EU AI ActGenerative AITransparencySMEs

La legge UE sull'IA e l'IA generativa: cosa devono sapere gli utenti di ChatGPT e dei chatbot

Pubblicato 18 luglio 2026 · 6 min di lettura

Quasi ogni PMI europea utilizza ormai l'IA generativa: ChatGPT per redigere testi, Copilot nella suite per ufficio, un chatbot sul sito web. La buona notizia è che usare lo strumento di IA di qualcun altro non fa di te il suo fornitore, e la legge UE sull'IA considera la maggior parte di questi usi come a basso rischio. Ecco cosa devi effettivamente fare, in parole semplici.

Sei (di solito) un deployer, non un fornitore

Il regolamento suddivide gli obblighi in base al ruolo. Un fornitore sviluppa un sistema di IA e lo immette sul mercato con il proprio nome, come OpenAI, Microsoft, Anthropic o Google (articolo 3, paragrafo 3). Un deployer si limita a utilizzare un sistema di IA nella propria attività (articolo 3, paragrafo 4). Se usi ChatGPT, Copilot o un chatbot di terze parti, sei un deployer, e i gravosi obblighi di progettazione e marcatura ricadono a monte sul fornitore, non su di te.

Le regole di trasparenza (articolo 50)

L'articolo 50 è un livello leggero di trasparenza che si applica a determinati sistemi di IA indipendentemente dalla loro categoria di rischio. Stabilisce quattro obblighi, ed è attento a specificare chi è tenuto a ciascuno di essi:

  • Informativa sui chatbot (50(1)), un obbligo del fornitore. I sistemi di IA che interagiscono con le persone devono informarle che stanno trattando con un'IA, a meno che ciò non sia ovvio. Il fornitore lo integra fin dalla progettazione, quindi un deployer che utilizza uno strumento conforme lo eredita.
  • Marcatura dei contenuti generati dall'IA (50(2)), un obbligo del fornitore. I sistemi che generano audio, immagini, video o testo sintetici devono marcare l'output in modo che sia leggibile meccanicamente e rilevabile come artificiale. Anche in questo caso, è il fornitore a integrarlo.
  • Riconoscimento delle emozioni e categorizzazione biometrica (50(3)), un obbligo del deployer. Se gestisci un sistema che legge le emozioni o categorizza le persone su base biometrica, devi informare le persone interessate e rispettare il GDPR.
  • Deep fake e testi di interesse pubblico (50(4)), un obbligo del deployer. Se pubblichi un'immagine, un audio o un video deep fake, oppure un testo generato dall'IA su una questione di interesse pubblico, devi dichiarare che è stato creato dall'IA, con eccezioni per le attività di contrasto, le opere manifestamente artistiche o satiriche e i testi sottoposti a un'autentica revisione editoriale umana.

In ogni caso, l'informativa deve essere chiara e fornita al più tardi al momento della prima interazione o esposizione (articolo 50, paragrafo 5).

Quindi, a cosa è effettivamente tenuta una PMI tipica?

Se utilizzi l'IA generativa internamente o gestisci un chatbot per i clienti basato su uno strumento conforme, la tua esposizione all'articolo 50 è ridotta, e consiste soprattutto nell'assicurarti che le informative su emozioni, dati biometrici o deep fake siano presenti se svolgi tali attività. L'unico obbligo che ti vincola già oggi è l'alfabetizzazione in materia di IA: dal 2 febbraio 2025, l'articolo 4 impone sia ai fornitori sia ai deployer di garantire al personale che utilizza l'IA un livello sufficiente di comprensione. Consulta la nostra guida all'alfabetizzazione in materia di IA.

Due modi in cui l'uso ordinario diventa un obbligo più gravoso

La posizione «io mi limito a usarlo» non è un porto sicuro permanente:

  1. Rimarchi o modifichi sostanzialmente un sistema. Ai sensi dell'articolo 25, un deployer che appone il proprio nome su un sistema ad alto rischio, ne modifica la finalità o lo modifica sostanzialmente diventa un fornitore ed eredita gli obblighi del fornitore.
  2. Il tuo uso rientra in un caso d'uso ad alto rischio. L'articolo 50 non rende di per sé un sistema ad alto rischio. Ma se utilizzi l'IA generativa per qualcosa elencato nell'allegato III, come selezione del personale, gestione dei lavoratori, valutazione del merito creditizio o assicurativo, istruzione o servizi essenziali, è ad alto rischio ai sensi dell'articolo 6, con obblighi ben più gravosi. La classificazione dipende dai fatti concreti: verifica il tuo caso d'uso effettivo.

Sviluppi a partire da un modello? Potresti essere un fornitore di GPAI

Se vai oltre il semplice utilizzo di un modello e inizi a fare il fine-tuning o modificare in modo sostanziale un modello, puoi diventare un fornitore di un modello di IA per finalità generali (GPAI), anche se i tuoi obblighi si limitano poi alla tua modifica (considerando 109). Le linee guida della Commissione del luglio 2025 ti considerano un fornitore di GPAI distinto solo quando la potenza di calcolo utilizzata per le tue modifiche supera circa un terzo della potenza di calcolo impiegata per l'addestramento del modello originale, quindi un fine-tuning leggero ti mantiene deployer. Consulta la nostra guida agli obblighi in materia di GPAI per sapere cosa cambia se superi tale soglia.

Scadenze

L'alfabetizzazione in materia di IA si applica già ora (2 febbraio 2025). Gli obblighi di trasparenza dell'articolo 50 si applicano a partire dal 2 agosto 2026. La marcatura leggibile meccanicamente dei contenuti sintetici per i sistemi già presenti sul mercato è stata posticipata al 2 dicembre 2026 dal Digital Omnibus (adottato, in attesa di pubblicazione nella Gazzetta ufficiale). La nostra guida alle scadenze contiene la tabella completa.

Verifica la tua situazione

Non sei sicuro se il tuo utilizzo dell'IA generativa sia a basso rischio o rientri in un caso d'uso ad alto rischio? Lo strumento gratuito EU AI Act Snapshot lo classifica in due minuti, senza registrazione, e la nostra checklist di conformità in 9 passaggi trasforma il risultato in un piano. I piani partono da EUR 0.

Guide correlate