EU AI Act: obblighi di trasparenza per le aziende da agosto 2026

Le aziende europee si trovano di fronte a un grande cambiamento: l'adozione dell'intelligenza artificiale nei processi operativi, che cresce a ritmi senza precedenti. Secondo ISTAT, in Italia l'utilizzo dell'AI nelle imprese è raddoppiato dall'8,2% del 2024 al 16,4% del 2025, con le grandi aziende che raggiungono il 53,1%. A livello globale, l'88% delle organizzazioni utilizza già l'AI in almeno una funzione aziendale (McKinsey, State of AI).

Eppure, da agosto 2026, il Regolamento UE 2024/1689, noto come Legge UE sull'AI, renderà pienamente operativi requisiti di trasparenza stringenti per chiunque sviluppi o utilizzi sistemi di intelligenza artificiale. L'articolo 50 impone obblighi precisi su etichettatura dei contenuti AI-generated, documentazione della provenienza dei dati e informativa agli utenti. Il problema: la maggior parte delle aziende non è ancora pronta.

La risposta non sta nell'adeguamento dell'ultimo minuto, ma nella costruzione di un'infrastruttura di Provenienza digitale che certifichi l'origine e l'autenticità dei contenuti digitali alla fonte, trasformando la compliance in un vantaggio competitivo strutturale.

EU AI Act: la prima regolamentazione organica sull'intelligenza artificiale

L'EU AI Act è il primo framework normativo al mondo che regola in modo organico l'intelligenza artificiale. Entrato in vigore il 1 agosto 2024, prevede un'applicazione progressiva degli obblighi distribuita su tre anni.

Le tappe principali:

  • Febbraio 2025: obbligo di alfabetizzazione AI (art. 4) e divieto delle pratiche a rischio inaccettabile (art. 5)
  • Agosto 2025: obblighi per i modelli di AI general-purpose (GPAI), designazione delle autorità nazionali competenti, attivazione del regime sanzionatorio con multe fino a 35 milioni di euro o il 7% del fatturato globale
  • Agosto 2026: obblighi di trasparenza (art. 50) e requisiti per i sistemi AI ad alto rischio (Allegato III) pienamente applicabili

In Italia, la Legge 132/2025, entrata in vigore il 10 ottobre 2025, ha introdotto il primo quadro normativo nazionale sull'AI, affidando ad AgID la promozione dell'innovazione e all'ACN (Agenzia per la Cybersicurezza Nazionale) le funzioni di vigilanza e sanzione. La coesistenza di due livelli normativi, europeo e italiano, aggiunge complessità interpretativa per le organizzazioni che devono garantire conformità a entrambi.

Articolo 50: i requisiti di trasparenza in dettaglio

L'articolo 50 dell'AI Act introduce obblighi specifici e differenziati per fornitori e utilizzatori di sistemi AI, con un'attenzione particolare ai contenuti generati dall'intelligenza artificiale.

Obblighi per i fornitori di sistemi AI

Chi sviluppa sistemi di AI deve garantire tre requisiti fondamentali:

  • I sistemi che interagiscono direttamente con le persone devono informare gli utenti che stanno comunicando con un'intelligenza artificiale, a meno che non sia evidente dal contesto
  • I contenuti generati (testo, audio, immagini, video) devono essere marcati in formato leggibile dalle macchine e rilevabili come generati artificialmente
  • Devono essere messi a disposizione interfacce, API o strumenti di verifica gratuiti per consentire a terzi di verificare la provenienza dei contenuti

Obblighi per gli utilizzatori

Chi utilizza sistemi di AI nei propri processi aziendali ha responsabilità altrettanto precise:

  • Dichiarare che i contenuti deepfake sono stati generati o manipolati artificialmente
  • Etichettare i testi generati da AI quando pubblicati su questioni di interesse pubblico
  • Implementare indicatori visivi persistenti per immagini e video, disclaimer in apertura per i video in diretta e disclaimer audio per i contenuti sonori
  • Formare il personale sull'identificazione dei contenuti AI-generated e definire procedure di supervisione umana

Il Codice di condotta sulla trasparenza

La Commissione Europea sta finalizzando un Codice di condotta sulla trasparenza e il watermarking dei contenuti AI. La prima bozza, pubblicata a dicembre 2025, prevede un approccio multi-livello: embedding di metadati con standard di provenance (incluso il C2PA), watermarking impercettibile integrato nel contenuto a livello di pixel e sistemi di logging per i casi in cui le altre tecniche risultino insufficienti. La versione finale è attesa per maggio-giugno 2026, poco prima dell'entrata in vigore degli obblighi.

Il gap di preparazione delle aziende europee

I numeri sulla readiness delle aziende europee evidenziano un ritardo preoccupante. Un'indagine Deloitte su 500 manager rivela che solo il 35,7% si sente adeguatamente preparato per la compliance con l'AI Act. Il 19,4% si dichiara scarsamente preparato e appena il 26,2% ha avviato concretamente attività di adeguamento.

Le lacune strutturali sono diffuse a livello europeo:

  • Oltre il 50% delle organizzazioni non dispone di un inventario dei propri sistemi AI
  • Solo il 18% ha implementato un framework di governance AI completo
  • Il 70% non ha un modello di AI governance formalizzato
  • Solo il 28% ha supervisione a livello CEO e il 17% a livello board

Il regime sanzionatorio, già attivo per le pratiche vietate, prevede multe fino a 35 milioni di euro o il 7% del fatturato annuo globale per le violazioni più gravi, fino a 15 milioni o il 3% per le altre inadempienze e fino a 7,5 milioni o l'1% per la fornitura di informazioni inesatte alle autorità.

La situazione italiana

L'Italia parte da una posizione particolarmente critica. Secondo ISTAT, nel 2024 il tasso di adozione dell'AI nelle imprese italiane era dell'8,2%, ben sotto la media UE del 13,5%. Il divario tra grandi aziende (53,1%) e PMI (15,7%) si e' ampliato di 12 punti percentuali in un solo anno, segnalando un'accelerazione asimmetrica che lascia indietro il tessuto produttivo più diffuso del Paese.

Il 60% delle imprese che ha valutato investimenti in AI senza procedere cita la mancanza di competenze adeguate come ostacolo principale. Secondo Sopra Steria, solo il 37% delle aziende italiane ha investito in AI generativa: il secondo dato più basso in Europa.

Data provenance: l'approccio strutturale alla compliance

Adeguarsi all'AI Act non significa semplicemente aggiungere etichette ai contenuti generati dall'intelligenza artificiale. Significa costruire un'infrastruttura capace di tracciare, verificare e certificare l'origine di ogni contenuto digitale lungo il suo intero ciclo di vita.

Questo approccio, fondato sulla Provenienza digitale, risponde a una logica precisa: in un contesto dove tutto è potenzialmente generato o manipolato dall'AI, non basta cercare di riconoscere il falso. Serve garantire il vero alla fonte, rendendo ogni dato immediatamente verificabile e affidabile.

Come funziona nella pratica

TrueScreen opera esattamente in questa direzione. Come piattaforma di data authenticity, consente alle organizzazioni di acquisire, verificare e certificare qualsiasi contenuto digitale (foto, video, documenti, email, schermate web) con valore legale e probatorio.

Il processo si basa su una metodologia forense conforme agli standard ISO/IEC 27037 e ISO/IEC 27001. Al termine dell'acquisizione, ogni file ottiene un sigillo elettronico e un timestamp qualificato emesso da un Qualified Trust Service Provider (QTSP) ai sensi del Regolamento eIDAS (UE 910/2014). L'utilizzo di algoritmi di hashing crittografico garantisce che qualsiasi modifica successiva sia immediatamente rilevabile.

L'output certificato include un pacchetto completo: i file originali, un report PDF, un report JSON e un file XML contenente la certificazione del QTSP con firma digitale e timestamp. Questo pacchetto crea un audit trail completo e verificabile: esattamente il tipo di documentazione della provenance che l'articolo 50 richiede.

Dalla compliance reattiva all'infrastruttura proattiva

La differenza tra un adeguamento di superficie e una strategia strutturale sta nella sostenibilità. Aggiungere watermark o metadati caso per caso è un approccio fragile, destinato a generare costi crescenti e lacune di copertura. Integrare la certificazione alla fonte all'interno dei flussi operativi esistenti, attraverso API e SDK, trasforma la compliance in un processo automatico e scalabile.

TrueScreen supporta già la conformità con i principali framework normativi europei e internazionali: EU AI Act, eIDAS, GDPR, NIS2, DSA, Data Act. Un'unica infrastruttura di provenance che copre trasversalmente più requisiti regolamentari, riducendo la frammentazione degli strumenti di compliance.

Roadmap operativa: prepararsi entro agosto 2026

Mancano pochi mesi alla piena applicabilità degli obblighi di trasparenza. Ecco i cinque passi concreti che ogni organizzazione dovrebbe intraprendere.

1. Mappatura dei sistemi AI in uso: creare un inventario completo dei sistemi di intelligenza artificiale utilizzati dall'organizzazione. Per ogni sistema, identificare: il fornitore, il tipo di output generato (testo, immagini, audio, video), il livello di rischio e i processi aziendali coinvolti. Oltre il 50% delle organizzazioni europee non ha ancora completato questo primo passo fondamentale.

2. Classificazione per livello di rischio: l'AI Act distingue quattro livelli: inaccettabile (vietato), alto, limitato e minimo. I sistemi ad alto rischio (Allegato III) richiedono documentazione tecnica, logging automatico e supervisione umana. I sistemi a rischio limitato rientrano negli obblighi di trasparenza dell'articolo 50. Classificare correttamente i propri sistemi è il prerequisito per definire gli adempimenti necessari.

3. Implementazione della tracciabilità dei contenuti: per ogni contenuto generato o modificato con AI, garantire la tracciabilità della provenienza. Adottare soluzioni di data provenance che certifichino l'origine dei dati con metadati verificabili, firma digitale e timestamp qualificato. Integrare queste soluzioni nei flussi operativi esistenti tramite API.

4. Formazione e governance interna: l'articolo 4 dell'AI Act impone già ora obblighi di alfabetizzazione AI per il personale. Definire ruoli e responsabilità, implementare policy interne sull'uso dell'AI, formare i team sulla gestione dei contenuti AI-generated e istituire meccanismi di supervisione umana.

5. Monitoraggio normativo continuo: il quadro è in evoluzione. Il Codice di condotta sulla trasparenza sarà finalizzato entro l'estate 2026, e il pacchetto Digital Omnibus della Commissione potrebbe modificare alcune scadenze. Un approccio proattivo richiede il monitoraggio costante degli aggiornamenti e l'adeguamento tempestivo dei processi interni.

FAQ: EU AI Act e obblighi di trasparenza per le aziende

Quando entrano in vigore gli obblighi di trasparenza dell'EU AI Act?
Gli obblighi di trasparenza previsti dall'articolo 50 dell'EU AI Act diventano pienamente applicabili il 2 agosto 2026. Tuttavia, alcuni obblighi correlati sono già in vigore: dal febbraio 2025 si applicano i requisiti di alfabetizzazione AI (art. 4) e dal agosto 2025 gli obblighi per i modelli di AI general-purpose.
Quali aziende sono soggette agli obblighi di trasparenza dell'AI Act?
Gli obblighi si applicano sia ai fornitori (chi sviluppa sistemi AI) sia agli utilizzatori (deployer, chi li impiega nei propri processi) che operano nel mercato europeo, indipendentemente dalla sede dell'azienda. Le PMI beneficiano di soglie sanzionatorie ridotte, ma non sono esenti dagli obblighi sostanziali.
Cosa si intende per data provenance nel contesto dell'AI Act?
La data provenance è la capacità di documentare l'origine, la storia e le trasformazioni di un contenuto digitale lungo il suo intero ciclo di vita. Nel contesto dell'AI Act, significa poter dimostrare se un contenuto è stato generato o modificato da un sistema AI, quando, da chi e con quale strumento, attraverso metadati verificabili e tracciabili.
Quali sanzioni prevede l'EU AI Act per la mancata compliance?
Il regime sanzionatorio prevede tre livelli: fino a 35 milioni di euro o il 7% del fatturato annuo globale per le violazioni delle pratiche vietate; fino a 15 milioni o il 3% per le altre inadempienze (inclusa la violazione degli obblighi di trasparenza); fino a 7,5 milioni o l'1% per la fornitura di informazioni inesatte alle autorità.
Come può un'azienda iniziare a prepararsi per gli obblighi di trasparenza?
I passi fondamentali sono: mappare tutti i sistemi AI in uso, classificarli per livello di rischio, implementare soluzioni di data provenance per la tracciabilita' dei contenuti generati da AI, formare il personale e definire una governance interna. Integrare la certificazione alla fonte nei flussi operativi tramite API garantisce un adeguamento strutturale e scalabile.

Proteggi l’autenticita’ dei tuoi contenuti digitali

L’EU AI Act impone nuovi standard di trasparenza. TrueScreen ti offre l’infrastruttura di data provenance per certificare l’origine dei tuoi dati e garantire la compliance.

applicazione mockup