AI Act 2026: 100 giorni alle sanzioni, il ritardo italiano

Scopri anche

• 360 Digital Security: l'IA scopre quasi 1.000 bug zero-day, sfida Anthropic
• Malware Lotus wiper: analisi della minaccia cyber in Venezuela
• Pack2TheRoot: vulnerabilità critica Linux root senza password
• CISA senza fondi: sito non gestito tra avvisi critici su Cina e Iran
• Privacy, multa da 12,5 milioni a Poste: le app spiavano tutto
• Verifica biometrica Tinder: impatto privacy e analisi del sistema World
• CISA: sito inattivo per funding lapse, pubblicato report AR26-113a su FIRESTARTER
• Cyberattacco ANTS: violazione dati in Francia, 19 milioni a rischio
• Meta e riconoscimento facciale: 77 organizzazioni lanciano l'allarme
• CISA blocca il sito per mancati fondi: paradosso cyber USA
• DeepL Voice-to-Voice: traduzione vocale in tempo reale per le aziende
• Minacce cyber Iran: gli USA ridimensionano il rischio 'shock and awe'
• Come riconoscere le menzogne: tecniche psicologiche e segnali comportamentali
• Anthropic Mythos e il dibattito sulla sicurezza informatica: capacità, rischi e scetticismo
• Fast16: scoperto malware pre-Stuxnet che riscrive la storia del cyber-sabotaggio
• Future Stars of Wrestling: la promozione di Las Vegas tra passato e presente
• Cerebras quota a Nasdaq con valutazione da 35 miliardi: la sfida per il mercato dei chip AI inference
• CISA KEV aprile 2026: 12 vulnerabilità in una settimana, allarme ransomware
• L'impatto dell'IA sul mondo del lavoro nel 2026: produttività, automazione e nuove competenze
• Mythos e la Casa Bianca: quando la cybersecurity diventa questione di sicurezza nazionale

AI Act 2026: 100 giorni alle sanzioni, il ritardo italiano

Nelle uffici compliance delle aziende italiane manca un elemento essenziale: l'inventario completo dei sistemi di intelligenza artificiale da certificare. Con il 2 agosto 2026 che segna l'ingresso nel vivo del Regolamento europeo 2024/1689, il countdown di 100 giorni si è tramutato in un allarme concreto per un tessuto imprenditoriale che fatica a metabolizzare il cambio di passo normativo.

Il Regolamento AI Act, adottato il 13 giugno 2024 e pubblicato nella Gazzetta Ufficiale dell'Unione Europea il 12 luglio successivo, è entrato in vigore il 1° agosto 2024 con un'applicazione scaglionata. Dopo le prime scadenze intermedie — pratiche vietate e alfabetizzazione dal 2 febbraio 2025, modelli GPAI dal 2 agosto 2025 — il 2 agosto 2026 rappresenta il momento in cui scattano gli obblighi stringenti per i sistemi ad alto rischio e, soprattutto, il regime sanzionatorio completo.

Il ritardo strutturale nella compliance

La fotografia scattata a 100 giorni dalla scadenza rivela un quadro preoccupante. Molti uffici compliance italiani non dispongono ancora dell'elenco dei sistemi AI da certificare. Non si tratta di una semplice dimenticanza burocratica: senza un inventario dei sistemi in uso, senza la classificazione del rischio associata a ciascuno, senza un Fundamental Rights Impact Assessment integrato con la DPIA del GDPR, le aziende si trovano di fronte a un gap procedurale che non può essere colmato in corsa.

"Chi arriva al 2026 senza inventario, senza classificazione del rischio, senza un Fundamental Rights Impact Assessment integrato con la DPIA del GDPR, non ha più il tempo di costruirseli in corso d'opera. Non è una valutazione catastrofista, è aritmetica." L'analisi è netta: i tempi tecnici richiesti per la conformità non sono compatibili con un approccio dell'ultimo minuto.

La situazione è aggravata dalla complessità normativa introdotta dal D.lgs. 132/2025, che ha reso operativo nel sistema italiano il quadro di regole europee sull'intelligenza artificiale. La legge nazionale — spesso indicata come "AI Act italiano" — integra il Regolamento europeo e designa l'Agenzia per la Cybersicurezza Nazionale come autorità di riferimento, ma non sostituisce gli obblighi comunitari.

Le sanzioni: fino al 7% del fatturato globale

Il regime sanzionatorio previsto dall'AI Act è tra i più severi mai introdotti dall'Unione Europea per violazioni normative nel settore tecnologico. Le multe possono arrivare fino a 35 milioni di euro o, in alternativa, fino al 7% del fatturato globale annuo dell'organizzazione che ha commesso la violazione. Una scala che colloca l'AI Act su livelli punitivi paragonabili a quelli del GDPR, ma con un'esposizione finanziaria potenzialmente superiore per le grandi aziende.

Le implicazioni non sono solo economiche. Le organizzazioni che non si conformano entro la scadenza espongono la propria reputazione a rischi significativi in un mercato dove fornitori e utenti sono ormai molto sensibili ai temi della governance dell'intelligenza artificiale. Al contrario, chi riesce a conformarsi anticipatamente può trasformare la compliance in un elemento differenziante sul mercato.

Il 2 agosto 2026 non segna solo l'entrata in vigore delle sanzioni: ogni Stato membro dell'UE dovrà aver istituito almeno un AI Sandbox nazionale, ambiente controllato per testare sistemi AI in condizioni supervisionate. Per le 27 nazioni dell'Unione, la data rappresenta un doppio termine: adeguamento interno e messa a disposizione di infrastrutture di test.

Cosa cambia concretamente il 2 agosto 2026

La data segna l'obbligo integrale per i sistemi AI classificati ad alto rischio, gli obblighi di trasparenza e tutta la governance documentale associata. Fanno eccezione solo taluni requisiti molto specifici, come quelli aggiuntivi per sistemi AI collegati a prodotti regolamentati, il cui regime si estenderà il 2 agosto 2027.

Per la maggior parte dei sistemi ad alto rischio, tuttavia, non esistono proroghe: dal 2 agosto 2026 l'ecosistema AI europeo opererà sotto il nuovo regime di compliance. I sistemi a rischio limitato — come i chatbot e i generatori di contenuti — devono già informare l'utente che sta interagendo con un sistema automatizzato, ma l'onere principale grava sulle applicazioni critiche.

"Dovrebbe esserci un calendario appeso alla parete dell'ufficio con un cerchio rosso intorno al 2 agosto 2026." L'immagine riassume l'atteggiamento che le imprese dovrebbero aver adottato già da tempo. I cento giorni residui non sono un intervallo per iniziare la compliance, ma per completare un percorso che avrebbe dovuto essere avviato molto prima.

Lo stato dell'arte a tre mesi dalla scadenza

Le imprese italiane si trovano a gestire un passaggio che richiede competenze trasversali: dalla tecnologia al diritto, dalla cybersecurity alla gestione dei dati. L'assenza di un inventario dei sistemi AI non è un problema isolato, ma sintomo di una difficoltà strutturale nel mappare le intelligenze artificiali già operative all'interno delle organizzazioni. Strumenti che spesso sono stati adottati in modo dispersivo, senza una governance centrale.

Il Fundamental Rights Impact Assessment — la valutazione d'impatto sui diritti fondamentali che deve integrarsi con la DPIA del GDPR — rappresenta uno dei punti critici. Non si tratta di compilare un modulo, ma di un processo che richiede tempo, competenze specifiche e una visione d'insieme che molte imprese non hanno ancora costruito.

La classificazione del rischio è l'altro pilastro. Un sistema AI può essere a rischio inaccettabile (pratiche vietate), alto rischio, rischio limitato o rischio minimo. La determinazione non è automatica e richiede un'analisi caso per caso che, senza l'inventario di partenza, diventa impossibile da completare.

Domande frequenti

Quando scattano le sanzioni dell'AI Act?

Le sanzioni complete entrano in vigore il 2 agosto 2026 per i sistemi ad alto rischio e le violazioni degli obblighi di governance. Le multe possono arrivare fino al 7% del fatturato globale o 35 milioni di euro.

Quali sono le scadenze già passate dell'AI Act?

Dal 2 febbraio 2025 sono operative le pratiche vietate e gli obblighi di alfabetizzazione. Dal 2 agosto 2025 si applicano le regole sui modelli General Purpose AI (GPAI).

Cosa devono fare le aziende italiane entro il 2 agosto 2026?

Devono disporre dell'inventario dei sistemi AI, aver completato la classificazione del rischio, predisporre il Fundamental Rights Impact Assessment integrato con la DPIA del GDPR e assicurare la conformità agli obblighi di trasparenza e governance.

Quali sistemi AI sono considerati ad alto rischio?

I sistemi ad alto rischio includono applicazioni che impattano su sicurezza, salute fondamentali diritti: sistemi di reclutamento, infrastrutture critiche, istruzione, impiego, accesso a servizi essenziali. La classificazione richiede un'analisi specifica per ogni implementazione.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Letture correlate

• Verifica biometrica Tinder: impatto privacy e analisi del sistema World
• 360 Digital Security: l'IA scopre quasi 1.000 bug zero-day, sfida Anthropic
• Pack2TheRoot: vulnerabilità critica Linux root senza password

Fonti

• https://www.digitalic.it/intelligenza-artificiale/ai-act-conto-2-agosto-2026-sanzioni
• https://www.changeproject.it/blog/risorse-umane/ai-act-cose-e-quali-sono-le-prossime-scadenze-da-scrivere-in-agenda/
• https://bsdlegal.it/ai-act-scadenze-e-obblighi-per-il-2026/
• https://www.legalecmc.it/intelligenza-artificiale-e-lavoro/
• https://www.braincomputing.com/blog/it-innovazioni/ai-act-2026-cosa-devono-fare-le-aziende-italiane-per-essere-conformi