Dal 2 agosto 2026 l'Unione europea smette di limitarsi a chiedere e inizia a poter punire. È la data in cui entrano in applicazione i poteri di vigilanza ed esecuzione della Commissione sui fornitori di modelli di IA per finalità generali (i cosiddetti GPAI): GPT di OpenAI, Claude di Anthropic, Gemini di Google e gli altri grandi modelli su cui si regge l'attuale ondata di prodotti.
Per le aziende italiane ed europee che costruiscono servizi su questi modelli, e per gli stessi laboratori, si chiude un anno di "rodaggio" e si apre la fase in cui le regole hanno denti.
Cosa cambia esattamente il 2 agosto
Gli obblighi per i fornitori di modelli GPAI sono formalmente in vigore dal 2 agosto 2025, ma fino a oggi mancavano i poteri di controllo. Da quest'estate l'AI Office europeo potrà richiedere documentazione tecnica, condurre valutazioni indipendenti, chiedere l'accesso al modello e imporre misure correttive. In caso di violazioni gravi sono previste sanzioni che, per i modelli GPAI, possono arrivare fino al 3% del fatturato mondiale annuo o 15 milioni di euro, a seconda di quale importo sia maggiore.
Gli obblighi base riguardano la trasparenza (documentazione tecnica, informazioni per chi integra il modello), una policy sul rispetto del copyright e la pubblicazione di un riassunto sufficientemente dettagliato dei dati usati per l'addestramento. Per i modelli con "rischio sistemico" — quelli più potenti, sopra una certa soglia di capacità di calcolo — si aggiungono valutazioni dei rischi, test avversariali, segnalazione degli incidenti gravi e misure di cybersicurezza.
Il codice di condotta come scorciatoia
La Commissione ha previsto un'uscita pragmatica: i fornitori che aderiscono a un codice di condotta giudicato adeguato vedranno l'attività di vigilanza concentrarsi sul rispetto del codice stesso, beneficiando di "maggiore fiducia". È il meccanismo che molti grandi laboratori hanno già scelto per dimostrare buona fede e ridurre l'incertezza. Chi non aderisce dovrà invece dimostrare la conformità con altri mezzi, esponendosi a controlli più invasivi.
Le linee guida pubblicate dalla Commissione chiariscono anche chi è considerato "fornitore" di un modello GPAI: non solo chi lo addestra da zero, ma in certi casi anche chi lo modifica in modo sostanziale, ad esempio con un fine-tuning rilevante. È un punto delicato per le aziende europee che personalizzano modelli open: in alcuni scenari potrebbero ereditare obblighi di trasparenza.
Il Digital Omnibus rinvia l'alto rischio al 2027
Mentre la stretta sui modelli avanza, su un altro fronte l'UE ha tirato il freno. Con il pacchetto noto come Digital Omnibus, Consiglio e Parlamento hanno concordato di spostare in avanti alcuni obblighi per i sistemi di IA classificati ad "alto rischio" — quelli usati ad esempio in selezione del personale, credito, istruzione o servizi pubblici essenziali — facendo slittare diverse scadenze dal 2 agosto 2026 verso il 2027. La motivazione ufficiale è dare a imprese e amministrazioni più tempo per adeguarsi, in attesa di standard tecnici e linee guida ancora in fase di definizione.
Il combinato disposto è chiaro: l'Europa accelera sulla responsabilità dei grandi fornitori di modelli e concede invece più respiro a chi quei sistemi li adotta nei settori critici. È una scelta di priorità che riflette le pressioni dell'industria, preoccupata di non perdere terreno rispetto a Stati Uniti e Cina.
Cosa devono fare adesso aziende e PA italiane
Per chi sviluppa o integra IA in Italia, l'estate 2026 è il momento di mettere ordine. Tre azioni concrete: mappare quali modelli si usano e in quale ruolo (fornitore, integratore, semplice utilizzatore); verificare se i fornitori scelti hanno aderito al codice di condotta e pubblicato la documentazione richiesta; predisporre la propria documentazione per i casi d'uso ad alto rischio, sfruttando il tempo guadagnato con il rinvio senza considerarlo un liberi tutti.
L'AI Act resta il primo grande tentativo al mondo di regolare l'IA in modo orizzontale. Dal 2 agosto si capirà quanto la Commissione intenda usare i nuovi poteri: con quale rigore, e contro chi, partirà la fase di vigilanza vera e propria.
