← Torna a Intelligenza artificiale — AI Act (Regolamento UE 2024/1689)
Ultimo aggiornamento: 1 Giugno 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
  • I fornitori devono progettare i sistemi di IA che interagiscono direttamente con persone fisiche in modo che queste siano informate di stare parlando con una macchina, salvo che ciò sia già evidente dal contesto.
  • I fornitori di sistemi che generano contenuti sintetici (audio, immagini, video, testo) devono garantire che gli output siano marcati in formato leggibile meccanicamente come generati o manipolati artificialmente (watermarking).
  • I deployer di sistemi di riconoscimento delle emozioni o categorizzazione biometrica devono informare le persone esposte e rispettare il GDPR.
  • I deployer che generano o manipolano deepfake devono rendere noto che il contenuto è artificiale; per testi informativi di interesse pubblico vale un obbligo analogo, salvo revisione umana con responsabilità editoriale.
  • Le informazioni di trasparenza devono essere fornite in modo chiaro e distinguibile entro la prima interazione o esposizione.
  • L'ufficio per l'IA promuove codici di buone pratiche sull'etichettatura dei contenuti IA; la Commissione può adottare norme tecniche vincolanti se i codici risultano inadeguati.

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Art. 50 Reg. (UE) 2024/1689 — Obblighi di trasparenza per i fornitori e i deployers di determinati sistemi di IA

Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (regolamento sull’intelligenza artificiale)

1. I fornitori garantiscono che i sistemi di IA destinati a interagire direttamente con le persone fisiche sono progettati e sviluppati in modo tale che le persone fisiche interessate siano informate del fatto di stare interagendo con un sistema di IA, a meno che ciò non risulti evidente dal punto di vista di una persona fisica ragionevolmente informata, attenta e avveduta, tenendo conto delle circostanze e del contesto di utilizzo. Tale obbligo non si applica ai sistemi di IA autorizzati dalla legge per accertare, prevenire, indagare o perseguire reati, fatte salve le tutele adeguate per i diritti e le libertà dei terzi, a meno che tali sistemi non siano a disposizione del pubblico per segnalare un reato.

2. I fornitori di sistemi di IA, compresi i sistemi di IA per finalità generali, che generano contenuti audio, immagine, video o testuali sintetici, garantiscono che gli output del sistema di IA siano marcati in un formato leggibile meccanicamente e rilevabili come generati o manipolati artificialmente. I fornitori garantiscono che le loro soluzioni tecniche siano efficaci, interoperabili, solide e affidabili nella misura in cui ciò sia tecnicamente possibile, tenendo conto delle specificità e dei limiti dei vari tipi di contenuti, dei costi di attuazione e dello stato dell'arte generalmente riconosciuto, come eventualmente indicato nelle pertinenti norme tecniche. Tale obbligo non si applica se i sistemi di IA svolgono una funzione di assistenza per l'editing standard o non modificano in modo sostanziale i dati di input forniti dal deployer o la rispettiva semantica, o se autorizzati dalla legge ad accertare, prevenire, indagare o perseguire reati.

3. I deployer di un sistema di riconoscimento delle emozioni o di un sistema di categorizzazione biometrica informano le persone fisiche che vi sono esposte in merito al funzionamento del sistema e trattano i dati personali in conformità dei regolamenti (UE) 2016/679 e (UE) 2018/1725 e della direttiva (UE) 2016/680, a seconda dei casi. Tale obbligo non si applica ai sistemi di IA utilizzati per la categorizzazione biometrica e il riconoscimento delle emozioni autorizzati dalla legge per accertare, prevenire o indagare reati, fatte salve le tutele adeguate per i diritti e le libertà dei terzi e conformemente al diritto dell'Unione.

4. I deployer di un sistema di IA che genera o manipola immagini o contenuti audio o video che costituiscono un «deep fake» rendono noto che il contenuto è stato generato o manipolato artificialmente. Tale obbligo non si applica se l'uso è autorizzato dalla legge per accertare, prevenire, indagare o perseguire reati. Qualora il contenuto faccia parte di un'analoga opera o di un programma manifestamente artistici, creativi, satirici o fittizi, gli obblighi di trasparenza di cui al presente paragrafo si limitano all'obbligo di rivelare l'esistenza di tali contenuti generati o manipolati in modo adeguato, senza ostacolare l'esposizione o il godimento dell'opera. I deployer di un sistema di IA che genera o manipola testo pubblicato allo scopo di informare il pubblico su questioni di interesse pubblico rendono noto che il testo è stato generato o manipolato artificialmente. Tale obbligo non si applica se l'uso è autorizzato dalla legge per accertare, prevenire, indagare o perseguire reati o se il contenuto generato dall'IA è stato sottoposto a un processo di revisione umana o di controllo editoriale e una persona fisica o giuridica detiene la responsabilità editoriale della pubblicazione del contenuto.

5. Le informazioni di cui ai paragrafi da 1 a 4 sono fornite alle persone fisiche interessate in maniera chiara e distinguibile al più tardi al momento della prima interazione o esposizione. Le informazioni devono essere conformi ai requisiti di accessibilità applicabili.

6. I paragrafi da 1 a 4 lasciano impregiudicati i requisiti e gli obblighi di cui al capo III, così come gli altri obblighi di trasparenza stabiliti dal diritto dell'Unione o nazionale per i deployer dei sistemi di IA.

7. L'ufficio per l'IA incoraggia e agevola l'elaborazione di codici di buone pratiche a livello dell'Unione per facilitare l'efficace attuazione degli obblighi relativi alla rilevazione e all'etichettatura dei contenuti generati o manipolati artificialmente. La Commissione può adottare atti di esecuzione per approvare tali codici di buone pratiche secondo la procedura di cui all'articolo 56, paragrafo 6. Se ritiene che il codice non sia adeguato, la Commissione può adottare un atto di esecuzione che specifichi norme comuni per l'attuazione di tali obblighi secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.

Stesso numero, altri codici

Commento

La trasparenza come pilastro dell'AI Act: struttura e destinatari dell'art. 50

L'art. 50 del Regolamento (UE) 2024/1689 presidia uno dei valori fondanti dell'intera architettura normativa: il diritto delle persone di sapere quando stanno interagendo con un sistema di intelligenza artificiale e quando i contenuti che consumano sono stati generati o manipolati artificialmente. La norma si inserisce nella fascia del rischio limitato della piramide AI Act — sistemi che non richiedono i requisiti stringenti dell'alto rischio, ma che per la loro natura interattiva o generativa possono influenzare opinioni, decisioni e comportamenti. Gli obblighi si distribuiscono tra fornitore (chi progetta e immette sul mercato il sistema) e deployer (chi lo utilizza nell'ambito della propria attività): la distinzione è rigorosa e incide sulla catena di responsabilità.

Obbligo di disclosure dell'interazione con IA (par. 1)

Il par. 1 impone al fornitore un obbligo di design: i sistemi destinati a interagire direttamente con persone fisiche devono essere progettati in modo che queste vengano informate di stare parlando con un'intelligenza artificiale. L'obbligo ha una soglia di esenzione funzionale: se, dal punto di vista di una persona «ragionevolmente informata, attenta e avveduta», è già evidente dal contesto che si tratta di IA, l'informazione non è necessaria. Ciò significa che un chatbot integrato in un sito web con un'interfaccia palesemente automatizzata («Ciao, sono il tuo assistente virtuale!») può soddisfare l'obbligo implicitamente. Al contrario, un sistema conversazionale addestrato a simulare un operatore umano reale — inclusa la capacità di negare di essere una macchina — non può mai considerarsi esentato. L'esenzione per finalità di contrasto penale è esplicita nel testo, ma condizionata al rispetto delle tutele per i diritti dei terzi. Cruciale per le imprese: questo obbligo nasce in capo al fornitore nella fase di progettazione; il deployer che abilita la funzionalità ha una responsabilità secondaria ma non può «sanare» un sistema progettato per ingannare.

Watermarking dei contenuti sintetici (par. 2)

Il par. 2 introduce l'obbligo — anch'esso in capo al fornitore — di marcatura dei contenuti generati artificialmente. I sistemi che generano audio, immagini, video o testi sintetici devono garantire che i loro output siano «marcati in un formato leggibile meccanicamente» come generati o manipolati artificialmente. Le soluzioni tecniche devono essere efficaci, interoperabili, solide e affidabili, nei limiti di ciò che è tecnicamente possibile tenuto conto dei costi e dello stato dell'arte. La norma introduce flessibilità calibrata sulla realtà tecnologica: il legislatore sa che il watermarking perfetto non esiste (né per l'audio né per il testo), ma impone un obbligo di mezzi qualificato. Le esenzioni sono precise: sistemi di editing standard che non modificano sostanzialmente l'input, sistemi autorizzati per finalità di contrasto penale. Per i fornitori di modelli per finalità generali (GPAI) che generano contenuti — categoria disciplinata dagli artt. 51 ss. — questo obbligo si affianca agli obblighi specifici GPAI. Operativamente, i fornitori devono adottare standard tecnici di marcatura (C2PA, metadati IPTC, steganografia) e documentare le scelte effettuate in relazione allo stato dell'arte.

Obblighi del deployer per riconoscimento delle emozioni e categorizzazione biometrica (par. 3)

Il par. 3 sposta il focus sul deployer: chi mette in servizio sistemi di riconoscimento delle emozioni o di categorizzazione biometrica deve informare le persone fisiche esposte del funzionamento del sistema e trattare i dati personali in conformità del GDPR (Reg. 2016/679) e — per le istituzioni UE — del Reg. 2018/1725. Il raccordo con il GDPR è qui esplicito e bidirezionale: i sistemi di riconoscimento delle emozioni e categorizzazione biometrica trattano quasi sempre dati biometrici e dati relativi alla salute, categorie speciali ai sensi dell'art. 9 GDPR. Il deployer che vuole usare tali sistemi deve quindi: informare preventivamente le persone esposte (con le modalità richieste sia dall'art. 50 AI Act sia dall'art. 13 o 14 GDPR); verificare la base giuridica per il trattamento di dati biometrici; condurre una DPIA se il trattamento presenta rischi elevati per i diritti degli interessati. L'esenzione vale solo per i sistemi autorizzati dalla legge a fini di contrasto penale.

Deepfake e contenuti informativi manipolati (par. 4)

Il par. 4 si occupa specificamente dei deepfake — contenuti audio, video o immagini che riproducono persone reali in situazioni mai verificatesi — e impone al deployer l'obbligo di disclosure esplicita. La norma distingue tre contesti: (a) deepfake «puri», per i quali la disclosure è obbligatoria senza eccezioni significative; (b) contesti artistici, satirici o fittizi, per i quali l'obbligo è attenuato — è sufficiente rivelare l'esistenza del contenuto generato artificialmente «in modo adeguato», senza ostacolare la fruizione dell'opera; (c) testi generati dall'IA e pubblicati per informare il pubblico su questioni di interesse pubblico — obbligo di disclosure, salvo che il testo sia stato sottoposto a revisione umana con responsabilità editoriale identificabile. Quest'ultima esenzione è particolarmente rilevante per editori e media: un articolo scritto da un giornalista che ha usato IA come strumento di assistenza editoriale, con verifica e responsabilità redazionale esplicita, non richiede la disclosure «questo testo è stato generato dall'IA». Il confine tra assistenza e generazione automatica è però una zona grigia che richiede protocolli editoriali chiari.

Modalità, tempistiche e accessibilità delle informazioni (par. 5 e 6)

Il par. 5 precisa le modalità di adempimento: le informazioni richieste dai paragrafi 1-4 devono essere fornite «in maniera chiara e distinguibile» al più tardi al momento della prima interazione o esposizione e devono rispettare i requisiti di accessibilità applicabili. Non è sufficiente un'informativa sepolta nelle condizioni generali: la disclosure deve essere contestuale, visibile e comprensibile. Il par. 6 chiarisce che gli obblighi dell'art. 50 non sostituiscono — ma si affiancano — agli obblighi di trasparenza dell'alto rischio (capo III) e ad altri obblighi di trasparenza del diritto UE o nazionale (inclusi quelli GDPR). Per i deployer di sistemi ad alto rischio che ricadono anche nell'art. 50, le due discipline si cumulano.

Governance dei codici di buone pratiche (par. 7)

Il par. 7 introduce un meccanismo di soft law evoluto: l'Ufficio per l'IA incoraggia la creazione di codici di buone pratiche sull'etichettatura e rilevazione dei contenuti artificialmente generati. La Commissione può approvare tali codici con atto di esecuzione, conferendo loro una forma di legittimazione istituzionale. Se ritiene i codici inadeguati, può adottare norme tecniche comuni con procedura d'esame. Questo meccanismo ricorda quello già collaudato con i codici di condotta GDPR (art. 40 Reg. 2016/679): la compliance volontaria anticipata ai codici, una volta approvati, può ridurre il rischio sanzionatorio. Le imprese attive nel settore del contenuto generativo farebbero bene a monitorare l'elaborazione di questi codici e a partecipare alle consultazioni.

Implicazioni pratiche e roadmap di compliance

Per le imprese italiane che sviluppano o utilizzano sistemi conversazionali, generativi o biometrici, l'art. 50 impone una revisione sistematica dei propri sistemi. Gli obblighi di trasparenza rientrano nella fascia degli obblighi applicabili dal 2 agosto 2026 ai sensi dell'art. 113, con alcune eccezioni. La roadmap operativa deve prevedere: mappatura di tutti i sistemi di IA in uso che interagiscono con persone fisiche; verifica dell'adeguatezza della disclosure attuale; implementazione di soluzioni tecniche di watermarking per i sistemi generativi; aggiornamento delle informative GDPR per i sistemi biometrici; revisione dei processi editoriali per i contenuti generati o assistiti dall'IA; e formazione del personale responsabile del deployment.

Casi pratici

Caso 1:

Caso 2:

Caso 3:

Domande frequenti

Un chatbot che si presenta con un nome di fantasia (es. 'Sara') deve dichiarare di essere un'intelligenza artificiale?

Sì, se interagisce direttamente con persone fisiche. Il nome di fantasia non equivale a disclosure dell'interazione con IA. Il fornitore deve progettare il sistema in modo che l'utente venga informato di stare interagendo con un sistema automatico, a meno che non sia già evidente dal contesto a una persona ragionevolmente attenta. Una semplice etichetta visibile nell'interfaccia ('Sono un assistente virtuale') è in genere sufficiente.

Quali soluzioni tecniche sono accettabili per il watermarking dei contenuti audio generati dall'IA?

L'art. 50, par. 2, richiede soluzioni efficaci, interoperabili, solide e affidabili nei limiti dello stato dell'arte. Non impone uno standard specifico: steganografia audio, metadati C2PA (Coalition for Content Provenance and Authenticity), hash crittografici incorporati nel file sono approcci attualmente discussi. L'Ufficio per l'IA sta promuovendo codici di buone pratiche che specificheranno standard concreti. Fino alla loro adozione, il fornitore deve documentare le scelte tecniche effettuate e la loro adeguatezza rispetto allo stato dell'arte.

Un editore che usa IA per generare bozze di articoli poi riviste da giornalisti deve dichiarare l'uso dell'IA?

No, se il testo è stato sottoposto a un processo di revisione umana o di controllo editoriale e una persona fisica o giuridica assume la responsabilità editoriale della pubblicazione. L'art. 50, par. 4, esonera espressamente questo caso per i testi informativi di interesse pubblico. Tuttavia, è fondamentale che la revisione sia sostanziale e che la responsabilità editoriale sia chiaramente identificabile e reale, non meramente formale.

Dal quando si applicano gli obblighi dell'art. 50?

Gli obblighi di trasparenza dell'art. 50 rientrano nella fascia degli adempimenti che, secondo il calendario di applicazione dell'art. 113, diventano pienamente esigibili dal 2 agosto 2026 per la maggior parte dei soggetti. Verificare sempre la data specifica applicabile alla propria categoria in relazione al tipo di sistema usato.

Cosa deve fare un deployer che usa un sistema di categorizzazione biometrica già in esercizio prima del 2 agosto 2026?

Il deployer deve prepararsi per tempo: aggiornare le informative agli interessati includendo il funzionamento del sistema biometrico, verificare la base giuridica GDPR per il trattamento di dati biometrici (categoria speciale), valutare se condurre una DPIA aggiornata, e allineare le procedure operative al rispetto congiunto di AI Act e GDPR. Non è sufficiente aspettare la data di applicazione: la preparazione tecnica e documentale richiede tempo.

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.