Dal 2 agosto 2026 l'AI Act europeo smette di essere un elenco di obblighi senza conseguenze immediate e diventa una legge con i denti. Da quella data la Commissione europea, attraverso il suo AI Office, acquisisce i poteri di vigilanza e sanzione sui modelli di intelligenza artificiale per finalità generale (i cosiddetti GPAI, come GPT, Claude, Gemini o Llama). Chi non rispetta le regole rischia multe fino al 3% del fatturato annuo mondiale o 15 milioni di euro, a seconda di quale importo sia maggiore.
Quali obblighi scattano per i modelli general purpose
I fornitori di modelli GPAI devono ora rispettare una serie di adempimenti concreti: predisporre e tenere aggiornata la documentazione tecnica del modello, pubblicare una sintesi sufficientemente dettagliata dei dati usati per l'addestramento, mettere in atto una politica di rispetto del diritto d'autore e fornire informazioni ai fornitori a valle che integrano il modello nei propri prodotti. Per i modelli considerati a rischio sistemico — quelli più potenti, addestrati con enormi quantità di calcolo — gli obblighi si fanno più stringenti: valutazione e mitigazione dei rischi, test antagonisti, segnalazione degli incidenti gravi e misure di cybersicurezza.
Per aiutare le aziende a orientarsi, l'AI Office ha promosso un Codice di buone pratiche per i modelli generali, e il 10 giugno 2026 ha pubblicato la versione definitiva del Codice sulla trasparenza dei contenuti generati dall'IA, dedicato all'etichettatura e alla marcatura dei materiali sintetici. Aderire ai codici non è obbligatorio, ma offre ai fornitori una presunzione di conformità che riduce il rischio di sanzioni.
Le mosse della Commissione a luglio
La settimana precedente all'entrata in vigore dei poteri sanzionatori è stata densa di atti. Il 7 luglio la Commissione ha adottato un Piano d'azione su cybersicurezza e intelligenza artificiale, che collega esplicitamente la sicurezza informatica europea allo sviluppo dei modelli di frontiera. Il 9 luglio ha emesso un parere sulla valutazione del Codice sulla trasparenza dei contenuti generati dall'IA. Sono segnali di un apparato regolatorio che si sta attrezzando per far rispettare le nuove regole, non solo per scriverle.
Cosa cambia in concreto per aziende e sviluppatori
Per chi sviluppa modelli generali, il 2 agosto segna il momento in cui la conformità diventa una questione operativa e non più teorica: servono documentazione pronta, policy sul copyright e, per i modelli a rischio sistemico, processi di valutazione dei rischi verificabili. Per le imprese che integrano modelli di terze parti nei propri prodotti — la maggioranza del tessuto industriale europeo, Italia compresa — l'effetto è indiretto ma reale: dovranno pretendere dai fornitori le informazioni necessarie a costruire sistemi conformi, soprattutto se rientrano nelle categorie ad alto rischio previste dal regolamento.
Restano nodi aperti. Le associazioni industriali chiedono da mesi tempi di adeguamento più lunghi e criticano la sovrapposizione tra AI Act, GDPR e le normative settoriali. La Commissione, dal canto suo, ha già lasciato intendere che nei primi mesi l'applicazione sarà orientata più al dialogo e alla correzione che alla sanzione immediata. Ma il quadro giuridico è ormai operativo: l'Europa è la prima grande area economica al mondo a dotarsi di regole vincolanti e sanzionabili sui modelli di intelligenza artificiale generali.
Le date e le soglie sanzionatorie sono tratte dal testo dell'AI Act e dalle comunicazioni ufficiali della Commissione europea, aggiornate al 10 luglio 2026.




