Dopo dieci giorni di trilogo lampo, mercoledì 7 maggio Parlamento europeo, Consiglio e Commissione hanno chiuso un accordo politico che modifica in modo significativo l'AI Act. Le novità sono due e tirano in direzioni opposte: arriva un divieto totale dei deepfake sessuali non consensuali e delle app di \"nudification\", mentre le regole sui sistemi ad alto rischio — quelle più temute dalle imprese — slittano di un anno. L'accordo fa parte del cosiddetto \"AI Omnibus\", il settimo pacchetto di semplificazione.
Cosa entra in vigore il 2 dicembre 2026
Da quel giorno sarà vietato in tutta l'Unione \"immettere sul mercato, distribuire o utilizzare\" sistemi di intelligenza artificiale finalizzati a produrre deepfake sessuali di persone reali senza il loro consenso e contenuti pedopornografici sintetici. Il divieto si estende ad app, modelli e siti che, in modo prevalente o esclusivo, servono a \"spogliare\" foto: i cosiddetti nudifier, oggi diffusissimi nei marketplace e su Telegram. Secondo i dati citati dal Parlamento, l'80% del materiale generato da queste app riguarda minorenni.
La spinta finale è arrivata dal caso Grok, l'assistente di X di Elon Musk, che a gennaio aveva permesso a un utente di generare immagini sessualmente esplicite della cantante Taylor Swift, scatenando la reazione della Casa Bianca americana. Il Parlamento europeo aveva già adottato la mozione contro i nudifier nel plenaria di Strasburgo del 26 marzo. Le multe per chi viola le nuove norme potranno arrivare al 7% del fatturato globale, in linea con le sanzioni più alte previste per le pratiche vietate dell'AI Act.
L'obbligo di filigrana slitta al 2 dicembre 2026
L'altro pilastro è l'obbligo di marcatura dei contenuti generati dall'IA, contenuto nell'articolo 50 dell'AI Act. Doveva diventare operativo il 2 agosto 2026, ma è stato spostato al 2 dicembre per dare tempo ai fornitori di adeguarsi. Si tratta di watermark visibili o leggibili dalle macchine su immagini, video, audio e testo generati dall'IA. La Commissione ha pubblicato l'8 maggio le bozze delle linee guida per la trasparenza, aperte a consultazione pubblica. Il giorno prima era stato anche presentato il Code of Practice on AI-generated content, un codice di condotta volontario al quale i grandi fornitori (OpenAI, Google, Meta, Anthropic, Stability) sono invitati ad aderire in cambio di trattamento di favore in fase di vigilanza.
Cosa slitta al 2027 (e perché)
La parte più contestata dell'AI Act riguarda i sistemi ad alto rischio: biometria, infrastrutture critiche, scuola, lavoro, servizi essenziali, giustizia, controllo delle frontiere. Per questi sistemi gli obblighi sono pesanti: valutazione di conformità, registro UE, gestione del rischio, sorveglianza umana. Tutto questo doveva entrare in vigore nel 2026 ed è stato spostato al 2 dicembre 2027. La Commissione difende la scelta con due argomenti: gli standard armonizzati del CEN-CENELEC non sono pronti e le PMI hanno bisogno di tempo. Le ong digitali (EDRi, Access Now, Algorithm Watch) parlano invece di vittoria delle lobby tecnologiche: in dodici mesi possono entrare sul mercato migliaia di sistemi che sarebbero stati altrimenti soggetti a controlli stringenti.
La reazione di aziende e ong
Microsoft, Google e Meta — i tre principali fornitori di modelli usati in Europa — hanno salutato il rinvio con un comunicato congiunto come \"un passo verso la prevedibilità regolatoria\". Mistral, che ha la sede a Parigi, è andata oltre chiedendo \"una pausa di almeno due anni\" anche sui modelli di scopo generale. Sul fronte civico, l'eurodeputata Brando Benifei, relatore dell'AI Act, ha difeso il pacchetto: \"Avevamo bisogno di un divieto chiaro sui deepfake sessuali e di un'applicazione coerente delle altre regole. Il resto è dilazione tecnica, non riapertura del compromesso.\"
Cosa devono fare aziende e utenti ora
Le aziende che distribuiscono modelli generativi in UE — anche solo via API — devono pianificare entro fine 2026 due cose: l'aggiornamento del prodotto per inserire filigrana e meccanismi di rifiuto di prompt sessuali su volti riconoscibili senza consenso, e la pubblicazione di una training data summary in formato leggibile dalla macchina, come da regolamento delegato in pubblicazione. Le piattaforme che distribuiscono app dovranno rimuovere entro il 2 dicembre 2026 i nudifier dal proprio store, pena segnalazione alle autorità di vigilanza. Per gli utenti finali la novità più visibile sarà nei mesi successivi: comparirà su molte immagini di social, news e cataloghi e-commerce un piccolo simbolo di \"contenuto generato da IA\". La sanzione contro chi diffonde un deepfake sessuale resta in capo al codice penale di ciascun Paese, ma l'UE rende ora illegale l'infrastruttura che permette di produrli: una differenza giuridica non da poco, perché trasferisce la responsabilità a monte.
L'iter finale e i prossimi passi
L'accordo politico di Strasburgo deve ancora essere formalizzato con voto del Parlamento e adozione del Consiglio. Bruxelles punta a chiudere tutto entro il 2 agosto, esattamente due anni dall'entrata in vigore dell'AI Act. Fra una settimana iniziano i lavori per la legge italiana di adeguamento, mentre il governo Meloni ha già anticipato che recepirà la nuova versione \"con la massima rapidità\". Resta da capire come gli operatori più piccoli — incluse le startup italiane che usano modelli aperti — pianificheranno l'inserimento del watermark e dei filtri anti-deepfake nel proprio ciclo di sviluppo. La maggior parte dei modelli open source oggi non li ha, e l'onere ricadrà su chi li integra a valle.
