C'e' una data che i responsabili legali dei laboratori di intelligenza artificiale hanno cerchiata in rosso: 2 agosto 2026. Da quel giorno la Commissione europea potra' esercitare i poteri di applicazione previsti dall'AI Act nei confronti dei fornitori di modelli di IA per finalita' generali, i cosiddetti GPAI (general-purpose AI). Non piu' solo regole sulla carta, ma richieste formali di informazioni, accesso ai modelli e — nei casi piu' gravi — sanzioni economiche. Manca poco piu' di un mese.
Cosa cambia concretamente il 2 agosto
Fino ad ora gli obblighi per i modelli GPAI, entrati in vigore ad agosto 2025, vivevano in una fase di adeguamento senza sanzioni effettive. Dal 2 agosto 2026, come chiarisce l'analisi sull'enforcement del Capo V, la Commissione — attraverso l'AI Office — potra' agire con strumenti concreti: richieste di informazioni ai fornitori, accesso ai modelli per condurre valutazioni, e la possibilita' di imporre misure fino al ritiro o richiamo di un modello dal mercato europeo.
La leva piu' pesante e' economica. Per i modelli GPAI, la violazione degli obblighi puo' comportare sanzioni pari al maggiore tra 15 milioni di euro e il 3% del fatturato annuo globale dell'azienda. Per i colossi da centinaia di miliardi di ricavi, il 3% e' una cifra a molti zeri: e' il vero deterrente.
Quali obblighi devono rispettare i fornitori
Gli obblighi ruotano attorno a tre aree, le stesse su cui e' costruito il Codice di condotta per i GPAI pubblicato dalla Commissione. La prima e' la trasparenza: documentazione tecnica del modello, informazioni per chi lo integra a valle, sintesi dei dati usati per l'addestramento. La seconda e' il diritto d'autore: i fornitori devono adottare una politica per rispettare le riserve dei titolari dei diritti e non addestrare i modelli su contenuti protetti in violazione delle norme UE. La terza, riservata ai modelli piu' potenti considerati a "rischio sistemico", riguarda sicurezza e cybersicurezza: valutazione dei rischi, test avversariali, segnalazione degli incidenti gravi.
Il ruolo del Codice di condotta e le scadenze diverse
Il Codice di condotta e' volontario, ma chi lo firma ottiene un vantaggio pratico: la Commissione concentrera' la vigilanza sul rispetto del Codice stesso, offrendo maggiore certezza e considerando l'adesione come attenuante nel calcolo di eventuali multe. Chi non aderisce dovra' invece dimostrare la conformita' agli articoli dell'AI Act per altre vie, con un onere probatorio piu' pesante.
Attenzione alle tempistiche, che non sono uguali per tutti. I modelli immessi sul mercato dopo il 2 agosto 2025 devono essere conformi da subito e ricadono nell'enforcement di agosto 2026. Quelli gia' sul mercato prima di quella data godono di un periodo di grazia esteso e dovranno adeguarsi entro il 2 agosto 2027. E' una distinzione che decide chi rischia le sanzioni gia' da quest'estate.
Cosa significa per aziende e utenti in Italia
L'impatto non riguarda solo i grandi laboratori americani e cinesi. Qualsiasi azienda europea — comprese quelle italiane — che immetta sul mercato un modello di IA per finalita' generali, o che ne integri uno costruendoci sopra un prodotto, deve verificare la propria posizione nella catena degli obblighi. Per le imprese che semplicemente usano l'IA, l'effetto sara' indiretto ma reale: i fornitori dovranno fornire piu' documentazione e garanzie, il che si tradurra' in contratti piu' dettagliati e, in alcuni casi, in costi piu' alti.
Il 2 agosto 2026 e' quindi molto piu' di una scadenza burocratica: e' il momento in cui l'Europa mette alla prova la propria scommessa, essere il primo grande mercato al mondo a regolare l'IA con sanzioni reali. Nei prossimi mesi si capira' se le big tech tratteranno le multe come un rischio da evitare o come un costo da mettere a bilancio.




