Chi programma i vostri post non ne ha mai sentito parlare
L'esposizione della vostra azienda sta nelle mani di chi clicca su programma per i vostri post, e quella persona quasi certamente non sa che a quel clic è legata una scadenza europea. È un martedì pomeriggio. Qualcuno del vostro reparto marketing ha undici post redatti dall'IA in coda in uno scheduler, distribuiti sulle prossime due settimane. Due riassumono un cambiamento normativo nel vostro settore. Uno rielabora la storia di un cliente. Nessuno li ha letti riga per riga da quando il modello li ha prodotti, perché tutto il senso di quel flusso di lavoro era che nessuno dovesse farlo. La coda parte. Va avanti così da mesi.
Il 10 giugno 2026 la Commissione europea ha pubblicato la versione finale del Codice di condotta UE sulla trasparenza dei contenuti generati dall'IA. La Commissione afferma che l'articolo 50, paragrafi 2, 4 e 5 dell'AI Act si applica dal 2 agosto 2026. Quasi tutto ciò che è stato scritto su quella data l'ha trattata come un problema dei fornitori, qualcosa che spetta a chi costruisce i modelli risolvere con filigrane e strumenti di rilevamento. Quella lettura è metà della regola. L'articolo 50(4) non punta al vostro fornitore. Punta al deployer, e il deployer è l'azienda che ha pubblicato gli undici post.
C'è un modulo, e sul modulo c'è una data, e la data è più vicina del 2 agosto. Le FAQ della Commissione sulla firma sono esplicite: "Per essere inclusi nell'elenco dei firmatari iniziali che sarà pubblicato prima della data generale di entrata in applicazione dell'AI Act, il 2 agosto 2026, i firmatari devono presentare i moduli compilati entro il 27 luglio 2026, ore 18:00 CEST." Dieci giorni da oggi, alle sei di sera, ora di Bruxelles. La persona che ha lo scheduler aperto non ha alcun motivo di saperlo, e nella vostra azienda non esiste un meccanismo che glielo dica.
27 luglio, non 22 luglio, e perché la differenza costa cara
Buona parte della stampa di settore ha riportato questa scadenza al 22 luglio, ed è sbagliato. La data del 22 luglio esiste, ma appartiene a un altro strumento. È la scadenza per la firma del Codice di condotta GPAI, che è un codice distinto, con un ambito distinto e firmatari distinti. La pagina della Commissione dedicata al Codice di condotta sulla trasparenza dei contenuti generati dall'IA indica il 27 luglio 2026, ore 18:00 CEST. Non menziona il 22 luglio da nessuna parte. Due codici UE sull'IA con scadenze contigue a fine luglio sono stati confusi, e l'errore si è propagato.
Non facciamo nomi di testate, perché il punto non è chi ha sbagliato. Il punto è l'effetto che l'errore produce su chi legge. Se avete preso il 22 luglio come vostra scadenza e siete tra le aziende che avrebbero firmato, avete già costruito la tabella di marcia interna attorno a una data che non riguarda il codice che vi serve. Se avete notato la discrepanza e avete dato per buona la data più vicina come quella prudente, avete fatto una scelta ragionevole che però riguarda tutt'altro documento. Nessuno dei due lettori è sbadato. Entrambi lavorano sulla rassegna stampa invece che sulla fonte.
L'indicazione qui è ristretta ed è la cosa più utile di tutto il pezzo. Non prendete la data nemmeno da noi. Aprite la pagina della Commissione europea dedicata al Codice sulla trasparenza e leggete voi stessi la scadenza prima di muovervi. Bastano quattro minuti e la questione è chiusa per sempre. Per una regola che porta con sé una sanzione di questa portata, quattro minuti su una fonte primaria sono il lavoro meno costoso della vostra settimana, e la Commissione la pubblica proprio perché nessuno debba affidarsi al racconto di seconda mano di ciò che dice.
Due sezioni, e con ogni probabilità vi serve solo la seconda
Il Codice ha due sezioni, e un deployer può firmare solo la seconda senza assumersi nessuno degli obblighi dei fornitori previsti dalla prima. La sezione 1 riguarda la marcatura e il rilevamento dei contenuti generati dall'IA. Vincola i fornitori ai sensi dell'articolo 50(2), vale a dire le aziende che costruiscono e forniscono i sistemi di IA. Se i modelli li comprate invece di costruirli, la sezione 1 non parla di voi. La sezione 2 riguarda l'etichettatura dei deepfake e dei testi generati o manipolati dall'IA pubblicati per informare il pubblico su questioni di interesse pubblico. Vincola i deployer ai sensi dell'articolo 50(4). Cioè la vostra azienda.
Le FAQ della Commissione sulla firma confermano che un deployer può firmare la sezione 2 per conto proprio. La cosa pesa più di quanto sembri. Il motivo per cui la maggior parte degli imprenditori ha archiviato l'intera materia sotto la voce problema dei fornitori è che il linguaggio su marcatura e rilevamento suona come un lavoro di ingegneria che non sanno fare e non dovrebbero prendersi in carico. Su questo hanno ragione, e non è un lavoro che dovrebbero assumersi. Ma la metà del Codice dedicata ai deployer è separabile, e firmarla non si trascina dietro la metà dedicata ai fornitori.
Quello che la firma compra è una presunzione di conformità, sempre secondo le FAQ della Commissione sulla firma. È questo il premio pratico e vale la pena essere chiari sulle sue dimensioni. Una presunzione di conformità non vi rende immuni e non è un certificato. Sposta la posizione di partenza: la vostra pratica di etichettatura si presume conforme all'obbligo invece di essere presunta una questione aperta. Per un'azienda che pubblica contenuti assistiti dall'IA e vorrebbe continuare a farlo dopo il 2 agosto, il costo di quello spostamento è un modulo presentato entro il 27 luglio.
Per una PMI l'aritmetica della sanzione si rovescia
Il numero che tutti citano è il tetto per le grandi imprese, e per una PMI la formula funziona al contrario. L'articolo 99(4) dell'AI Act copre gli obblighi di trasparenza per fornitori e deployer ai sensi dell'articolo 50. Il tetto recita: "fino a 15 000 000 EUR o, se l'autore del reato è un'impresa, fino al 3 % del suo fatturato mondiale totale annuo dell'esercizio precedente, se superiore." È la frase che ha viaggiato. È accurata e non è l'intera disposizione.
L'articolo 99(6) prevede che per le PMI, start-up comprese, la sanzione sia ridotta a quello degli importi applicabili che risulta inferiore, non a quello superiore. Quasi tutta la copertura giornalistica omette questo passaggio. Leggete le due disposizioni insieme e l'aritmetica si rovescia a seconda della dimensione dell'azienda. Per una grande impresa, 15 milioni e il 3 % del fatturato mondiale sono due cifre candidate e governa la più alta. Per una PMI sono le stesse due cifre candidate e governa la più bassa. La disposizione è una regola di riduzione, non un'esenzione, e il tetto che ne risulta resta un numero reale, che può essere grande rispetto a un bilancio piccolo.
Andateci cauti e non fatele portare più peso di quanto possa reggere. Non significa che le PMI siano fuori dall'articolo 50. Non cambia la data di applicazione del 2 agosto, né gli obblighi in sé, né la scadenza di firma del 27 luglio. Cambia la cifra che un imprenditore dovrebbe avere in testa quando decide quanto la cosa valga per lui. Se avete tarato la vostra attenzione sul numero da titolo e la vostra azienda è una PMI, avete dimensionato il rischio sbagliato, e quello giusto va comunque dimensionato per bene.
L'elemento di conformità è una persona con un nome, non un software
La strada che passa per l'articolo 50(4) non è una filigrana, un rilevatore o una clausola nel contratto con il fornitore, ma una persona il cui nome sta accanto al contenuto pubblicato. Le FAQ della Commissione che descrivono il Codice dicono che esso "fornisce anche orientamenti pratici sulla progettazione, il posizionamento e la presentazione di etichette, avvertenze o icone, tenendo conto di regimi specifici per le opere artistiche, creative, satiriche, di finzione o analoghe, nonché per i casi che comportano revisione umana e responsabilità editoriale." Rileggete lentamente l'ultima parte. È un regime specifico per i casi che comportano revisione umana e responsabilità editoriale. Non è un'esenzione generalizzata e non è una scappatoia, e chi ve lo vende come tale sta promettendo troppo.
Ora mettetelo accanto a come vengono costruiti davvero i flussi di contenuti IA. Il flusso che massimizza il risparmio di personale è quello in cui un modello genera, uno scheduler pubblica e nessun essere umano legge niente nel mezzo. Il business case sta tutto lì. Ed è anche esattamente il flusso privo di revisione umana e privo di responsabilità editoriale, il che significa che è il flusso che rinuncia al regime che l'avrebbe coperto. Più a buon mercato fate girare la pipeline, più cedete dell'apertura che il Codice stesso vi concede. Niente di tutto questo è un problema tecnico, quindi niente di tutto questo ha una soluzione tecnica.
La meccanica è poco drammatica. Sulle etichette, le FAQ della Commissione fanno riferimento a "un'icona UE facoltativa in tre varianti su cui i deployer possono contare per attuare con facilità l'obbligo di etichettatura previsto dall'AI Act in modo coerente ed efficace." Facoltativa, e in tre varianti. Sui tempi, i sistemi di IA immessi sul mercato prima del 2 agosto 2026 hanno margine: "Tali sistemi di IA beneficiano di un periodo transitorio per la conformità fino al 2 dicembre 2026." Quel periodo transitorio riguarda i sistemi, non la vostra pratica editoriale, e non sposta il modulo del 27 luglio né l'applicazione dell'articolo 50(4) dal 2 agosto. A spostare quelle date siete voi, decidendo di chi è il nome che va sul lavoro.
Da leggere ora: Il 2 agosto le multe UE sull'IA diventano reali | Dal 2 agosto contenuti IA e chatbot devono dichiarare la macchina



