WeCheck360 – vai alla homepage

L'EU AI Act dal 2 agosto 2026: cosa vale ora per il vostro sito web. Una checklist per PMI.

Aggiornamento: luglio 2026 · Lettura: circa 6 minuti · Non costituisce consulenza legale

Il 2 agosto 2026 finisce il periodo di grazia. Da quel giorno si applicano gli obblighi di trasparenza dell'articolo 50 dell'EU AI Act, e le autorità di vigilanza possono sanzionare le violazioni con multe. Finora la normativa sull'IA era, per la maggior parte delle piccole e medie imprese, una questione per grandi gruppi e produttori di IA. Ora le cose cambiano, e in un punto a cui molti pensano per ultimo: il proprio sito web.

Chi vi gestisce un chatbot IA, mostra immagini generate dall'IA o pubblica testi usciti da un generatore dovrebbe ripassare i punti seguenti prima della scadenza. Ci vuole circa mezz'ora.

Cosa succede il 2 agosto 2026

L'EU AI Act (regolamento (UE) 2024/1689) è in vigore già da agosto 2024, ma entra in applicazione per gradi. I divieti di determinate pratiche di IA si applicano da febbraio 2025, le regole per i grandi modelli di IA per finalità generali da agosto 2025. Il 2 agosto 2026 arriva la parte che tocca direttamente i gestori di siti web: gli obblighi di trasparenza dell'articolo 50. Lo stesso giorno le autorità di vigilanza nazionali iniziano il loro lavoro. I requisiti per i sistemi ad alto rischio dell'allegato III, originariamente previsti anch'essi per questa data, sono stati rinviati dal Digital Omnibus al 2 dicembre 2027 (l'allegato I al 2 agosto 2028); gli obblighi di trasparenza dell'articolo 50 non sono interessati.

Per un normale sito web aziendale, la parte rilevante è l'articolo 50. Regola i casi in cui i visitatori devono essere informati sull'uso dell'IA.

Obbligo 1: il chatbot deve farsi riconoscere

Se sul vostro sito un sistema di IA interagisce direttamente con le persone, queste devono sapere che stanno comunicando con un'IA (art. 50, par. 1). Al più tardi alla prima interazione, in modo chiaramente riconoscibile. Un avviso nascosto da qualche parte nelle condizioni generali o nelle note legali non basta.

Il regolamento prevede un'eccezione quando l'uso dell'IA è comunque evidente dal punto di vista di un utente ragionevolmente informato. Noi non ci faremmo affidamento. Se un tribunale considererà il vostro chatbot "evidentemente IA" non è una cosa che volete scoprire. Una frase nella finestra della chat ("State chattando con il nostro assistente IA") non costa nulla e chiude la questione.

Obbligo 2: i contenuti IA. Qui circolano molte sciocchezze.

In rete gira la voce che da agosto ogni immagine IA e ogni testo IA debbano essere etichettati. Il regolamento non dice questo. L'articolo 50 distingue chiaramente tra fornitori, cioè i produttori degli strumenti di IA, e deployer, cioè aziende come la vostra che usano questi strumenti.

La tanto citata marcatura leggibile da macchina dei contenuti generati dall'IA (art. 50, par. 2) è un obbligo dei fornitori. Riguarda i produttori dei generatori di immagini e testi, non i loro clienti.

Come deployer dovete informare in due casi (art. 50, par. 4). Primo, i deepfake: contenuti immagine, audio o video generati o manipolati dall'IA che rappresentano in modo ingannevolmente realistico persone, luoghi o eventi reali. Secondo, i testi generati dall'IA che informano il pubblico su questioni di interesse pubblico. Per i testi esiste però un'eccezione che per la maggior parte delle aziende fa la differenza: se una persona ha rivisto il contenuto dal punto di vista redazionale e una persona fisica o giuridica se ne assume la responsabilità editoriale, l'obbligo di etichettatura decade.

In pratica: l'articolo di blog assistito dall'IA che il vostro marketing ha rivisto non fa scattare alcun obbligo di etichettatura. La foto IA ingannevolmente realistica di una persona reale sì. L'illustrazione IA generica nell'header, nel mezzo, non rientra in alcun obbligo del deployer.

Obbligo 3: riconoscimento delle emozioni e categorizzazione biometrica

Chi impiega sistemi di riconoscimento delle emozioni o di categorizzazione biometrica deve informare le persone interessate (art. 50, par. 3). Sui siti web aziendali è raro. Diventa rilevante con strumenti che analizzano dati della webcam o voci, per esempio in alcune applicazioni di video recruiting o di analisi.

Cosa si rischia in caso di violazione

Le violazioni dell'articolo 50 possono costare fino a 15 milioni di euro o il 3 % del fatturato annuo mondiale, a seconda di quale importo sia più alto (art. 99). Per dare una misura: le diffide legate al GDPR degli ultimi anni riguardavano per lo più qualche centinaio di euro per caso. Con quanta severità le autorità interverranno davvero sulle PMI, oggi non lo sa nessuno. Che dal 2 agosto ne abbiano il diritto, è certo.

Accanto a questo, il GDPR continua ad applicarsi invariato. Un chatbot IA che tratta dati personali ha ancora bisogno di una base giuridica, di un contratto sul trattamento dei dati con il fornitore dello strumento e di una voce nell'informativa privacy. L'AI Act si aggiunge, non sostituisce nulla.

E le aziende svizzere?

La Svizzera non è membro dell'UE, e l'AI Act non è diritto svizzero. Ma agisce oltre confine: il regolamento si applica anche alle aziende fuori dall'UE quando i loro sistemi di IA vengono immessi sul mercato dell'UE o l'output del sistema viene utilizzato nell'UE (art. 2). Se il vostro sito si rivolge deliberatamente a clienti nell'UE, non archiviate gli obblighi qui sopra come una questione puramente europea. Per il GDPR vale lo stesso da tempo: si applica alle aziende fuori dall'UE che offrono beni o servizi a persone nell'UE. E la nuova legge svizzera sulla protezione dei dati (nLPD) aggiunge un proprio livello nazionale.

La checklist: in 30 minuti sapete dove siete

  1. Creare l'inventario IA del sito web. Quali funzioni di IA sono integrate? Chatbot, widget di raccomandazione, ricerca IA, traduzione automatica, immagini o testi generati dall'IA. Contano anche gli strumenti acquistati da terzi.
  2. Verificare l'avviso del chatbot. Il vostro widget di chat dice chiaramente all'utente, alla prima interazione, che sta parlando con un'IA?
  3. Passare in rassegna le immagini IA. Qualcuna mostra persone, luoghi o eventi reali in modo ingannevolmente realistico? Allora va etichettata. Le illustrazioni IA generiche possono restare come sono.
  4. Classificare i testi IA. Pubblicate testi IA su temi di interesse pubblico? Allora assicurate una revisione redazionale o etichettateli.
  5. Aggiornare l'informativa privacy. L'uso dell'IA vi è menzionato? Esistono contratti sul trattamento dei dati con i fornitori di IA?
  6. Chiarire le responsabilità. Qualcuno in azienda dovrebbe tenere d'occhio l'uso dell'IA e il quadro giuridico. Il rollout dell'AI Act prosegue fino al 2027.
  7. Controllare periodicamente, non una volta sola. I siti web cambiano. Un nuovo plugin o una landing page di campagna può integrare nuovi servizi di IA o tracker senza che nessuno se ne accorga.

Onestamente: il punto 1 è il nodo. Cosa carica davvero il vostro sito, dall'esterno non si vede.

Sapere dove sta il vostro sito. Prima del 2 agosto.

La scansione teaser gratuita di WeCheck360 verifica il vostro sito in pochi minuti su GDPR ed EU AI Act insieme: servizi di IA rilevati, tracciamento, consenso ai cookie, obblighi di trasparenza. Vedete subito il vostro punteggio e il numero dei rilievi. Solo URL ed e-mail, nessun abbonamento.

Verifica subito il tuo sito gratis

Domande frequenti

L'AI Act si applica anche alle piccole imprese?

Sì. Gli obblighi di trasparenza dell'articolo 50 non prevedono eccezioni in base alla dimensione dell'azienda. Ciò che conta è se viene utilizzato un sistema di IA interessato, non il numero di dipendenti.

Devo etichettare i testi ChatGPT sul mio sito web?

Nella maggior parte dei casi no. Finché una persona rivede i testi dal punto di vista redazionale e la vostra azienda si assume la responsabilità della pubblicazione, si applica l'eccezione dell'art. 50, par. 4. Diventa delicato solo quando testi IA su temi di interesse pubblico vengono pubblicati senza revisione.

Il mio cookie banner non basta?

No. Il consenso ai cookie (GDPR/ePrivacy) e la trasparenza sull'IA (AI Act) sono due cantieri distinti. Un cookie banner non dice nulla sul fatto che la vostra chat funzioni con un'IA.

Come faccio a sapere quali servizi di IA carica il mio sito?

Spesso non lo si sa, ed è questo il vero problema. Molti siti caricano servizi di IA e di tracciamento tramite script di terze parti, senza che il gestore ne sia a conoscenza. Una scansione automatizzata rende visibile ciò che viene effettivamente caricato.

Aggiornamento: luglio 2026. Questo articolo è stato sottoposto a revisione redazionale e non costituisce consulenza legale. Per il caso specifico rivolgetevi a uno studio legale specializzato o al vostro responsabile della protezione dei dati.

Fonti: