Il 2 agosto 2026 rappresenta una scadenza regolamentare importante per tutte le aziende che sviluppano o utilizzano sistemi di intelligenza artificiale nel mercato europeo; infatti, diventano applicabili le norme relative agli obblighi di trasparenza per i fornitori e i deployer di determinati sistemi di IA (disciplinate dall’art. 50 dell’AI Act).
Indice degli argomenti
Obblighi di trasparenza dell’AI Act: cosa cambia dal 2 agosto 2026
In primo luogo, riteniamo utile ricordare la distinzione tra fornitore e deployer di un sistema di IA. Il primo è chi sviluppa (o fa sviluppare) e immette sul mercato o in servizio un sistema di IA con il proprio nome o marchio; il secondo (deployer) è chi utilizza il sistema di IA nell’ambito della propria attività professionale sotto la propria autorità. L’articolo 50 assegna obblighi diversi a seconda del ruolo ricoperto nella catena del valore, e in alcuni casi la stessa organizzazione può rivestire entrambi i ruoli contemporaneamente.
A supporto dell’applicazione uniforme delle norme, la Commissione europea ha pubblicato le “Draft Guidelines on the implementation of the transparency obligations under Article 50 of the AI Act” (di seguito “Linee guida“), un documento non vincolante ma di notevole rilevanza pratica in quanto fornisce un supporto nell’interpretazione degli obblighi e fornisce numerosi esempi concreti.
Digital Omnibus: le modifiche che spostano alcune scadenze
Si segnala, infine, che sulla scadenza che riguarda i sistemi di IA di cui all’art. 50 incide anche il Digital Omnibus sull’AI, la proposta di regolamento che modifica l’AI Act per semplificarne e graduarne l’applicazione. Il testo di compromesso, raggiunto tra le istituzioni il 6 maggio 2026 introduce alcune modifiche rilevanti per il perimetro dell’articolo 50. In particolare, è introdotta una modifica all’articolo 111, paragrafo 4, dell’AI Act rivolta ai fornitori di sistemi di IA, compresi i sistemi di IA per finalità generali, che generano contenuti sintetici audio, video, immagini o testo che sono stati immessi sul mercato prima del 2 agosto 2026. Questi hanno tempo fino al 2 dicembre 2026 per adeguarsi all’obbligo di marcatura tecnica previsto dall’articolo 50, paragrafo 2. Si specifica che tale modifica non è ancora in vigore al momento della scrittura del presente contributo.
Di seguito vediamo più nel dettaglio gli obblighi di cui all’art. 50 dell’AI Act.
Gli obblighi dell’articolo 50
I primi quattro paragrafi dell’articolo 50 introducono gli obblighi di trasparenza, ciascuno rivolto a soggetti e fattispecie diverse.
Sistemi che interagiscono con le persone: l’obbligo di identificazione
Il primo obbligo riguarda i fornitori di sistemi di IA destinati a interagire direttamente con persone fisiche. Questi sistemi devono essere progettati e sviluppati in modo tale che le persone siano informate di stare interagendo con un sistema di intelligenza artificiale.
L’obbligo conosce due eccezioni. La prima quando la natura artificiale dell’interazione è evidente dal punto di vista di una persona fisica ragionevolmente informata, attenta e avveduta, tenuto conto delle circostanze e del contesto d’uso. La seconda quando il sistema è autorizzato dalla legge ad accertare, prevenire, indagare o perseguire reati, fatto salvo il caso in cui il sistema sia messo a disposizione del pubblico per la segnalazione di un reato.
Contenuti sintetici: la marcatura tecnica obbligatoria
Il secondo obbligo riguarda i fornitori di sistemi di IA, compresi i sistemi di IA per finalità generali, che generano contenuti audio, immagini, video o testi sintetici. Questi devono garantire che gli output del sistema siano marcati in un formato leggibile meccanicamente e rilevabili come generati o manipolati artificialmente.
Il Regolamento richiede che le soluzioni tecniche adottate siano efficaci, interoperabili, solide e affidabili nella misura in cui ciò sia tecnicamente possibile, tenendo conto delle specificità dei vari tipi di contenuti, dei costi di attuazione e dello stato dell’arte. Il Considerando 133 dell’AI Act richiama a titolo esemplificativo tecniche quali filigrane, identificazione di metadati, metodi crittografici per dimostrare la provenienza e impronte digitali.
L’obbligo non si applica se il sistema svolge una funzione di assistenza per l’editing standard, se non modifica in modo sostanziale i dati di input forniti dal deployer o la loro semantica, oppure se autorizzato dalla legge ad accertare, prevenire, indagare o perseguire reati.
Riconoscimento delle emozioni e categorizzazione biometrica
Il terzo obbligo riguarda i deployer di sistemi di riconoscimento delle emozioni o di categorizzazione biometrica. L’obbligo è duplice; infatti, è necessario informare le persone fisiche esposte al sistema in merito al suo funzionamento, e trattare i relativi dati personali nel rispetto del GDPR e delle altre normative applicabili in materia di protezione dei dati personali. Anche qui l’eccezione riguarda i sistemi autorizzati dalla legge ad accertare, prevenire, indagare o perseguire reati.
Deepfake e testi di interesse pubblico: l’obbligo di disclosure
Il quarto obbligo riguarda i deployer di sistemi di IA che generano o manipolano immagini o contenuti audio o video costituenti un deepfake (“un’immagine o un contenuto audio o video generato o manipolato dall’IA che assomiglia a persone, oggetti, luoghi, entità o eventi esistenti e che apparirebbe falsamente autentico o veritiero a una persona”). Questi deployer devono rendere noto che il contenuto è stato generato o manipolato artificialmente.
Quando il contenuto fa parte di un’opera o programma manifestamente artistici, creativi, satirici o fittizi, l’obbligo si riduce alla sola indicazione dell’esistenza di contenuti generati artificialmente, senza ostacolare l’esposizione o il godimento dell’opera.
Lo stesso paragrafo 4 introduce un obbligo speculare per i deployer di sistemi che generano o manipolano testo pubblicato con lo scopo di informare il pubblico su questioni di interesse pubblico. Anche in questo caso deve essere reso noto che il testo è stato generato o manipolato artificialmente. L’obbligo non si applica se il contenuto è stato sottoposto a un processo di revisione umana o di controllo editoriale e una persona fisica o giuridica ne detiene la responsabilità editoriale.
La regola trasversale: come e quando informare le persone
Infine, il paragrafo 5 dell’art. 50 stabilisce la regola temporale e formale, che vale in tutti i casi sopra elencati, secondo cui le informazioni devono essere fornite alle persone fisiche interessate in maniera chiara e distinguibile, al più tardi al momento della prima interazione o esposizione. Le informazioni devono altresì rispettare i requisiti di accessibilità applicabili.
Le linee guida della Commissione europea: indicazioni pratiche
Le Linee guida della Commissione (seppur ancora in bozza) forniscono indicazioni interpretative autorevoli sulle modalità di attuazione pratica degli obblighi.
Come comunicare la natura artificiale dell’interazione (art. 50, par. 1)
Le Linee guida chiariscono che la comunicazione deve avvenire nel contesto dell’interazione stessa e non può essere sostituita da rimandi ai termini e condizioni del servizio o a documentazione esterna. Alcune tecniche sono espressamente indicate come insufficienti a soddisfare l’obbligo; ad esempio: divulgazioni contenute solo nei termini e condizioni, negli URL o nella documentazione di supporto; marcature leggibili solo meccanicamente, come metadati o watermark non percepibili dall’utente al momento dell’interazione; segnali ambigui o poco chiari, come il solo riferimento al termine “assistente”, senza chiarire la natura artificiale dell’assistente; descrizioni puramente tecnologiche (ad esempio, questo sistema utilizza modelli di linguaggio di grandi dimensioni).
Sono invece considerate modalità adeguate, anche in combinazione tra loro, ad esempio: un messaggio testuale esplicito all’inizio dell’interazione (ad esempio: “Stai interagendo con un sistema di intelligenza artificiale”); un’icona o un elemento visivo chiaramente leggibile, a condizione che il suo significato sia comprensibile nel contesto.
La marcatura tecnica dei contenuti sintetici (art. 50, par. 2)
Per i sistemi generativi, le Linee guida illustrano le tecniche di marcatura disponibili: filigrane digitali (watermarking), identificazioni nei metadati, fingerprint. La scelta non è del tutto libera nel senso che qualsiasi combinazione scelta deve soddisfare dei requisiti qualitativi (robustezza, affidabilità, efficacia, interoperabilità).
Un altro aspetto di rilievo pratico riguarda la catena del valore in quanto i fornitori possono implementare la soluzione di marcatura a livello del modello sottostante, o affidarsi a soluzioni di altri fornitori o terze parti, restando tuttavia responsabili della dimostrazione della conformità.
Informativa per riconoscimento delle emozioni e categorizzazione biometrica (art. 50, par. 3)
In questo caso l’obbligo ricade interamente sul deployer. Le Linee guida non prescrivono uno specifico formato, ma richiedono che le persone esposte siano informate prima o al momento della prima esposizione. Rispetto ai sistemi di riconoscimento delle emozioni occorre ricordare che sono tutti classificati come ad alto rischio, a meno che non siano vietati ai sensi dell’articolo 5, paragrafo 1, lettera f), dell’AI Act nei settori del lavoro e dell’istruzione; pertanto, l’obbligo di trasparenza si aggiunge alle altre garanzie e ai requisiti applicabili ai sistemi di IA ad alto rischio.
La disclosure dei deepfake e dei testi di interesse pubblico (art. 50, par. 4)
Rispetto ai deep fake, le Linee guida forniscono innanzitutto delle indicazioni e degli esempi per comprendere meglio quando si è in presenza di un contenuto che rientri in questa categoria e lo fanno analizzando quattro elementi: (i) somiglianza (ii) esistente (iii) persone, oggetti, luoghi, entità o eventi esistenti che (iv) apparirebbero falsamente autentici o veritieri a una persona.
Rispetto alla “somiglianza”, le Linee guida affermano che “il contenuto non deve necessariamente essere identico al soggetto. La valutazione del fatto che il livello di somiglianza sia apprezzabile è una valutazione caso per caso che deve essere effettuata dal responsabile della diffusione sulla base di un confronto oggettivo tra il soggetto simulato e il contenuto deep fake”; la caratteristica dell'”esistenza” implica che i contenuti di immagini, audio o video generati o manipolati dall’IA dovrebbero assomigliare a soggetti realistici (ad esempio, persone, oggetti, luoghi) e che rappresentazioni che sfidano le leggi della natura o della fisica (come, ad esempio, esseri umani che volano senza ausili meccanici, draghi) sono irrealistici e non sono sottoposti all’obbligo di trasparenza. Il terzo elemento “persone, oggetti, luoghi, entità o eventi esistenti” fa riferimento al fatto che le categorie devono fare riferimento a soggetti o oggetti esistenti (ad esempio, essere umani realistici; oggetti che esistono, come edifici e beni di consumo; le entità includono gli animali e gli eventi possono riguardare ad esempio, eventi storici). Infine, l’ultimo elemento riguarda la caratteristica essenziale dei contenuti deepfake che è quella di poter potenzialmente ingannare o fuorviare una persona riguardo all’autenticità o alla veridicità del contenuto. In estrema sintesi, un video fantascientifico con draghi o elefanti che guidano non è un deep fake mentre un video di un politico che pronuncia un discorso mai tenuto, lo è.
È importante sottolineare che le Linee guida specificano che non si deve tener conto dell’intenzione di chi diffonde il contenuto di ingannare o fuorviare le persone esposte allo stesso. Un elemento che invece è evidenziato in merito alla capacità del contenuto di poter ingannare o fuorviare è la composizione del pubblico esposto al contenuto; infatti, è necessario tenere in considerazione se il contenuto deep fake possa essere visto da bambini, anziani o altri gruppi di persone con livelli inferiori di alfabetizzazione digitale e in materia di IA o di conoscenza generale, poiché essi potrebbero essere più facilmente ingannati o fuorviati riguardo all’autenticità o alla veridicità del contenuto stesso.
Per quanto riguarda i testi pubblicati con lo scopo di informare il pubblico su questioni di interesse pubblico, le Linee guida specificano che per rientrare in tale categoria, il testo dovrebbe essere accessibile a un numero indeterminato e abbastanza ampio di potenziali lettori non collegati tra loro e dovrebbe avere l’intento di comunicare conoscenze, opinioni o fatti (ad esempio, un giornale). Per quanto riguarda la nozione di interesse pubblico, le Linee guida evidenziano alcuni argomenti a titolo di esempio: la pubblica amministrazione e i servizi pubblici, i diritti fondamentali (compresa l’amministrazione della giustizia e l’applicazione della legge), la salute pubblica, la protezione dell’ambiente, la sicurezza dei consumatori e qualsiasi sviluppo economico, politico, scientifico o culturale con implicazioni pubbliche potenzialmente rilevanti.
Come adeguarsi concretamente: le indicazioni operative per le organizzazioni
Alla luce del quadro normativo descritto, ogni organizzazione che utilizzi sistemi di IA che rientrano nelle categorie sopra esposte dovrebbe avviare un percorso di adeguamento strutturato. Di seguito alcune indicazioni pratiche su alcuni aspetti rilevanti da tenere in considerazione.
In primo luogo, è necessario mappare i sistemi di IA in uso e identificare il proprio ruolo (fornitore o deployer). Si ricorda che la stessa organizzazione può sviluppare un chatbot e metterlo in servizio con il proprio nome o marchio (e ricoprire il ruolo fornitore) e al tempo stesso usare uno strumento di generazione testuale per produrre contenuti (nella veste di deployer). Dalla mappatura dipende l’identificazione precisa degli obblighi applicabili.
Un secondo elemento che si dovrebbe considerare è la mappatura delle modalità di comunicazione esistenti dei sistemi già in uso a contatto con gli utenti per verificare il livello di maturità rispetto agli obblighi che diventeranno applicabili.
Inoltre, per quanto riguarda i fornitori di sistemi di IA che generano contenuto, è opportuno altresì avviare la valutazione delle soluzioni tecniche di marcatura per la segnalazione dei contenuti (si ricorda che l’omnibus sull’AI ha specificato che per i sistemi di questo tipo immessi sul mercato prima del 2 agosto 2026, la scadenza per adeguarsi alla normativa è il 2 dicembre 2026). Sul punto, uno strumento utile che può essere tenuto in considerazione è il Code of Practice on marking and labelling of AI-generated content (ancora in bozza) che, pur non essendo vincolante, è un riferimento tecnico molto dettagliato.
Infine, se l’organizzazione utilizza strumenti di IA tra quelli descritti sopra, il personale deve essere formato sugli obblighi di disclosure. In particolare, è importante che anche i soggetti all’interno dell’organizzazione che utilizzano tali soluzioni di IA siano a conoscenza delle casistiche viste sopra e dei relativi obblighi.
Da ultimo, considerato che il quadro normativo e gli strumenti messi a disposizione dalla Commissione sono ancora in bozza, è importante monitorare gli aggiornamenti normativi.
