L’8 maggio 2026 la Commissione europea ha aperto una consultazione su una bozza di linee guida destinate a chiarire l’attuazione dell’articolo 50 dell’AI Act. Non si tratta di un dettaglio tecnico per addetti ai lavori. Al contrario, siamo davanti a uno dei passaggi più concreti dell’intero regolamento: quello che incide direttamente su chatbot, assistenti virtuali, generatori di immagini, audio e video sintetici, deepfake e testi prodotti o manipolati con IA e diffusi al pubblico. La consultazione è aperta fino al 3 giugno 2026 e si colloca a ridosso dell’entrata in applicazione delle regole di trasparenza, fissata dalla Commissione al 2 agosto 2026.
Il punto giuridico di fondo è chiaro: il legislatore europeo ha scelto di non intervenire solo sui sistemi ad alto rischio, ma anche sui sistemi “a rischio limitato” che però possono incidere in modo sensibile sull’affidamento dell’utente, sulla percezione di autenticità dei contenuti e, in ultima analisi, sulla possibilità di prendere decisioni informate. La stessa Commissione ricorda che chatbot e sistemi che generano contenuti rientrano in questa fascia di rischio limitato e sono soggetti a obblighi di trasparenza specifici. È una scelta regolatoria importante, perché riconosce che il problema non nasce solo quando l’IA decide su credito, lavoro o giustizia, ma anche quando conversa, persuade, imita o pubblica.
Sul piano normativo, l’articolo 50 AI Act costruisce un sistema articolato. Anzitutto, i provider devono fare in modo che i sistemi destinati a interagire direttamente con persone fisiche siano progettati e sviluppati in modo tale che l’interessato sia informato di stare interagendo con un sistema di IA, salvo che ciò risulti già evidente dal contesto. Inoltre, per i sistemi che generano contenuti sintetici, il regolamento richiede che gli output siano marcati in un formato leggibile dalle macchine e rilevabili come artificialmente generati o manipolati.
La bozza di linee guida pubblicata dalla Commissione serve proprio a dare sostanza pratica a queste formule. Le fonti ufficiali spiegano che l’obiettivo è aiutare autorità competenti, provider e deployer a garantire un’applicazione coerente, effettiva e uniforme degli obblighi di trasparenza. In parallelo, la Commissione sta finalizzando anche un Code of Practice sulla marcatura e l’etichettatura dei contenuti generati dall’IA, che avrà natura volontaria ma potrà funzionare come strumento di supporto alla compliance. Questo doppio binario è molto rilevante: linee guida per chiarire l’ambito giuridico e codice di condotta per aiutare l’attuazione tecnica e organizzativa.
Uno dei punti che meritano più attenzione è la distinzione tra provider e deployer. Il provider è il soggetto che sviluppa o mette sul mercato il sistema; il deployer è chi lo usa sotto la propria autorità. Nella logica dell’art. 50, i due ruoli non coincidono necessariamente e, soprattutto, non hanno gli stessi obblighi. I provider devono curare la progettazione trasparente dell’interazione e la marcatura tecnica dei contenuti sintetici; i deployer, invece, hanno un obbligo proprio di disclosure quando utilizzano sistemi che generano o manipolano deepfake, nonché quando pubblicano testi generati o manipolati dall’IA con finalità di informazione del pubblico su questioni di interesse generale.
Qui emerge il vero interesse pratico per il mercato italiano. Molte imprese pensano ancora all’IA come a un semplice “tool” incorporato in processi esistenti; queste fonti mostrano invece che l’uso dell’IA redistribuisce obblighi giuridici lungo la catena del valore. Chi integra un chatbot sul proprio sito, chi usa contenuti sintetici in pubblicità, chi diffonde video o audio manipolati, chi pubblica testi generati con IA su temi di interesse pubblico non può limitarsi a confidare sulle garanzie del fornitore tecnologico. Deve chiedersi se, nel caso concreto, abbia assunto anche obblighi propri di informazione o di etichettatura verso utenti e destinatari.
La questione dei deepfake è ancora più sensibile. Il regolamento richiede ai deployer di rendere noto che il contenuto è stato generato o manipolato artificialmente quando si tratta di immagini, audio o video costituenti deepfake. Il legislatore, però, ha previsto anche un bilanciamento con libertà artistiche, creative, satiriche o analoghe: in questi casi l’obbligo si riduce a una disclosure appropriata dell’esistenza del contenuto artificiale, senza compromettere la fruizione dell’opera. È un punto importante perché evita sia l’approccio puramente formalistico, sia l’idea opposta secondo cui creatività e satira eliminerebbero ogni dovere di trasparenza.
Molto interessante è poi la regola sui testi pubblicati per informare il pubblico su questioni di interesse generale. Le fonti ufficiali del processo sul Code of Practice chiariscono che la disclosure è richiesta per testi AI-generated o AI-manipulated destinati a informare il pubblico, salvo il caso in cui il contenuto abbia subito un processo di human review o editorial control e vi sia un soggetto, persona fisica o giuridica, che assuma la responsabilità editoriale della pubblicazione. Qui il problema non è solo tecnico, ma profondamente giuridico: si intrecciano trasparenza, responsabilità editoriale, organizzazione redazionale e onere di controllo umano.
Per studi legali, professionisti e imprese, questo passaggio ha almeno tre ricadute operative. Primo: bisogna mappare dove l’IA interagisce con persone fisiche e dove genera contenuti che possono essere percepiti come autentici. Secondo: occorre distinguere chi, nella filiera, è provider e chi è deployer, evitando la tentazione di scaricare tutto contrattualmente sul vendor. Terzo: serve una governance documentata su disclosure, controllo umano, approvazione editoriale, interfacce utente e gestione dei reclami. [Inferenza] In Italia, questa governance sarà spesso il punto di incontro tra AI Act, GDPR, pratiche commerciali scorrette e responsabilità civile da affidamento o da informazione inesatta.
Ed è proprio quest’ultimo il nodo che rende la notizia editorialmente forte. La trasparenza AI non sostituisce le altre regole. Lo stesso impianto dell’AI Act, come ricordato nei testi ufficiali, convive con altri obblighi previsti dal diritto dell’Unione e nazionale. Dunque, un operatore che etichetta correttamente un contenuto come artificiale non è per questo automaticamente al riparo da problemi privacy, da responsabilità per trattamento illecito di dati, da contestazioni consumeristiche o da responsabilità professionale. La disclosure è un tassello necessario, non uno scudo generale.
In conclusione, la consultazione aperta dalla Commissione l’8 maggio 2026 merita attenzione perché mostra dove si giocherà una parte decisiva della compliance AI nei prossimi mesi: non solo nei grandi sistemi ad alto rischio, ma nelle interazioni quotidiane tra IA, utenti e pubblico. La soluzione giuridicamente più prudente, già oggi, è trattare l’articolo 50 non come un adempimento cosmetico, ma come un obbligo organizzativo serio: capire chi deve informare, cosa deve essere marcato, quando serve disclosure, quali eccezioni sono davvero applicabili e quali controlli umani devono essere dimostrabili. È qui che, per molte realtà italiane, l’AI Act smette di essere teoria e diventa pratica.
