibile" significa separata dal resto dei contenuti, non confusa nelle condizioni d'uso o annidata in menù secondari; "ripetuta" significa che chi entra a metà di una trasmissione, di un video o di una sessione di chat deve comunque ricevere la notifica, perché l'obbligo si attiva su ciascun soggetto esposto, non solo sul primo. Per il marketing video questo si traduce in etichette persistenti, non solo iniziali.

Il documento chiarisce anche la distinzione tra fornitori e utilizzatori. Il fornitore progetta il sistema e marca il contenuto sintetico a monte in formato leggibile dalla macchina. L'utilizzatore applica l'etichetta visibile a valle e informa la persona esposta. Le piattaforme che si limitano a distribuire contenuti di terzi non sono considerate utilizzatori ai sensi dell'AI Act, ma restano nel perimetro della responsabilità editoriale di altre normative.

Il Codice di condotta sulla marcatura del 5 marzo 2026 e l'icona UE

La seconda bozza del Codice di condotta sulla marcatura e l'etichettatura dei contenuti generati dall'IA è stata pubblicata il 5 marzo 2026, sulla base dei contributi raccolti dopo la prima bozza di gennaio e dei lavori di centinaia di partecipanti tra industria, mondo accademico, società civile e Stati membri. Il testo è atteso in versione finale all'inizio di giugno 2026, sempre con applicazione dal 2 agosto.

La novità più operativa è strutturale. La sezione dedicata ai fornitori introduce un approccio di marcatura a due livelli, basato su metadati protetti e filigrana, con l'opzione del fingerprinting. La sezione dedicata agli utilizzatori abbandona la distinzione tra contenuto "generato dall'IA" e "assistito dall'IA" della prima bozza, e adotta un approccio più flessibile incentrato su standard di design per etichette e icone. La logica è ridurre il carico di conformità senza indebolire la riconoscibilità del contenuto sintetico.

In allegato compaiono esempi illustrativi di una possibile icona UE comune, da definire in un gruppo di lavoro dedicato e mettere a disposizione dei firmatari del Codice. L'obiettivo è offrire un linguaggio visivo unico riconoscibile dagli utenti europei, su modello dell'esperienza dei marchi di qualità alimentare. Per le imprese significa che, se il Codice viene adottato, l'etichetta visibile può fare leva su un elemento grafico standard invece che su una scelta proprietaria caso per caso.

Il punto da cogliere è la natura volontaria del Codice. Chi non aderisce non viola la legge, ma deve dimostrare alle autorità competenti come adempie agli stessi obblighi con mezzi propri. Le bozze segnalano esplicitamente che i firmatari ricevono "maggiore fiducia" dall'enforcement, mentre i non firmatari sono soggetti a controlli più stringenti con analisi di gap caso per caso.

Quali contenuti aziendali ricadono negli obblighi di trasparenza

L'articolo 50 si applica a chiunque produca o diffonda contenuti generati o manipolati da sistemi di IA. Per un'impresa europea, questo significa rivedere quattro famiglie di contenuti prodotti su base ricorrente.

La prima famiglia è il marketing audiovisivo. Le campagne pubblicitarie che usano voci sintetiche di portavoce reali, avatar di IA, immagini fotorealistiche generate da sistemi di IA generativa o video in cui un volto reale è stato modificato rientrano nella definizione di deepfake della bozza, che secondo le linee guida prescinde dall'intento ingannevole dell'utilizzatore. Conta il risultato: se il contenuto apparirebbe autentico a un pubblico diversificato, compresi soggetti con minore alfabetizzazione digitale, l'obbligo di etichetta scatta. La bozza chiarisce inoltre che l'eccezione per le opere artistiche si applica in forma attenuata e non vale per contenuti con finalità prevalentemente informativa o commerciale, escludendo quindi i deepfake di personaggi noti nelle pubblicità.

La seconda famiglia è il customer service generativo. Chatbot di assistenza, assistenti virtuali su sito o app, voce sintetica di risponditori IVR basati su modelli di IA: tutti rientrano nell'obbligo di auto-identificazione dell'articolo 50(1), che richiede al sistema di rendere palese all'utente che sta interagendo con una macchina. La bozza concede l'eccezione di evidenza solo dove la natura artificiale è già ovvia, citando come esempi gli strumenti di sviluppo professionali e i personaggi non giocanti dei videogiochi. Per assistenti aziendali e helpdesk embedded l'eccezione non vale.

La terza famiglia è la sintesi vocale e i video di formazione interna. Quando un'azienda produce video formativi con avatar generati, voci sintetiche di trainer fittizi o ricostruzioni di scenari operativi con personaggi non reali, il contenuto è sintetico e va etichettato. Anche in ambito interno, perché la trasparenza tutela il singolo soggetto esposto, non il rapporto contrattuale tra titolare e dipendente.

La quarta famiglia è la comunicazione su temi di interesse pubblico. Quando un'impresa pubblica testi generati da IA su questioni di rilievo pubblico (posizioni di policy, comunicati ESG, contenuti di public affairs), l'articolo 50(4) richiede etichettatura esplicita, salvo le strette eccezioni previste.

Marcatura a monte, etichetta a valle: due livelli che vanno tenuti separati

La logica della bozza di Codice del 5 marzo è chiara su un punto spesso confuso nelle conversazioni aziendali. La marcatura tecnica del contenuto, leggibile dalla macchina, è una cosa. L'etichetta visibile al pubblico è un'altra. Le due cose vivono su livelli diversi e rispondono a esigenze diverse.

La marcatura a monte serve a rendere il contenuto rilevabile come sintetico dai sistemi di verifica, dai motori di ricerca, dalle piattaforme di distribuzione e in caso di contenzioso. Il Codice promuove un approccio a due livelli: metadati firmati incorporati nel file e filigrana percettiva o impercettibile applicata al contenuto, con il fingerprinting come opzione complementare. Standard aperti e interoperabili sono la direzione segnalata dalla Commissione per ridurre i costi di adozione, perché un singolo formato proprietario per ogni piattaforma renderebbe il sistema fragile.

L'etichetta a valle serve al singolo utente. Deve essere chiara, distinguibile, ripetuta. Se l'utilizzatore è un'agenzia di comunicazione, deve poter applicare l'etichetta su tutti i punti di esposizione, inclusi i canali social, le newsletter, gli embed in pagine terze. Il rispetto dell'obbligo non si esaurisce con una nota in piè di pagina della prima visualizzazione.

Tenere distinti i due livelli ha una conseguenza pratica importante per la conformità. La marcatura tecnica è una capacità del sistema di generazione, l'etichetta visibile è una capacità del canale di distribuzione. Le imprese che producono contenuti sintetici devono essere certe che entrambi i livelli siano governati in modo coerente lungo tutta la filiera, dal modello al canale finale. Senza questa coerenza, in caso di contestazione, l'azienda si trova esposta su due fronti contemporaneamente: la non conformità formale all'etichetta visibile e l'impossibilità di dimostrare quale modello, quando e con quali parametri ha generato il contenuto.

Il versante probatorio: perché serve un livello di certificazione all'origine

C'è una dimensione che l'articolo 50 non disciplina direttamente ma che diventa decisiva quando si passa dalla conformità formale alla difesa in giudizio o in audit. È il versante probatorio. Se un contenuto sintetico viene contestato (per violazione della trasparenza, per diffamazione attraverso deepfake, per uso non autorizzato di un'immagine, per dispute contrattuali su materiali pubblicitari), l'azienda deve essere in grado di dimostrare in modo opponibile a terzi tre cose: che il contenuto è stato prodotto con un certo sistema, in un determinato momento, da un soggetto identificato.

L'AI Act richiede la marcatura "machine-readable" del contenuto, ma non impone una catena probatoria firmata da una terza parte qualificata. La marcatura tecnica può essere alterata, rimossa, sostituita lungo il ciclo di vita del contenuto. I metadati possono essere ricostruiti. La filigrana può essere attenuata o erosa dalla ricompressione del file. Per la conformità di base questo può bastare. Per il versante probatorio, davanti a un'autorità di mercato, in un'aula di giustizia, in un audit interno o assicurativo, no.

Il modo più solido per gestire questo rischio è certificare il contenuto sintetico all'origine, nel momento esatto in cui viene generato o manipolato. La certificazione lega il file a un sigillo elettronico di un prestatore di servizi fiduciari qualificato (QTSP) e a una marca temporale qualificata erogata secondo il regolamento eIDAS. Da quel momento il contenuto porta con sé una prova opponibile a terzi del proprio stato in un istante determinato: chi prova a modificarlo dopo la certificazione rompe la firma, e la rottura è dimostrabile algoritmicamente.

Il regolamento eIDAS (UE) 910/2014 stabilisce il regime giuridico europeo dei servizi fiduciari qualificati. Una marca temporale qualificata gode di presunzione di accuratezza della data e dell'ora indicate, e di integrità dei dati a cui la data e l'ora sono associate. Un sigillo elettronico qualificato gode della presunzione di integrità dei dati e di correttezza dell'origine. Combinati su un contenuto sintetico, marca temporale qualificata e sigillo qualificato producono una prova che ha riconoscimento giuridico in tutti gli Stati membri dell'Unione, senza necessità di accordi bilaterali tra giurisdizioni.

Cos'è una piattaforma per l'autenticità dei dati e come si integra con gli obblighi dell'AI Act

TrueScreen è una piattaforma per l'autenticità dei dati che acquisisce e certifica contenuti digitali con valore legale, integrando il sigillo elettronico di prestatori di servizi fiduciari qualificati terzi e la marca temporale qualificata via API. Il contenuto certificato porta con sé una prova opponibile a terzi del proprio stato nel momento esatto della certificazione, indipendentemente dalle manipolazioni successive.

Sul fronte AI Act, il valore di una piattaforma di autenticità dei dati è complementare a quello della marcatura e dell'etichetta. Mentre marcatura e etichetta rispondono all'articolo 50 sul piano della trasparenza, la certificazione all'origine risponde alla domanda probatoria che inevitabilmente segue: "Puoi dimostrare cosa hai prodotto, quando, con quale sistema, e che non è stato alterato dopo?". Senza questa risposta, la conformità formale resta esposta a contestazione.

Approfondimento

Digital Provenance: l'infrastruttura della fiducia digitale

Cosa significa garantire l'origine e la storia di un contenuto digitale in un'epoca in cui tutto può essere sintetico.

Scopri di più →

Cosa fa TrueScreen in pratica per un contenuto sintetico

Quando un'azienda produce un video promozionale con voce sintetica del proprio amministratore delegato, TrueScreen acquisisce il file finalizzato e applica la certificazione all'origine. Il file certificato porta con sé il riferimento univoco al sistema di generazione dichiarato, l'identificazione del soggetto produttore, la marca temporale qualificata e il sigillo elettronico apposto dal QTSP integrato via API. Il log della certificazione è non alterabile.

Se la stessa azienda produce un video di formazione interna con avatar generato e narrazione sintetica, lo stesso flusso assicura che il produttore sia identificato e che la data e l'ora di generazione siano fissate in modo opponibile. Se in futuro qualcuno contesta che il video sia stato modificato dopo la pubblicazione, la verifica della firma sul file dimostra in modo deterministico se l'integrità è rimasta intatta o se è stata violata.

Come si pone TrueScreen rispetto a marcatura e etichettatura

TrueScreen non sostituisce la marcatura tecnica di un fornitore di IA, non sostituisce l'etichetta visibile applicata dall'utilizzatore. Aggiunge un livello probatorio sopra entrambi. La marcatura ci dice che il contenuto è sintetico. L'etichetta lo comunica all'utente esposto. La certificazione lega quel contenuto specifico a un soggetto identificato, a un momento preciso e a un sigillo di un terzo qualificato. I tre livelli, insieme, formano una catena coerente: trasparenza tecnica, trasparenza visibile, opponibilità probatoria.

Per le funzioni di conformità e legale, questa stratificazione semplifica anche la gestione di un audit. La domanda "come dimostri di avere etichettato correttamente?" si trasforma in tre risposte indipendenti, ciascuna delle quali è verificabile in modo isolato: la marcatura del file, lo screenshot certificato della pubblicazione con etichetta, il log non alterabile della certificazione del contenuto. Una funzione di responsabile della conformità o un DPO che ricostruisce un caso a distanza di mesi trova ciascun pezzo verificabile in modo autonomo.

Programma operativo di conformità: cosa fare entro il 2 agosto 2026

Le imprese che producono contenuti sintetici hanno una finestra di tre mesi tra giugno (versioni finali di linee guida e Codice) e agosto (entrata in vigore degli obblighi) per portare il proprio impianto a regime. Un programma operativo realistico passa da cinque blocchi.

Inventario dei contenuti sintetici prodotti. Mappare per area aziendale (marketing, comunicazione, customer service, HR, formazione, public affairs) cosa viene generato con sistemi di IA o sue componenti, con quale frequenza, su quali canali. Senza inventario, la valutazione del rischio non si può fare.

Classificazione per regime applicabile. Per ogni famiglia di contenuto, identificare quale comma dell'articolo 50 si applica e quale eccezione è eventualmente disponibile. Le eccezioni vanno documentate caso per caso: l'autorità non accetta affermazioni generiche di "natura ovvia".

Disegno della marcatura tecnica. Verificare che i sistemi di IA usati supportino la marcatura a due livelli prevista dal Codice (metadati protetti e filigrana). Se i fornitori non la supportano nativamente, programmare con loro il piano di adeguamento.

Disegno dell'etichetta visibile. Costruire una libreria di etichette aziendali coerenti per canale (video, audio, testo, immagine, chat) che soddisfi i criteri di chiarezza, distinguibilità e ripetizione. Coordinare con i partner di distribuzione la persistenza dell'etichetta sui propri canali.

Livello probatorio. Definire quali contenuti, in funzione del rischio (visibilità pubblica, esposizione legale, criticità reputazionale), richiedono la certificazione all'origine come livello opponibile a terzi. Per i contenuti ad alto rischio, l'integrazione di una piattaforma di autenticità dei dati come TrueScreen aggiunge il versante probatorio che le linee guida non impongono ma che la giurisprudenza richiederà nelle dispute future.

FAQ: gli obblighi di etichettatura dei contenuti sintetici

Quando entrano in vigore gli obblighi di trasparenza dell'articolo 50 dell'AI Act?
Gli obblighi di trasparenza dell'articolo 50 del regolamento (UE) 2024/1689 si applicano dal 2 agosto 2026. La Commissione europea ha pubblicato la bozza delle linee guida sull'attuazione l'8 maggio 2026, in consultazione pubblica fino al 3 giugno 2026, mentre la seconda bozza del Codice di condotta sulla marcatura è del 5 marzo 2026. Le versioni finali di entrambi i documenti sono attese all'inizio di giugno 2026.
Un'etichetta una tantum all'inizio di un video sintetico è sufficiente?
No. La bozza di linee guida della Commissione dell'8 maggio 2026 chiarisce che l'informazione di trasparenza deve essere chiara, distinguibile e ripetuta nel tempo per ogni soggetto esposto al contenuto. Chi entra a metà visualizzazione deve comunque ricevere l'etichetta, quindi per i video pubblicitari si traducono in etichette persistenti, non solo iniziali.
Differenza tra marcatura a monte e etichettatura a valle dei contenuti sintetici?
La marcatura a monte è la marcatura tecnica leggibile dalla macchina che il fornitore di IA applica al contenuto generato (metadati protetti e filigrana, secondo il Codice di condotta del 5 marzo 2026). L'etichettatura a valle è la comunicazione visibile rivolta alla persona esposta, applicata dall'utilizzatore. Servono entrambe e rispondono ad articoli diversi della normativa.
L'adesione al Codice di condotta UE è obbligatoria per le imprese?
No, il Codice di condotta è volontario. Chi non aderisce non viola la legge ma deve dimostrare alle autorità competenti come adempie agli obblighi dell'articolo 50 con mezzi propri. Le bozze indicano che i firmatari ricevono maggiore fiducia dall'enforcement, mentre i non firmatari sono soggetti a controlli più stringenti con analisi di gap caso per caso.
Come si dimostra in giudizio l'origine di un contenuto sintetico prodotto in azienda?
L'AI Act richiede la marcatura ma non impone una catena probatoria firmata. Per opporsi a contestazioni in giudizio o in audit serve una certificazione all'origine: il contenuto va legato a un sigillo elettronico di un prestatore di servizi fiduciari qualificato e a una marca temporale qualificata eIDAS, con log non alterabile. È esattamente il livello che TrueScreen aggiunge sopra marcatura e etichetta.

Adempi all’articolo 50 con un livello probatorio opponibile

Mappa i contenuti sintetici della tua azienda, applica marcatura e etichetta secondo le linee guida UE, certifica all’origine i contenuti ad alto rischio con valore legale.

applicazione mockup