Abstract
Il rinvio di alcune scadenze dell’AI Act europeo ha generato un equivoco: l’idea che le imprese possano rimandare ogni valutazione sull’intelligenza artificiale. In realtà, il rinvio riguarda solo una parte degli obblighi, mentre diverse regole sono già operative e l’uso dell’AI nei processi aziendali continua a crescere. Il problema, quindi, non è solo quando entreranno in vigore le prossime scadenze, ma come le aziende stanno già usando sistemi AI oggi.
Il rinvio dell’AI Act cambia qualcosa per chi usa già strumenti AI in azienda?
Le recenti modifiche discusse a livello europeo intervengono soprattutto sul calendario applicativo degli obblighi previsti per i sistemi di intelligenza artificiale classificati “ad alto rischio”, disciplinati dall’art. 6 e dagli Allegati I e III del Regolamento (UE) 2024/1689 (“AI Act”).
Il Regolamento AI è entrato formalmente in vigore il 1° agosto 2024, ma la sua applicazione è stata costruita in modo progressivo.
Le prime disposizioni operative sono scattate il 2 febbraio 2025:
- divieti sulle pratiche di IA considerate inaccettabili previsti dall’art. 5;
- obblighi di alfabetizzazione AI previsti dall’art. 4.
Dal 2 agosto 2025 sono invece applicabili le regole dedicate ai modelli di IA per finalità generali (“GPAI”).
La scadenza più discussa era poi quella del 2 agosto 2026, data originariamente prevista per l’entrata in applicazione degli obblighi relativi ai sistemi AI ad alto rischio dell’Allegato III. Proprio questa parte è stata oggetto del rinvio europeo.
Secondo il nuovo assetto in discussione:
- gli obblighi per i sistemi ad alto rischio dell’Allegato III slitterebbero al 2 dicembre 2027;
- quelli relativi ai sistemi AI integrati nei prodotti regolati dell’Allegato I al 2 agosto 2028.
Il risultato è un quadro che molte imprese stanno sottovalutando: le scadenze più onerose sono state spostate, ma una parte significativa dell’AI Act è già oggi pienamente applicabile.
La mia azienda utilizza sistemi AI ad alto rischio?
Per l’AI Act, un sistema può essere ad alto rischio quando incide su ambiti sensibili come lavoro, sicurezza, istruzione, credito, assicurazioni, accesso a servizi essenziali, profilazione o decisioni rilevanti sulle persone.
Il punto non è quindi chiedersi solo quale tecnologia venga utilizzata, ma che ruolo assume l’AI nel processo aziendale: supporta un’attività umana o contribuisce a valutare, classificare, selezionare, monitorare o decidere?
Questa è la verifica che molte imprese dovrebbero fare prima di concludere che il tema “alto rischio” non le riguardi.
Cosa rischiano oggi le aziende che usano sistemi AI?
Il rinvio discusso a livello europeo riguarda soprattutto alcune scadenze relative ai sistemi AI classificati ad alto rischio, ma non sospende gli obblighi già applicabili né blocca l’evoluzione del quadro normativo nazionale.
Le imprese continuano infatti a confrontarsi con:
- GDPR e disciplina privacy;
- obblighi di sicurezza informatica;
- trasparenza nei processi automatizzati;
- accountability;
- governance dei dati e dei sistemi AI.
Nel frattempo, anche il contesto italiano continua a evolversi parallelamente all’AI Act. La legge n. 132/2025 ha introdotto misure nazionali di coordinamento e vigilanza sull’utilizzo dell’intelligenza artificiale, attribuendo un ruolo centrale all’Agenzia per la Cybersicurezza Nazionale (ACN).
Questo aspetto è particolarmente rilevante per le organizzazioni che utilizzano strumenti di intelligenza artificiale nei processi HR, nelle attività di profilazione, nel marketing, nell’assistenza clienti o nella gestione documentale.
In molti casi, infatti, l’intelligenza artificiale è già entrata stabilmente nei processi aziendali senza policy interne adeguate, senza regole chiare sull’utilizzo dei dati e senza una reale governance organizzativa.
Ed è proprio qui che il rinvio europeo rischia di diventare fuorviante: può alimentare l’idea che il tema possa ancora essere rimandato, mentre l’utilizzo concreto dei sistemi AI continua ad aumentare quotidianamente all’interno delle imprese.
Le imprese devono dichiarare quando utilizzano contenuti generati con AI?
Uno dei temi meno percepiti riguarda gli obblighi di trasparenza sui contenuti generati artificialmente.
L’AI Act prevede specifici obblighi di trasparenza per i sistemi generativi e per i contenuti sintetici, soprattutto quando immagini, video o testi possono indurre gli utenti a ritenere autentico un contenuto creato artificialmente. In questo contesto si inserisce il tema del watermarking, cioè dell’identificazione dei contenuti generati tramite AI.
Secondo il calendario attualmente discusso a livello europeo, gli obblighi sul watermarking dovrebbero diventare applicabili dal 2 dicembre 2026, dopo un primo rinvio rispetto alla scadenza originaria del 2 agosto 2026.
Il tema riguarda direttamente anche le imprese che utilizzano strumenti generativi nelle attività quotidiane: contenuti marketing, newsletter, chatbot, customer care, contenuti social, immagini promozionali o automazioni documentali possono infatti rientrare negli obblighi di trasparenza previsti dal nuovo quadro europeo.
In questo contesto, appare necessario adottare informative, disclaimer o altre misure idonee a rendere chiaramente edotti utenti e destinatari del fatto che determinati contenuti, interazioni o materiali siano stati generati – integralmente o parzialmente – tramite sistemi di intelligenza artificiale.
Anche il tema dell’alfabetizzazione AI resta centrale, ma va letto con attenzione. L’art. 4 dell’AI Act ha introdotto un principio di consapevolezza sull’utilizzo dei sistemi di intelligenza artificiale, chiedendo che chi sviluppa o utilizza sistemi AI disponga di competenze adeguate rispetto ai rischi, ai limiti e al corretto impiego di tali strumenti. Tuttavia, proprio questo obbligo è stato oggetto di discussione nell’ambito del pacchetto Digital Omnibus, che mira a semplificare alcuni adempimenti e a rendere più proporzionata l’attuazione del regolamento.
Per questo motivo, più che presentare la formazione AI come un adempimento rigido e già definitivamente stabilizzato in ogni suo dettaglio, è preferibile leggerla come un tassello della governance aziendale dell’intelligenza artificiale. Anche in un quadro normativo ancora in evoluzione, le imprese che utilizzano sistemi AI nei propri processi dovrebbero essere in grado di dimostrare di aver adottato misure ragionevoli per evitare utilizzi inconsapevoli, impropri o non controllati.
In altre parole, il punto non è trasformare dipendenti e collaboratori in esperti tecnici di intelligenza artificiale, ma assicurare un livello minimo di consapevolezza organizzativa: sapere quali strumenti vengono utilizzati, per quali finalità, con quali dati, con quali limiti e con quale supervisione umana.
Cosa dovrebbero fare oggi le imprese invece di “aspettare”?
Il rinvio europeo può rappresentare un’opportunità utile, ma solo per le imprese che utilizzeranno questo tempo per capire come l’intelligenza artificiale è già entrata nei propri processi.
Aspettare, invece, rischia di produrre l’effetto opposto.
Più passa il tempo, più i sistemi AI vengono integrati nelle attività aziendali, nei flussi documentali, nei processi decisionali, nelle attività commerciali e nella gestione dei dati. Quando il quadro normativo entrerà pienamente a regime, molte organizzazioni potrebbero trovarsi nella condizione di dover ricostruire retroattivamente anni di utilizzo non governato.
Per questo motivo, il vero vantaggio competitivo oggi non consiste nel “fare compliance” in senso meramente burocratico, ma nel costruire un approccio ordinato, consapevole e documentabile all’utilizzo dell’intelligenza artificiale.
Per molte imprese, il punto di partenza non è necessariamente complesso. Prima ancora di adottare modelli organizzativi articolati, occorre comprendere quali sistemi AI vengono utilizzati, per quali finalità, con quali dati, da quali funzioni aziendali e con quale livello di controllo umano.
Questa prima mappatura consente di distinguere gli utilizzi meramente ausiliari da quelli più delicati, ad esempio quando l’intelligenza artificiale interviene in processi che incidono su lavoratori, clienti, utenti, accesso a servizi, profilazione, valutazioni o decisioni rilevanti.
Solo dopo questa analisi diventa possibile definire policy interne, regole sull’utilizzo dei dati, procedure di controllo, misure di trasparenza e percorsi di formazione proporzionati al reale livello di rischio.
Il messaggio che emerge dal nuovo calendario europeo, quindi, non è che le imprese possano ignorare il tema AI fino alle prossime scadenze. Al contrario, il tempo supplementare dovrebbe essere utilizzato per evitare che l’adozione dell’intelligenza artificiale continui a crescere senza governance, senza tracciabilità e senza una chiara attribuzione di responsabilità.
In definitiva, per molte aziende il problema non sarà soltanto adeguarsi all’AI Act quando tutte le regole saranno pienamente operative. Il vero rischio sarà scoprire troppo tardi che l’intelligenza artificiale era già parte dei processi aziendali, ma senza controlli, senza policy e senza una strategia giuridica e organizzativa adeguata.
Revisionato da: Arlo Canella
Data di pubblicazione: 27 Maggio 2026
© Canella Camaiora S.t.A. S.r.l. - Tutti i diritti riservati.
È consentita la riproduzione testuale dell’articolo, anche a fini commerciali, nei limiti del 15% della sua totalità a condizione che venga indicata chiaramente la fonte. In caso di riproduzione online, deve essere inserito un link all’articolo originale. La riproduzione o la parafrasi non autorizzata e senza indicazione della fonte sarà perseguita legalmente.
Margherita Manca
Avvocato presso lo Studio Legale Canella Camaiora, iscritta all’Ordine degli Avvocati di Milano, si occupa di diritto industriale.