AI Act: cosa è cambiato negli ultimi 6 mesi
Da agosto 2025 a marzo 2026: le scadenze entrate in vigore, le linee guida pubblicate dal Garante, le prime sanzioni e cosa resta da implementare entro il 2 agosto 2026.
L'AI Act è in fase di attuazione progressiva: tra agosto 2025 e oggi (aprile 2026) sono entrate in vigore una parte delle norme, mentre altre arriveranno nei prossimi mesi. Per chi gestisce compliance in azienda è importante avere un riepilogo aggiornato.
In questo articolo: le 5 cose principali successe negli ultimi 6 mesi, e le 2 scadenze cruciali del prossimo trimestre.
TL;DR
- Agosto 2025: in vigore i divieti totali (sistemi AI vietati: scoring sociale, manipolazione subliminale, riconoscimento biometrico in tempo reale in luoghi pubblici).
- Febbraio 2026: il Garante Privacy italiano ha pubblicato la prima linea guida operativa sull'incrocio tra AI Act e GDPR.
- Marzo 2026: prima decisione amministrativa italiana che cita l'art. 4 in un caso di data breach, con responsabilità accresciuta dell'azienda per mancata formazione del personale.
- 2 agosto 2026 (prossima scadenza chiave): entrano in vigore le norme su modelli AI di uso generale (GPAI) e il regime sanzionatorio completo.
- 2 agosto 2027: piena applicabilità del regolamento per i sistemi ad alto rischio.
1. I divieti assoluti sono attivi (dal 2 agosto 2025)
Da agosto 2025 sono vietati in tutta l'Unione Europea:
- Sistemi AI di scoring sociale generalizzato (in stile cinese).
- Sistemi che usano tecniche subliminali manipolative per influenzare il comportamento delle persone.
- Riconoscimento biometrico in tempo reale in spazi pubblici (con eccezioni molto strette per forze dell'ordine).
- Categorizzazione biometrica basata su dati sensibili (orientamento sessuale, religione, etc.).
- Predizione di comportamenti criminali basata solo su tratti della personalità.
- Scraping non mirato di volti da internet o telecamere per costruire database di riconoscimento.
Per la maggior parte delle PMI italiane queste norme non si applicano direttamente (nessuno fa scoring sociale o manipolazione subliminale di massa). Ma vale la pena verificare: se in azienda esiste qualunque sistema AI che incrocia dati biometrici o personalità, oggi serve ricontrollarlo.
2. Linee guida del Garante Privacy (febbraio 2026)
Il Garante per la Protezione dei Dati Personali ha pubblicato a febbraio 2026 la prima linea guida sostanziale sull'incrocio tra AI Act e GDPR. I punti più rilevanti per le PMI:
- Base giuridica per uso AI: l'azienda deve indicare nella propria informativa privacy se e come usa l'AI per trattare dati personali. Il consenso non è sempre obbligatorio (esistono altre basi giuridiche), ma la trasparenza sì.
- Decisioni automatizzate: se l'AI prende decisioni che hanno effetti significativi sulle persone (es. screening CV, valutazione credito, prezzo dinamico personalizzato), serve possibilità di intervento umano e diritto di contestazione.
- Trasferimento dati extra-UE: usare strumenti AI hostati fuori UE (es. ChatGPT, Claude account standard) richiede valutazione di adeguatezza. Tool con server europei (Copilot M365 in determinati piani, Mistral, Aleph Alpha) sono più semplici da giustificare.
Le linee guida del Garante non hanno forza di legge ma sono il riferimento che gli ispettori useranno in caso di controllo. Vale la pena allineare la propria privacy policy.
3. Prima decisione che cita l'art. 4 (marzo 2026)
A marzo 2026 una società italiana del settore servizi professionali è stata sanzionata per un data breach: un dipendente aveva incollato un elenco di clienti in ChatGPT account personale per "farsi aiutare a scrivere un'email". L'episodio ha esposto 2.300 record di clienti.
Nella valutazione di responsabilità, l'autorità ha citato esplicitamente l'art. 4 dell'AI Act come elemento aggravante: l'azienda non aveva fornito formazione documentata, né una policy interna scritta sull'uso dell'AI. La sanzione è stata aumentata di circa il 30% rispetto al baseline GDPR per "carenza dell'obbligo di alfabetizzazione".
È il primo caso italiano in cui l'art. 4 entra concretamente in una sanzione. Non sarà l'ultimo. Per chi non ha ancora attivato un percorso formativo documentato, questo segnale dovrebbe pesare.
4. Codice di condotta GPAI (in arrivo)
I modelli AI di uso generale (GPAI) — GPT, Claude, Gemini, Llama, Mistral grandi — saranno regolati a partire dal 2 agosto 2026. La Commissione Europea sta finalizzando il Codice di Condotta GPAI, che i fornitori dei modelli devono firmare per dimostrare conformità.
Il codice copre:
- Trasparenza sui dati di addestramento (almeno aggregata).
- Misure di mitigazione del rischio sistemico.
- Cooperazione con AI Office (la nuova autorità europea AI).
Per le PMI italiane questo è rilevante indirettamente: significa che i tool che usate (ChatGPT, Copilot, Claude) saranno più trasparenti e conformi, e che usarli sarà più facile da giustificare nei vostri processi di compliance interni.
5. AI Office e cooperazione UE-Italia
L'AI Office europeo, istituito presso la Commissione, è oggi pienamente operativo (sede a Bruxelles, ~150 persone). In Italia il punto di contatto è l'Agenzia per l'Italia Digitale (AgID), che cura i rapporti tra autorità italiane (Garante, Consob, Banca d'Italia, AGCOM) e l'AI Office europeo.
Per le PMI questo significa: se subite un controllo o avete un dubbio, il primo punto di riferimento è l'autorità italiana competente per il vostro settore (es. Garante per privacy, Consob per finanza). L'AI Office europeo interviene solo per casi sistemici o che riguardano i grandi provider GPAI.
Le 2 scadenze chiave dei prossimi mesi
2 agosto 2026 — entrano in vigore:
- Regime sanzionatorio completo (fino a 35 milioni di euro o 7% del fatturato globale per le violazioni più gravi, fino a 15 milioni o 3% per le altre).
- Norme su modelli GPAI e fornitori grandi.
- Obblighi di trasparenza per AI generativa (es. obbligo di etichettare i contenuti AI).
2 agosto 2027 — entra in vigore:
- Piena applicabilità del regolamento per i sistemi ad alto rischio (quelli usati per: assunzioni, accesso al credito, gestione di infrastrutture critiche, esami scolastici, assistenza sanitaria automatizzata).
Per le PMI italiane: se non avete sistemi ad alto rischio (e la maggior parte non ne ha), la scadenza che pesa davvero è agosto 2026. Da quel momento le sanzioni sono operative al 100%.
Cosa fare nel prossimo trimestre
Se non hai ancora chiuso questi punti, hanno priorità:
- Mappa interna: chi usa AI in azienda, con quali tool, su quali dati.
- Policy AI in 1 pagina (guida pratica).
- Formazione documentata con attestati individuali per ogni dipendente che usa AI direttamente o indirettamente.
- Aggiornamento privacy policy in linea con le linee guida del Garante febbraio 2026.
Sono 4 punti, fattibili in 6-8 settimane se ti muovi adesso.
Vuoi un aggiornamento mensile su novità AI Act?
AI Talk è la sessione live mensile di IA in Azienda con le novità AI per decision maker: nuovi strumenti, normative, case study, Q&A. Prima sessione gratuita.