Cosa cambia per i fondatori SaaS il 2 agosto 2026: il resoconto applicativo dello studio

Il 2 agosto 2026 è la data in cui gli obblighi di trasparenza ai sensi dell'articolo 50, il regime dei fornitori di GPAI ai sensi del Capitolo V e il quadro di governance ai sensi del Capitolo VII iniziano ad applicarsi in tutta l'UE. Non è, a seguito dell'AI Omnibus, la data in cui si applica il regime ad alto rischio ai sensi dell'Allegato III (l'AI Omnibus l'ha spostata al 2 dicembre 2027), né la data in cui si applicano gli obblighi relativi ai prodotti incorporati ai sensi dell'Allegato I (2 agosto 2028). Il presente articolo costituisce il resoconto applicativo dello studio per il 2 agosto 2026 in particolare: cosa scatta in quella data, cosa non scatta, l'esposizione sanzionatoria e ciò che i nostri revisori riscontrano come lacune da parte dei fondatori SaaS nell'avvicinarsi alla scadenza.

Cosa inizia effettivamente ad applicarsi il 2 agosto 2026

Tre blocchi di obblighi iniziano ad applicarsi il 2 agosto 2026.

Trasparenza ai sensi dell'articolo 50. Ogni interfaccia SaaS in cui una persona fisica interagisce con un sistema di IA deve comunicare tale circostanza. Ogni contenuto generato dall'IA (testo, immagine, audio, video) deve recare un contrassegno di provenienza leggibile automaticamente e, se distribuito in contesti di interesse pubblico, un'etichetta visibile. Ogni funzione di riconoscimento delle emozioni o di categorizzazione biometrica deve informare l'utente. Ogni deepfake deve essere etichettato. L'articolo 50 vincola fornitori e responsabili del deployment in paragrafi distinti; la maggior parte dei SaaS ricopre entrambi i ruoli a seconda della funzionalità. Fascia sanzionatoria: 15 milioni di euro o il 3% del fatturato annuo mondiale ai sensi dell'articolo 99, paragrafo 4.

Obblighi dei fornitori di GPAI ai sensi del Capitolo V. I fornitori di modelli di IA per uso generale che hanno immesso un modello sul mercato dell'UE dopo il 2 agosto 2025 devono conformarsi agli obblighi di trasparenza di cui all'articolo 53 (sintesi dei dati di addestramento, politica sul diritto d'autore, documentazione tecnica). I fornitori di modelli GPAI con rischio sistemico (calcolo di addestramento superiore a 10²⁵ FLOP) devono inoltre conformarsi all'articolo 55. Tali obblighi vincolano OpenAI, Anthropic, Google, Mistral, Meta. Non vincolano un SaaS che utilizza tali modelli tramite un'API. Un SaaS che esegue il fine-tuning di un GPAI al punto da determinarne una modifica sostanziale ai sensi dell'articolo 25 può diventare fornitore a tutti gli effetti.

Quadro di governance ai sensi del Capitolo VII. L'AI Board, l'AI Office, le autorità nazionali competenti e il gruppo scientifico diventano operativi. Le autorità nazionali di sorveglianza del mercato, designate dagli Stati membri prima del 2 agosto 2025, assumono la responsabilità dell'applicazione. La Commissione può iniziare a emanare orientamenti, atti delegati e programmi di lavoro sulle norme armonizzate. Dal punto di vista dell'applicazione, il 2 agosto 2026 è il giorno in cui entra in funzione il meccanismo istituzionale.

Cosa NON inizia ad applicarsi il 2 agosto 2026

Tre blocchi che le persone comunemente confondono con questa data non scattano, in realtà, in tale giornata.

Obblighi ad alto rischio ai sensi dell'Allegato III. Le otto categorie dell'Allegato III (biometria, infrastrutture critiche, istruzione, occupazione, servizi essenziali, attività di contrasto, migrazione, giustizia) erano originariamente previste per il 2 agosto 2026 ai sensi dell'articolo 113 nella sua versione originale. L'AI Omnibus le ha spostate al 2 dicembre 2027. Gli articoli da 9 a 15 continuano ad applicarsi. La valutazione della conformità ai sensi dell'articolo 43 continua ad applicarsi. La registrazione nella banca dati dell'UE ai sensi dell'articolo 49 continua ad applicarsi. Solo la data è cambiata.

Obblighi relativi ai prodotti incorporati ai sensi dell'Allegato I. L'IA utilizzata come componente di sicurezza nei prodotti soggetti alla legislazione di armonizzazione dell'Unione elencata nell'Allegato I (Regolamento Macchine, MDR, IVDR, giocattoli, ascensori, RED, settore marittimo, aviazione civile, autoveicoli, veicoli agricoli e forestali) era originariamente prevista per il 2 agosto 2027. L'AI Omnibus l'ha spostata al 2 agosto 2028 per allinearsi alla capacità degli organismi notificati e alla pubblicazione delle norme armonizzate. L'articolo 6, paragrafo 1, è il percorso di classificazione operativo.

Pratiche vietate ai sensi dell'articolo 5. Queste sono entrate in vigore il 2 febbraio 2025, diciotto mesi prima. Se il vostro prodotto effettua punteggi sociali, raccolta indiscriminata di volti, IA manipolativa che sfrutta le vulnerabilità, identificazione biometrica remota in tempo reale in spazi pubblici da parte delle autorità di contrasto, polizia predittiva, categorizzazione biometrica in base a caratteristiche sensibili, riconoscimento delle emozioni nei luoghi di lavoro o nell'istruzione o qualsiasi altra pratica vietata dall'articolo 5, siete già non conformi. L'AI Omnibus non ha modificato le date dell'articolo 5; ha aggiunto un nuovo divieto (contenuti sessualmente espliciti non consensuali generati dall'IA).

Gli obblighi dei fornitori di GPAI ai sensi dell'articolo 53 sono entrati in vigore il 2 agosto 2025 per i fornitori di modelli a monte. In qualità di deployer SaaS che utilizza le loro API, tali obblighi non vi riguardano direttamente. Vi riguardano invece i vostri obblighi a valle ai sensi dell'articolo 50.

Quattro criticità che i nostri revisori riscontrano con maggior frequenza in prossimità della scadenza

Nel corso degli audit condotti dallo studio, emergono ripetutamente quattro pattern nell'avvicinarsi al 2 agosto 2026.

1. Informativa del chatbot assente o nascosta. La violazione dell'articolo 50, paragrafo 1, più comune in assoluto: un'interfaccia di chat che è palesemente un'IA ma non lo annuncia all'inizio di ogni conversazione. I nostri revisori risolvono il problema con uno snippet banner chat pronto all'uso (React, vanilla HTML, Vue 3) con la formulazione in tutte le 24 lingue dell'UE. Cinque minuti di copia-incolla, conformità raggiunta.

2. Contenuti generati dall'IA privi di marcatura. L'articolo 50, paragrafo 2, richiede un contrassegno di provenienza leggibile automaticamente, non solo un badge visibile. I nostri revisori tecnici integrano C2PA Content Credentials al momento della generazione. È l'unica implementazione attualmente disponibile che soddisfa lo standard di «efficacia, interoperabilità, robustezza e affidabilità» fissato dall'Atto.

3. Deepfake o voice clone lasciati ambigui. L'articolo 50, paragrafo 4, è esplicito: i media sintetici che ritraggono persone reali devono essere etichettati come generati o manipolati artificialmente. I nostri revisori forniscono componenti overlay che si integrano nel renderer multimediale esistente del cliente senza modificare il player.

4. Politica pubblica sull'uso dell'IA assente. Non è un obbligo stretto ai sensi dell'articolo 50 di per sé, ma è il segnale di fiducia più utile che un SaaS possa pubblicare. Il nostro studio redige la politica nell'ambito dell'audit, personalizzata per il cliente, pronta per la pubblicazione su /ai-use.

Esposizione sanzionatoria alla stessa data

Le sanzioni di cui all'articolo 99 entrano in vigore contestualmente agli obblighi che sanzionano. Tre fasce da tenere monitorate per i SaaS.

35 milioni di euro o il 7% del fatturato annuo mondiale per le violazioni delle pratiche vietate dall'articolo 5 ai sensi dell'articolo 99, paragrafo 3. Già applicabile dal 2 febbraio 2025. Le PMI beneficiano della proporzionalità ai sensi dell'articolo 99, paragrafo 6, ma il massimale non cambia.

15 milioni di euro o il 3% del fatturato annuo mondiale per la non conformità agli obblighi ad alto rischio ai sensi degli articoli da 6 a 49 e per le violazioni dell'articolo 50, ai sensi dell'articolo 99, paragrafo 4. Scatta il 2 agosto 2026 per l'articolo 50. Scatta il 2 dicembre 2027 per l'Allegato III. Scatta il 2 agosto 2028 per i prodotti incorporati ai sensi dell'Allegato I.

7,5 milioni di euro o l'1% del fatturato annuo mondiale per la fornitura di informazioni inesatte o fuorvianti alle autorità ai sensi dell'articolo 99, paragrafo 5. Scatta contestualmente all'obbligo sostanziale violato.

Il nostro calcolatore delle sanzioni su /tools/penalty-calculator fornisce una stima adeguata alle PMI in base alla fascia di fatturato del cliente. Non riteniamo che i piccoli SaaS saranno soggetti a sanzioni di fascia massima al primo giorno di applicazione. Riteniamo invece che le autorità di sorveglianza del mercato agiranno sulle violazioni visibili per creare un precedente: chatbot che nascondono la propria natura di IA e servizi deepfake che distribuiscono output senza etichetta.

Cosa raccomanda lo studio di fare ora

Tre passaggi concreti, in ordine, specificamente per l'ondata dell'articolo 50.

Passo 1: triage. Eseguite l'audit dell'articolo 50 su /tools/article-50-audit. Funzionalità per funzionalità: quali paragrafi dell'articolo 50 si applicano (informativa del chatbot, marcatura dei contenuti sintetici, avviso relativo al riconoscimento delle emozioni o alla biometria, etichettatura dei deepfake). Due minuti, albero decisionale.

Passo 2: commissionare l'audit. Se rientrate nell'ambito dell'articolo 50 (la stragrande maggioranza dei SaaS), commissionate un audit Disclos. 997 euro, cinque giorni lavorativi, deliverable firmato dal nostro revisore principale. L'audit copre l'implementazione dell'articolo 50 per ogni funzionalità in ambito, comprensivo della traccia di registrazione delle informative.

Passo 3: implementare entro il 30 luglio 2026. Tre giorni di margine prima della scadenza. Il check-in dei nostri revisori avviene trenta giorni dopo la consegna, lasciandovi settimane per apportare tutte le correzioni prima della data.

Se commissionate un audit a fine luglio 2026, il deliverable arriverà nella vostra casella di posta dopo il 2 agosto 2026. A quel punto il rischio di applicazione è reale. L'ondata dell'Allegato III del 2 dicembre 2027 è un programma separato di diciotto mesi; consultate il nostro pilastro dedicato all'Allegato III per la roadmap.

Frequently asked questions

L'AI Office dell'UE perseguirà attivamente i fondatori SaaS il 2 agosto 2026?

Il perseguimento attivo richiede che le autorità di sorveglianza del mercato di ogni Stato membro siano dotate di personale e risorse adeguate. I nostri revisori di policy monitorano lo stato di prontezza Stato per Stato. Francia (CNIL), Italia (Garante), Spagna (AESIA), Germania (BSI + Bundesländer) sono i quattro più probabili first-mover. L'applicazione dal primo giorno sarà probabilmente innescata da reclami di persone fisiche piuttosto che da audit ispettivi attivi. Le violazioni visibili (chatbot che nascondono la propria natura di IA, deepfake non etichettati) sono i bersagli più probabili.

Il mio SaaS con sede negli USA deve fare qualcosa?

Se una persona ubicata nell'Unione europea può utilizzare il vostro prodotto, sì. L'articolo 2, paragrafo 1, lettera a), rende l'Atto extraterritoriale indipendentemente dal luogo in cui il fornitore è stabilito. Le nostre pagine paese per paese illustrano come si configura l'applicazione in ciascuno Stato membro.

Come faccio se non sono sicuro che le mie funzionalità siano IA?

L'articolo 3, paragrafo 1, definisce il sistema di IA in modo ampio: qualsiasi sistema basato su macchine che genera output (previsioni, raccomandazioni, decisioni, contenuti) per una serie di obiettivi. Chiamare un endpoint di inferenza e presentarne il risultato a un utente costituisce deployment di IA ai sensi dell'Atto, anche se non avete mai addestrato un modello in prima persona. L'intake standard dei nostri revisori include una classificazione funzionalità per funzionalità. In caso di incertezza, l'audit elimina l'incertezza.

Posso fare affidamento su OpenAI / Anthropic / Mistral per essere conforme al posto mio?

No. I loro obblighi ai sensi dell'articolo 53 sono obblighi dei fornitori di GPAI, non i vostri obblighi di deployer ai sensi dell'articolo 50. L'Atto è esplicito su questo punto. La loro conformità non si trasferisce a voi. Fate riferimento alle loro informative ai sensi dell'articolo 53 nel vostro model card, ma pubblicate le vostre informative ai sensi dell'articolo 50 sul vostro prodotto.

Quanto tardi è troppo tardi per commissionare un audit?

Lo studio gestisce un massimo di cinque audit a settimana. A giugno 2026, le prenotazioni si esauriranno. Entro metà luglio 2026 prevediamo di chiudere il modulo di prenotazione per la settimana entro poche ore dall'apertura. Commissionate entro la fine di giugno per ricevere la consegna prima della scadenza con tre settimane di margine per l'implementazione.

Sources

Last updated: 2026-06-09