Scattano ad agosto 2026 i nuovi vincoli imposti dalla normativa AI Act. Il percorso, iniziato con l’entrata in vigore del Regolamento nel 2024, ha visto nel 2025 l’applicazione dei primi obblighi su pratiche considerate vietate (come, ad esempio, il social scoring o l’identificazione biometrica in real time), AI literacy e modelli GPAI. Il 2 agosto 2026 entrano in vigore i requisiti di trasparenza e watermarking e fra la fine del 2027 e il 2030 sono previste nuove scadenze sui sistemi ad alto rischio standalone, embedded e legacy.
Cambio di baseline post-approvazione del Parlamento europeo (16 giugno 2026):
• Allegato III posticipato al 2 dicembre 2027
• Allegato I al 2 agosto 2028
• Art. 50(2) watermarking al 2 dicembre 2026 per sistemi già sul mercato
Fonte: data.consilium.europa.eu
Prosegue il percorso progressivo e articolato nel tempo verso l’entrata in vigore dell’AI Act europeo: è una vera e propria roadmap che accompagnerà imprese e organizzazioni nell’adozione di modelli di governance dell’intelligenza artificiale sempre più strutturati. Per le aziende che sviluppano, integrano o utilizzano soluzioni di intelligenza artificiale, questa evoluzione rappresenta l’opportunità di realizzare un modello strutturato di governance, capace di collegare tecnologia, dati, processi, responsabilità e presidio dei rischi. In Cerved abbiamo seguito l’evoluzione dell’AI Act fin dalle sue prime fasi, lavorando per trasformare il quadro regolatorio in un sistema operativo interno. L’obiettivo è stato l’assolvimento delle scadenze normative e della costruzione di un approccio coerente per identificare, classificare, documentare e monitorare l’utilizzo dell’intelligenza artificiale lungo tutto il ciclo di vita.
In questo contesto, diventa centrale la capacità di definire chiaramente il perimetro: non tutte le soluzioni automatizzate rientrano nella definizione di AI e, soprattutto, non tutte presentano lo stesso livello di rischio. La classificazione dei sistemi – da rischio minimo a inaccettabile, fino ai modelli GPAI e ai potenziali rischi sistemici – è il primo passo per un presidio efficace.
Per affrontare questa complessità, si stanno diffondendo strumenti strutturati di assesment basati sull’approccio risk-based dell’AI Act. Dei questionari derivati direttamente dagli articoli del regolamento permettono di raccogliere informazioni dai responsabili dei sistemi, analizzarle e restituire una classificazione chiara attraverso dashboard dedicate. Da questa esigenza è nato l’AI Act Assessment Tool: uno strumento pensato per supportare la classificazione di AI Systems, Products e GPAI Models secondo l’approccio risk-based del Regolamento. Il tool si basa su questionari costruiti a partire dagli articoli dell’AI Act, raccoglie le risposte degli owner, le analizza e consente di consultare i risultati tramite dashboard dedicate.
Questo approccio consente di passare da una gestione frammentata a una visione complessiva del portafoglio AI aziendale attraverso:
In tale contesto un aspetto particolarmente rilevante è la gestione delle soluzioni di terze parti, che richiede tracciabilità e chiarezza nei ruoli tra provider e utilizzatori.
Tra i primi obblighi entrati in vigore nel 2025, l’AI literacy rappresenta uno dei cambiamenti più significativi. La regolamentazione introduce infatti un principio chiaro: la governance dell’AI non riguarda solo le funzioni tecniche o legali, ma coinvolge l’intera organizzazione.
Ne deriva la necessità di costruire percorsi formativi differenziati con:
L’obiettivo è evitare che l’AI venga percepita come una “black box” o una fonte automatica di verità. Comprensione, supervisione e uso consapevole diventano elementi centrali.
Nel 2025 sono inoltre entrati in vigore gli obblighi sui modelli GPAI. Tali obblighi richiedono una documentazione dettagliata: dati di training, capacità e limiti, modalità di integrazione, licenze e policy d’uso. Questi modelli non sono componenti neutre, ma influenzano direttamente il comportamento dei sistemi che li integrano.
Il 2026 introduce poi un ulteriore livello di maturità con gli obblighi di trasparenza dell’Articolo 50. Le organizzazioni dovranno:
La trasparenza si traduce quindi in soluzioni concrete: disclosure, watermarking, metadati, istruzioni operative e chiara definizione delle responsabilità.
Le recenti revisioni introdotte dal Digital Omnibus hanno aggiornato alcune scadenze, in particolare per i sistemi ad alto rischio. Questo slittamento temporale non riduce la pressione regolatoria, ma offre alle aziende un’opportunità: costruire modelli più solidi ed evitare approcci superficiali o reattivi.
Le prossime sfide riguarderanno:
Questi temi richiedono una collaborazione trasversale tra le varie unità aziendali: business, IT, data science, legal, compliance e risk management.
L’AI Act non rappresenta solo un vincolo regolatorio. È anche un’occasione per rendere l’innovazione più affidabile, trasparente e sostenibile.
Le aziende che sapranno trasformare gli obblighi normativi in un sistema di governance efficace saranno meglio posizionate in un contesto in cui l’intelligenza artificiale evolve rapidamente e incide sempre più sulle decisioni strategiche.
La vera sfida non è quindi rispettare la singola scadenza ma costruire un modello che consenta di utilizzare l’AI in modo responsabile, continuo e competitivo nel tempo.
Contattaci per saperne di più
© 2026 Cerved Group S.p.A. u.s.
Via dell’Unione Europea n. 6/A-6/B – 20097 San Donato Milanese (MI) – REA 2035639 Cap. Soc. € 50.521.142 – P.I. IT08587760961 – P.I. Gruppo IT12022630961 - Azienda con sistema qualità certificato da DNV – UNI EN ISO 9001:2015