Il 2 agosto 2026 è tra meno di quattro mesi. È la data in cui entrano in vigore gli obblighi più importanti dell'AI Act — il regolamento europeo sull'intelligenza artificiale — e in particolare quelli che riguardano chi ha un chatbot sul proprio sito web.
Se provi a cercare cosa devi fare, ti escono articoli pieni di sigle: "Art. 50", "Allegato III", "GPAI", "deployer" contro "provider", "doppia compliance" con la Legge 132/2025. Il risultato è che molti titolari di piccole imprese chiudono la pagina pensando: mi serve un avvocato per capire se quel chatbot sul mio sito mi mette nei guai.
La buona notizia è che per la stragrande maggioranza dei siti — uno studio dentistico, un ristorante, un hotel, un piccolo e-commerce — le cose da fare sono poche e concrete. Non serve un ufficio legale. Serve capire quali regole si applicano davvero al tuo caso, quali no, e cosa devi cambiare prima di agosto.
Questa guida fa esattamente questo.
Cosa cambia il 2 agosto 2026
L'AI Act è già operativo per alcune parti. Dal 2 febbraio 2025 sono vietate certe pratiche — sorveglianza biometrica di massa, manipolazione subliminale, social scoring. Dal 2 agosto 2025 si applicano gli obblighi per i modelli di AI di uso generale (ChatGPT, Claude, Gemini e simili), ma quelli riguardano chi li produce, non chi li usa.
La data del 2 agosto 2026 è diversa. È la scadenza che tocca te, se sul tuo sito c'è un assistente AI. Scattano due categorie di obblighi: quelli per i sistemi classificati "ad alto rischio" (che riguardano settori specifici: sanità, istruzione, assunzioni, credito, giustizia) e quelli di trasparenza previsti dall'articolo 50.
Per un chatbot su un sito di un'attività locale, è l'articolo 50 a fare la differenza. Ed è un articolo molto più semplice di quanto sembri.
I quattro obblighi che si applicano a un chatbot
L'articolo 50 dell'AI Act impone quattro cose concrete. Vediamole una per una, applicate al caso di un chatbot su un sito aziendale.
1. L'utente deve sapere che sta parlando con un'AI
Questa è la regola base. Se un visitatore apre la chat sul tuo sito, deve essere informato che dall'altra parte non c'è una persona ma un sistema di intelligenza artificiale. Non serve un trattato: basta un messaggio di benvenuto chiaro, del tipo "Ciao, sono l'assistente AI di [Nome attività]. Come posso aiutarti?".
La norma prevede un'eccezione: l'avviso non è obbligatorio se è "ovvio per una persona ragionevolmente informata, attenta e avveduta". In pratica, se la tua chat si chiama "IperAssistente" e parla di te in terza persona, probabilmente è già ovvio che non sia un umano. Ma l'avviso esplicito resta la scelta più sicura — e costa zero.
2. L'informazione deve essere chiara e tempestiva
L'avviso deve arrivare al momento della prima interazione, non nascosto in una pagina legale o nel footer. Un messaggio di apertura nella chat, un'etichetta visibile sul widget o una frase nel tooltip di benvenuto sono tutti modi accettabili.
La norma richiede anche che l'informazione sia accessibile. Se il tuo sito è visitato da persone con disabilità, il messaggio deve essere leggibile da screen reader e avere un contrasto sufficiente. Nella pratica, seguire le linee guida WCAG — ormai standard per i siti ben fatti — copre anche questo requisito.
3. I contenuti generati dall'AI devono essere riconoscibili
Questo è il punto che genera più confusione. L'articolo 50 prevede che "i contenuti generati o manipolati dall'AI debbano essere chiaramente marcati e rilevabili come tali".
Per un chatbot conversazionale che risponde a domande su servizi, orari e prodotti, il requisito è soddisfatto dal primo obbligo: se l'utente sa che sta parlando con un'AI, sa anche che le risposte sono generate da un'AI.
Il punto diventa più delicato se usi l'AI per produrre articoli, descrizioni di prodotto o email di marketing che pubblichi come se fossero scritti da una persona. In quel caso, se il testo riguarda temi di "interesse pubblico" — informazione, salute, politica, servizi pubblici — la norma richiede un'etichetta esplicita. Per un testo commerciale su un prodotto, l'obbligo non scatta direttamente, ma la Commissione UE sta pubblicando un Codice di Pratica (prima bozza dicembre 2025, versione finale attesa a giugno 2026) che preciserà i dettagli tecnici di marcatura.
4. Se usi l'AI per deepfake o riconoscimento emozionale, devi dirlo
Questo è il quarto obbligo, ed è quello che quasi sicuramente non ti riguarda. L'articolo 50 prevede informative aggiuntive se il tuo sistema riconosce emozioni o esegue classificazione biometrica (per esempio analizza l'umore dell'utente dalla webcam), oppure genera o manipola immagini, audio o video che rappresentano persone reali (i deepfake).
Un chatbot testuale che risponde a domande non fa niente di tutto questo. Se la tua AI si limita a conversare via testo o a leggere i tuoi documenti aziendali per dare risposte, questi due obblighi non si applicano.
Cosa NON devi fare (il sospiro di sollievo)
Quando si legge l'AI Act per la prima volta, l'impressione è che serva una documentazione tecnica da centinaia di pagine. È vero per i sistemi "ad alto rischio" — quelli usati in ambito sanitario, giudiziario, scolastico, nelle assunzioni, nel credito. Per un chatbot di un'azienda che risponde a domande sui servizi, non si applica.
Nello specifico, se il tuo assistente AI si limita a rispondere a domande frequenti sui tuoi prodotti o servizi, a fornire orari, indicazioni, contatti, a catturare l'email di chi vuole essere ricontattato o a prendere prenotazioni semplici, non ricadi nella categoria "alto rischio". Non devi fare valutazioni d'impatto, registrazioni in banche dati UE, analisi dei rischi documentate. Devi solo rispettare i quattro obblighi di trasparenza che abbiamo appena visto.
Il contesto italiano: la Legge 132/2025
C'è un secondo livello di cui tenere conto, se la tua attività è in Italia. La Legge 23 settembre 2025, n. 132, entrata in vigore il 10 ottobre 2025, è la prima normativa italiana organica sull'AI. Non sostituisce l'AI Act — lo integra, riempiendo gli spazi che il regolamento europeo lasciava alla discrezionalità degli Stati membri.
Cosa aggiunge, in pratica, per chi gestisce un chatbot?
Le autorità competenti in Italia sono l'AgID (Agenzia per l'Italia Digitale), che svolge il ruolo di autorità di notifica, e l'ACN (Agenzia per la Cybersicurezza Nazionale), che ha poteri di vigilanza di mercato e sanzionatori. Il Garante per la Privacy resta competente per gli aspetti di protezione dei dati personali — che nella chat sono inevitabili, perché tutto quello che l'utente scrive è potenzialmente un dato personale.
Per le PMI, la legge prevede iter semplificati, sconti sulle tariffe di certificazione e accesso prioritario alle regulatory sandbox — ambienti di sperimentazione controllata dove testare soluzioni AI prima del lancio. Sono tutele pensate proprio per evitare che il peso della compliance schiacci le realtà piccole.
L'espressione "doppia compliance" — che trovi spesso negli articoli — significa semplicemente che devi rispettare sia l'AI Act europeo sia la legge italiana. Per un chatbot standard su un sito aziendale, le due normative convergono sugli stessi obblighi pratici.
Le sanzioni: cosa rischi davvero
Quando si parla di AI Act, i titoli dei giornali riportano multe fino a 35 milioni di euro. È una cifra vera, ma riferita alle violazioni più gravi — quelle relative alle pratiche vietate, non alla trasparenza del tuo chatbot.
Il sistema sanzionatorio dell'articolo 99 prevede tre livelli: fino a 35 milioni di euro o il 7% del fatturato mondiale per chi viola i divieti assoluti, fino a 15 milioni o il 3% del fatturato per la violazione degli altri obblighi (inclusa la trasparenza dell'articolo 50) e fino a 7,5 milioni o l'1% per informazioni false o incomplete fornite alle autorità.
Per una PMI, il regolamento prevede esplicitamente che si applichi l'importo inferiore tra i due (non la percentuale del fatturato, ma la cifra fissa). E ancora di più: le autorità devono valutare le sanzioni in modo "proporzionato e tenendo conto della sostenibilità economica" delle piccole imprese.
Questo non significa che chi non rispetta la trasparenza la passa liscia. Significa che il rischio reale per un bar che mette un chatbot senza avviso AI non è una multa da 15 milioni — è un'ingiunzione delle autorità a conformarsi entro un termine e, in caso di inadempienza ripetuta, una sanzione proporzionata al danno effettivo e alla dimensione dell'impresa.
Il vero rischio, per le piccole attività, non è la multa punitiva. È l'effetto reputazionale di essere segnalati come non conformi in un momento in cui i clienti iniziano a guardare con attenzione il rapporto tra le aziende e l'AI.
La check-list in cinque punti
Tradurre tutto questo in azioni concrete da fare entro il 2 agosto 2026 è più semplice di quanto sembri. Ecco le cinque cose da verificare sul tuo chatbot.
Uno. Controlla che il messaggio di apertura della chat dichiari esplicitamente che si tratta di un assistente AI. Una frase come "Ciao, sono l'assistente virtuale AI di [nome]" è sufficiente. Evita formulazioni ambigue che possano far pensare a un operatore umano.
Due. Verifica dove sono archiviati i dati delle conversazioni. L'AI Act è un regolamento europeo e interagisce direttamente con il GDPR. Se il tuo provider archivia i dati in Europa e ti fornisce un DPA (Data Processing Agreement) conforme all'articolo 28 del GDPR, sei coperto. Se i dati vanno negli Stati Uniti senza garanzie, hai un problema che esiste già oggi — non ti servirà aspettare agosto per accorgertene.
Tre. Leggi il prompt di sistema del tuo chatbot e chiedi al tuo provider se puoi modificarlo. Devi poter dire all'AI cosa non dire: niente diagnosi, niente consulenze legali specifiche, niente orari inventati, niente appuntamenti promessi senza verifica. Un chatbot che "allucina" su temi sensibili è un rischio concreto, e l'articolo 50 non ti protegge se il problema è l'affidabilità della risposta.
Quattro. Se usi l'AI per generare contenuti pubblicati sul sito (articoli di blog, descrizioni prodotto, newsletter) e questi riguardano temi di interesse pubblico, pianifica una revisione editoriale umana documentata. L'articolo 50 esonera dall'obbligo di etichettatura se c'è "controllo editoriale umano" e "responsabilità editoriale" di una persona fisica o giuridica. Tenere traccia di chi rivede cosa, anche solo con una firma in fondo ai post, ti toglie il problema.
Cinque. Segna sul calendario le prossime tappe del Codice di Pratica sulla marcatura dei contenuti AI-generati. La prima bozza è stata pubblicata il 17 dicembre 2025, una seconda versione è attesa entro marzo 2026 e la versione finale a giugno, poco prima della scadenza. Se il tuo provider è serio, adeguerà gli strumenti automaticamente. Ma è utile avere una cartellina (fisica o digitale) dove archivi le comunicazioni del tuo provider sulla conformità — nel raro caso di controllo, dimostrare di aver agito con diligenza vale molto.
Non è solo compliance: è fiducia
L'AI Act è la prima normativa al mondo che prova a mettere ordine in un ambito fino a ieri scoperto. È perfettibile, a tratti farraginoso, criticato da chi pensa che rallenti l'innovazione. Ma il principio di fondo — chi interagisce con un'AI deve saperlo, chi produce contenuti con un'AI deve dichiararlo — è difficile da contestare.
Per una piccola attività italiana, c'è un aspetto che conta più della paura della sanzione. Il cliente che arriva sul tuo sito nel 2026 è un cliente che ha ormai familiarità con ChatGPT, con gli assistenti vocali, con le risposte generate dall'AI. Ed è sempre più attento a capire chi e come usa la sua immagine, le sue parole, i suoi dati.
Un chatbot trasparente, che dichiara cosa è, che usa un provider europeo conforme al GDPR, che dà risposte precise e non inventa quello che non sa, è un asset di fiducia. Non è un costo di compliance: è una rassicurazione concreta, al primo messaggio, che la tua attività ha scelto di fare le cose per bene.
La scadenza del 2 agosto 2026 non è una ghigliottina. È una data di maturità: il momento in cui il modo in cui usi l'AI nel tuo business smette di essere una scommessa privata e diventa parte del contratto di fiducia con i tuoi clienti.
Vuoi vedere come funzionerebbe un assistente AI conforme all'AI Act sul tuo sito, con i dati archiviati in Europa? Incolla l'URL del tuo sito su iperchat.ai e prova in 30 secondi — gratis, senza registrazione.