News

AI Act: come adeguare sito e marketing alle nuove scadenze

Se il tuo sito ha un chatbot, pubblichi contenuti generati con strumenti di intelligenza artificiale o hai automazioni nei processi, il regolamento europeo sull'intelligenza artificiale ti riguarda già, anche se non sviluppi modelli e non vendi software. La buona notizia è che per un sito aziendale tipico gli adempimenti sono pochi e concreti. Questa è…

AI Act: scudo con circuiti, bilancia e checklist di conformità per adeguare il sito

Se il tuo sito ha un chatbot, pubblichi contenuti generati con strumenti di intelligenza artificiale o hai automazioni nei processi, il regolamento europeo sull’intelligenza artificiale ti riguarda già, anche se non sviluppi modelli e non vendi software. La buona notizia è che per un sito aziendale tipico gli adempimenti sono pochi e concreti. Questa è la guida operativa: cosa modificare sul sito, con quali testi, dove metterli, e come costruire l’inventario e la documentazione che la normativa chiede. Con le scadenze vere, riscritte dal Digital Omnibus.

Le scadenze dopo il Digital Omnibus

Il 16 giugno 2026 il Parlamento europeo ha approvato il pacchetto di semplificazione dell’AI Act, noto come Digital Omnibus AI. Il calendario che ne esce: le regole sui sistemi ad alto rischio slittano tra il 2027 e il 2028 a seconda della categoria, dal 2 dicembre 2026 scattano i divieti espliciti sulle applicazioni di “nudificazione” e sui sistemi che generano materiale di abuso su minori, mentre gli obblighi di trasparenza restano operativi. Manca l’adozione formale del Consiglio Ue, ma la direzione è chiara: più tempo sui temi di prodotto, meno tempo sui temi di contenuto e comunicazione. Ed è proprio dai contenuti che un sito aziendale deve partire.

Il chatbot deve dichiararsi

L’obbligo di trasparenza più immediato: chi interagisce con un sistema automatico deve saperlo. Se sul sito hai un chatbot o un assistente virtuale, la dichiarazione va nel primo messaggio della conversazione, non nelle condizioni d’uso. Un testo che funziona, da adattare: “Ciao! Sono l’assistente virtuale di [azienda], un sistema automatico basato su intelligenza artificiale. Posso sbagliare: per parlare con una persona scrivi ‘operatore’ o usa la pagina contatti”.

Nel nome e nell’intestazione del widget scrivi “Assistente virtuale” o “Assistente AI”, non un nome di persona con una foto di repertorio: il chatbot travestito da dipendente è esattamente ciò che la norma vuole evitare. Prevedi anche una via d’uscita verso un canale umano. Non è richiesta espressamente in ogni caso, ma chiude ogni contestazione e migliora pure l’esperienza. Dove si fa, in pratica: nei widget più diffusi il messaggio di benvenuto e il nome del bot sono impostazioni del pannello, di solito sotto le voci “widget”, “aspetto” o “messaggi automatici”. È la modifica più rapida di tutta la lista.

Contenuti generati con l’AI: quando e come etichettarli

Immagini, audio e video generati o manipolati con l’AI vanno dichiarati come tali. Per le immagini sintetiche basta una didascalia o una nota a piè di articolo: “Immagine generata con intelligenza artificiale”. Se l’immagine è ritoccata ma reale non serve; se è sintetica al punto da sembrare una foto vera serve eccome, ed è il caso più delicato perché confina col deepfake. Per video e audio sintetici la dichiarazione va all’inizio o in sovrimpressione, non solo nella descrizione: voci clonate e avatar parlanti rientrano qui. La direzione europea spinge inoltre verso watermark e metadati di provenienza (lo standard emergente è Content Credentials, C2PA), che alcuni strumenti applicano già in automatico.

Per i testi l’obbligo generalizzato non c’è, con un’eccezione rilevante: i testi pubblicati per informare il pubblico su questioni di interesse pubblico richiedono la dichiarazione, salvo revisione umana con responsabilità editoriale. La prassi che consiglio: se l’AI è lo strumento e la revisione è tua, dichiara la metodologia in una pagina di trasparenza del sito invece di bollare ogni articolo. L’importante è definire una regola interna unica su quando si etichetta, con che formula e dove, e applicarla a tutto il flusso di pubblicazione: il criterio non può essere “a sensazione, articolo per articolo”. Su questo fronte le regole vanno lette insieme alle indicazioni che ho raccolto su come usare l’AI nel marketing rispettando privacy e regole e su come ottimizzare i contenuti per le ricerche AI.

Privacy policy: la sezione che manca quasi sempre

Il regolamento si intreccia col GDPR: se il chatbot invia le conversazioni a un fornitore esterno, o se profili gli utenti con sistemi automatici, la privacy policy deve dirlo. L’aggiunta concreta è una sezione “Strumenti di intelligenza artificiale” che elenca dove l’AI entra nel servizio (chatbot, raccomandazioni, generazione contenuti) e quali dati tratta. Per ogni strumento vanno indicati il fornitore, dove vengono trattati i dati (Ue o extra Ue) e con quale base giuridica: sono informazioni che stanno nel DPA del fornitore, e se il fornitore non te lo dà è un segnale d’allarme sul fornitore prima ancora che sulla policy. Se poi usi decisioni automatizzate che toccano le persone, come scoring o filtri sulle candidature, l’informativa deve spiegarlo esplicitamente: qui GDPR e regolamento AI chiedono la stessa cosa da due direzioni.

L’inventario dei sistemi AI, il documento che ti salva

Tutta la conformità poggia su una domanda: quali sistemi di intelligenza artificiale usi davvero? La risposta non si tiene a mente, si scrive. Il formato che uso è una tabella in un foglio di calcolo con sei colonne: strumento (nome e versione), uso concreto e processo in cui entra, dati in ingresso, output e chi lo vede, fornitore con relativo contratto, classificazione del rischio. Nella colonna strumenti non dimenticare quelli meno visibili: oltre a chatbot e assistenti di scrittura ci vanno scoring automatici, sistemi di matching, dashboard predittive.

Compilata la tabella, la classificazione ti dice dove guardare. Le categorie ad alto rischio dell’AI Act includono i sistemi usati in ambito sanitario, nelle decisioni di credito, nelle selezioni del personale e nella gestione di infrastrutture critiche: scenari in cui un errore dell’algoritmo produce danni concreti su persone reali. Per la maggior parte dei siti aziendali l’inventario si ferma alla trasparenza, e i tre passi precedenti chiudono il lavoro. Se qualche riga finisce in alto rischio, lo slittamento al 2027-2028 è il tempo per arrivare preparati, non per rimandare: è una proroga, non una cancellazione. Le indicazioni operative per strutturare inventario, governance e documentazione le ho raccolte in come integrare l’AI in azienda.

Le clausole da mettere nei contratti con i fornitori

Se l’AI la usa la tua agenzia per i tuoi contenuti, la responsabilità verso il pubblico resta tua. Nel contratto o nell’incarico vanno messe per iscritto quattro cose: quali strumenti generativi il fornitore usa per il tuo progetto e con quali filtri; chi etichetta i contenuti sintetici, con quale formula, e chi risponde se l’etichetta manca; la garanzia che i contenuti consegnati non violino diritti di terzi e che i modelli usati siano strumenti commerciali con termini d’uso verificabili; l’impegno a tenere traccia di modelli e processi e a metterla a disposizione in caso di contestazione.

Queste clausole sono anche un test su chi hai davanti: un’agenzia che usa l’AI seriamente risponde in un giorno, una che fa AI-washing va in difficoltà. Ne ho scritto a proposito di come riconoscere un’agenzia AI-driven vera.

Da dove cominciare

L’ordine che consiglio parte dagli interventi più rapidi e visibili: prima la dichiarazione del chatbot, poi la regola di etichettatura dei contenuti sintetici applicata al flusso di pubblicazione, quindi la sezione AI nella privacy policy con i DPA dei fornitori alla mano. A seguire l’inventario dei sistemi, che vive e si aggiorna nel tempo, e le clausole contrattuali alla prima occasione di rinnovo, o subito se i contenuti sono il cuore del rapporto col fornitore. I divieti del 2 dicembre 2026 riguardano pratiche che un’azienda seria non fa comunque, e le scadenze 2027-2028 toccano solo le righe ad alto rischio dell’inventario. Il grosso, per un sito tipico, sta nei primi tre interventi.

Domande frequenti

Il regolamento vale anche per una piccola azienda che usa ChatGPT?

Sì, ma con proporzione. Chi usa strumenti generativi per produrre contenuti o assistere i clienti ha soprattutto obblighi di trasparenza e di uso consapevole, non gli adempimenti pesanti previsti per chi sviluppa o distribuisce sistemi ad alto rischio. La dimensione dell’azienda non esenta, ma il tipo di uso ridimensiona molto il carico.

Devo scrivere su ogni articolo che è stato generato con l’AI?

Per i testi con revisione umana e responsabilità editoriale no: la prassi corretta è dichiarare la metodologia in una pagina di trasparenza del sito. L’etichetta puntuale è invece necessaria su immagini, audio e video sintetici, e sui testi informativi di interesse pubblico pubblicati senza revisione umana.

Quando entrano in vigore le nuove regole dell’AI Act?

I divieti su nudificazione e materiale di abuso su minori si applicano dal 2 dicembre 2026. Le regole sui sistemi ad alto rischio slittano tra il 2027 e il 2028 secondo il calendario riscritto dal Digital Omnibus, che attende l’adozione formale del Consiglio Ue. Gli obblighi di trasparenza già previsti dal regolamento restano operativi.

Cosa rischia chi non si adegua?

Il regolamento prevede sanzioni severe, che per le pratiche vietate possono arrivare fino a 35 milioni di euro o al 7% del fatturato mondiale annuo. Per gli obblighi di trasparenza le soglie sono più basse ma comunque significative. Il rischio più concreto per un’azienda piccola, però, è rincorrere l’adeguamento in emergenza, con costi e fretta evitabili.

Vuoi sapere quali di questi passi toccano davvero il tuo sito? Raccontami come usi l’AI nella tua azienda e ti dico con onestà cosa va sistemato subito e cosa può aspettare. Parliamone qui.

Newsletter

Un'email ogni due settimane.

Articoli nuovi, case study, strumenti testati. Niente spam — se non ti piace, un click e ti cancelli.

Hai un progetto simile?

Parliamone 30 minuti.
Zero impegno.

Scrivimi cosa vuoi ottenere. Se posso farlo bene ti rispondo in giornata — altrimenti ti indirizzo a chi lo fa meglio di me.