AI Act, 2 agosto 2026: cosa diventa obbligatorio (e chi rischia di più)

Una scadenza vera, non un'altra data sul calendario

Il 2 agosto 2026 non è una delle tante tappe intermedie dell'AI Act. È il giorno in cui il Regolamento (UE) 2024/1689 entra in applicazione generale: la data attorno a cui è stato costruito l'intero impianto normativo. Tutto ciò che finora era preparazione — i divieti del febbraio 2025, le regole sui modelli di uso generale dell'agosto 2025 — converge qui.

Per chi guida un'azienda, la domanda non è più "quando dovremo occuparcene", ma "cosa deve essere dimostrabile tra poche settimane".

Il calendario, in trenta secondi

• 2 febbraio 2025 — divieto delle pratiche AI inaccettabili (Art. 5) e obbligo di alfabetizzazione AI del personale (Art. 4)
• 2 agosto 2025 — obblighi per i modelli di AI di uso generale (GPAI), governance europea, designazione delle autorità nazionali
• 2 agosto 2026 — applicazione generale: obblighi per i sistemi ad alto rischio dell'Allegato III, obblighi di trasparenza, regime sanzionatorio pienamente operativo
• 2 agosto 2027 — estensione ai sistemi ad alto rischio integrati in prodotti già regolamentati (Allegato I)

Cosa scatta per chi l'AI la usa

L'attenzione mediatica va ai produttori di modelli. Ma la maggior parte delle aziende italiane è deployer: usa sistemi AI sotto la propria autorità. Per loro, dal 2 agosto, l'Art. 26 smette di essere teoria:

• uso conforme alle istruzioni del fornitore, con misure tecniche e organizzative documentate;
• sorveglianza umana affidata a persone con competenza, formazione e autorità adeguate;
• monitoraggio del funzionamento e segnalazione degli incidenti;
• conservazione dei log generati dal sistema, quando sono sotto il controllo del deployer;
• informazione dei lavoratori coinvolti dall'uso di sistemi ad alto rischio.

Per banche, assicurazioni e soggetti pubblici si aggiunge la valutazione d'impatto sui diritti fondamentali (FRIA, Art. 27). E per chiunque esponga un chatbot a clienti o dipendenti, l'Art. 50 impone trasparenza: l'utente deve sapere che sta interagendo con una macchina.

Le sanzioni diventano esigibili

Il regime sanzionatorio dell'Art. 99 prevede fino a 35 milioni di euro o il 7% del fatturato mondiale per le pratiche vietate, e fino a 15 milioni o il 3% per la violazione degli altri obblighi — inclusi quelli del deployer. In Italia la vigilanza è affidata all'Agenzia per la Cybersicurezza Nazionale, con AgID come autorità di notifica (legge 132/2025).

Il punto non è il massimale teorico. È che dal 2 agosto un'ispezione, un contenzioso con un dipendente o un reclamo di un cliente possono chiedere la stessa cosa: le prove della vostra diligenza.

Sette settimane, sei mosse

1. Censite ogni sistema AI in uso — compresi quelli che nessuno ha mai autorizzato formalmente;
2. classificate il rischio di ciascuno rispetto all'Allegato III;
3. verificate gli obblighi Art. 26 applicabili: chi sorveglia, con quale formazione, con quali strumenti;
4. attivate la registrazione: senza log immutabili, la conformità non è dimostrabile;
5. formate il personale — l'obbligo di AI literacy è già in vigore da diciotto mesi;
6. documentate tutto in un fascicolo che possiate consegnare, non raccontare.

La differenza tra essere conformi e sembrarlo

Come abbiamo scritto nella nostra guida pratica per i deployer, l'AI Act non chiede di smettere di usare l'intelligenza artificiale. Chiede di poter dimostrare che ogni uso è governato, tracciato, protetto. Il 2 agosto questa capacità smette di essere un vantaggio competitivo e diventa il requisito minimo.

Se volete valutare quanto la vostra organizzazione è distante, il nostro dossier tecnico documenta come trasformiamo questi obblighi in processi verificabili.