Il 2 agosto 2025 entra in vigore una nuova tranche di norme dell’AI Act europeo. Ma tra obblighi che colpiscono soprattutto i grandi fornitori di modelli, incertezza per chi li utilizza e sanzioni rinviate di un anno, il messaggio per le imprese italiane è chiaro: calma, prepararsi sì, panico no. Vediamo cosa cambia e cosa no.
Chi deve davvero preoccuparsi del 2 agosto
L’AI Act è la prima legge europea sull’intelligenza artificiale e, dopo il giro di vite su pratiche vietate introdotto a febbraio 2025, il 2 agosto scatta un nuovo pacchetto di regole che riguarda principalmente i modelli di AI di uso generale, cioè quelli alla base di applicazioni multiple come ChatGPT, LLaMA o Mistral. Entrano inoltre in vigore le norme sui sistemi ad alto rischio e la nuova governance europea per coordinare il controllo sull’uso dell’AI. Le sanzioni previste, tuttavia, saranno effettive solo dal 2026 e in Italia manca ancora l’autorità nazionale che dovrà vigilare sull’applicazione della legge, probabilmente l’Agenzia per l’Italia Digitale. In sostanza, la scadenza del 2 agosto riguarda soprattutto i fornitori di modelli, cioè le big tech che li sviluppano e li immettono sul mercato, mentre le aziende italiane sono coinvolte solo in modo indiretto.
Le PMI italiane tra compliance impossibile e dipendenza dai big
Molte piccole e medie imprese italiane stanno sperimentando modelli open source come LLaMA o DeepSeek per offrire soluzioni su misura ai propri clienti. Se però il modello di base non rispetta i nuovi requisiti dell’AI Act, queste aziende non hanno strumenti per intervenire. Il mercato è dominato da pochi attori internazionali che non sempre si affrettano ad allinearsi alle richieste UE, lasciando le PMI senza possibilità di garantire piena conformità ai propri clienti. L’uso di modelli non conformi non comporta sanzioni immediate: l’articolo 101, che introduce le multe per i fornitori di modelli GPAI non compliant, sarà applicabile solo da agosto 2026. Fino ad allora, la normativa resta priva di “denti” per i casi di mancata conformità dei grandi provider.
Obblighi concreti dal 2 agosto
I fornitori di modelli GPAI dovranno fornire documentazione tecnica chiara sull’architettura, sui dati di addestramento e sulle capacità del modello. Dovranno anche pubblicare un riepilogo dei dataset utilizzati senza violare segreti industriali, adottare misure per rispettare il diritto d’autore facilitando l’identificazione di contenuti protetti e, per i modelli considerati ad alto impatto, effettuare valutazioni preventive dei rischi, attivare un monitoraggio continuo, sottoporsi ad audit indipendenti e riportare eventuali incidenti gravi. Le aziende che usano questi modelli non hanno obblighi diretti, ma la Commissione Europea raccomanda comunque di predisporre informative interne ed esterne indicando quale modello viene utilizzato, quali personalizzazioni sono state fatte e quali cautele sono state adottate, oltre a seguire le buone pratiche pubblicate a luglio 2025.
Un regolamento che rincorre la tecnologia
Il paragone con il GDPR è inevitabile. Quando il regolamento sulla privacy entrò in vigore, aveva già un impatto tangibile grazie a sanzioni immediate e a un sistema di vigilanza operativo. L’AI Act, invece, procede più lentamente: l’Europa non ha grandi player in grado di trainare l’applicazione della legge, mentre Stati Uniti e Cina continuano a dettare le regole di fatto sul mercato globale. Il risultato è un quadro normativo che rincorre la tecnologia, in cui la data del 2 agosto rischia di essere più un segnale politico che un vero spartiacque operativo per le aziende.
Cosa fare in pratica
Per le imprese italiane il consiglio degli esperti è semplice. Niente panico, perché non esistono sanzioni immediate per chi usa modelli non conformi. È opportuno concentrarsi sulla trasparenza e sulla tracciabilità delle soluzioni adottate, preparando informative su modello, addestramento e personalizzazioni. È importante monitorare costantemente le nuove linee guida UE che definiranno meglio ruoli e responsabilità di deployer, importatori e distributori, e valutare fornitori che dichiarano la conformità all’AI Act non appena disponibili. Il 2 agosto non è il “GDPR-day” dell’intelligenza artificiale, ma l’inizio di un percorso di adeguamento che avrà effetti concreti solo tra un anno. Le aziende italiane devono prepararsi senza farsi travolgere da allarmismi: la vera sfida inizierà quando l’AI Act avrà finalmente strumenti per essere applicato in modo incisivo.
FAQ – AI Act e aziende italiane
Dal 2 agosto 2025 le aziende italiane devono adeguarsi subito all’AI Act?
No, gli obblighi diretti riguardano solo i fornitori di modelli di AI general purpose. Le imprese che li utilizzano sono toccate solo indirettamente e senza sanzioni immediate.
Cosa rischiano le aziende che usano modelli non conformi all’AI Act?
Fino ad agosto 2026 non sono previste multe specifiche. Le sanzioni già in vigore riguardano solo usi scorretti o pratiche proibite di intelligenza artificiale.
Cosa conviene fare nell’attesa delle norme definitive?
Preparare informative chiare sul modello di AI utilizzato, sulle personalizzazioni effettuate e sulle cautele adottate. Seguire le linee guida UE pubblicate nel 2025.
L’AI Act avrà effetti concreti sulle PMI italiane?
Sì, ma solo a cascata, quando i fornitori di modelli si adegueranno e quando saranno operative le sanzioni e le autorità di vigilanza nazionali, previste per il 2026.
