Il 2 agosto 2026 la Commissione europea assume poteri diretti di enforcement sui fornitori di modelli di IA per finalità generali (GPAI): è la data in cui il Regolamento (UE) 2024/1689 — l'AI Act — raggiunge la piena applicazione. Da quel giorno l'AI Office può esigere documentazione, ordinare valutazioni dei modelli con accesso strutturato, imporre misure correttive fino al ritiro dal mercato e infliggere sanzioni fino al 3% del fatturato mondiale annuo o a 15 milioni di euro, a seconda di quale importo risulti superiore. Due organismi indipendenti — un Comitato scientifico di 60 esperti e un Forum consultivo multi-stakeholder — sono operativi da giugno 2026 a supporto dell'enforcement, e il Piano d'azione UE su cybersicurezza e intelligenza artificiale, presentato il 7 luglio 2026, completa l'architettura di vigilanza.
Cosa si attiva il 2 agosto 2026
Il Regolamento (UE) 2024/1689 è entrato in vigore il 1° agosto 2024 e segue un calendario scaglionato fissato dall'articolo 113. I divieti e gli obblighi di alfabetizzazione all'IA si applicano dal 2 febbraio 2025. Gli obblighi sostanziali per i fornitori GPAI previsti dal Capo V — documentazione tecnica, informazioni per gli integratori a valle, una politica sul diritto d'autore, una sintesi pubblica dei contenuti di addestramento, oltre a doveri aggiuntivi per i modelli con rischio sistemico — si applicano dal 2 agosto 2025. Il potere sanzionatorio arriva per ultimo: l'articolo 113 riserva l'articolo 101 alla data di applicazione generale, il 2 agosto 2026. Da quel momento l'AI Office dispone dell'intero arsenale del Capo IX: richieste di documenti e informazioni ex articolo 91, valutazioni dei modelli con accesso strutturato ex articolo 92 e misure correttive ex articolo 93 — mitigazione dei rischi, restrizione della messa a disposizione sul mercato, richiamo e ritiro. Tra i presupposti delle sanzioni figurano la violazione dolosa o colposa degli obblighi rilevanti, l'inosservanza di una richiesta di informazioni, l'inosservanza di una misura ex articolo 93 e il rifiuto di concedere l'accesso al modello per una valutazione; l'articolo 101 copre anche la fornitura di informazioni «inesatte, incomplete o fuorvianti» in risposta a una richiesta. Valgono garanzie procedurali: la Commissione deve comunicare le conclusioni preliminari e garantire al fornitore il diritto di essere sentito, mentre la Corte di giustizia dell'Unione europea esercita una competenza estesa al merito e può annullare, ridurre o aumentare la sanzione.
L'enforcement guadagna muscoli scientifici indipendenti. Il 1° giugno 2026 la Commissione ha annunciato che un Comitato scientifico di 60 esperti indipendenti e un Forum consultivo sono operativi. Il Comitato assiste l'AI Office su classificazione dei modelli GPAI, rischi sistemici, metodologie di valutazione e vigilanza transfrontaliera del mercato; ai sensi dell'articolo 90 può emettere segnalazioni qualificate in grado di innescare valutazioni della Commissione. Il Forum consultivo riunisce accademia, società civile, industria, PMI e startup, con l'Agenzia UE per i diritti fondamentali ed ENISA come membri permanenti; il mandato dura due anni.
Chi deve agire ed entro quando
Rientra nel perimetro ogni fornitore che immette un modello GPAI sul mercato UE, ovunque sia stabilito; i fornitori con sede extra-UE devono nominare un rappresentante autorizzato ai sensi dell'articolo 54. Le scadenze sono scaglionate. I modelli immessi sul mercato dal 2 agosto 2025 devono già rispettare il Capo V, e dal 2 agosto 2026 quella conformità diventa sanzionabile. I modelli immessi sul mercato prima del 2 agosto 2025 beneficiano della transizione dell'articolo 111, paragrafo 3, con conformità richiesta entro il 2 agosto 2027. Le imprese che eseguono fine-tuning o modifiche sostanziali di un modello per finalità generali possono a loro volta qualificarsi come fornitori secondo le linee guida GPAI della Commissione — una questione di classificazione su cui il Comitato scientifico è chiamato a pronunciarsi. La stessa data porta obblighi oltre il perimetro GPAI: il 2 agosto 2026 si applica il grosso del regime ad alto rischio per i sistemi dell'allegato III e i regimi sanzionatori nazionali ex articolo 99 — fino a 35 milioni di euro o al 7% del fatturato per le pratiche vietate — devono essere pienamente operativi insieme alle autorità nazionali designate. Il conto alla rovescia è breve: meno di quattro settimane separano ormai i fornitori GPAI dalle sanzioni applicabili.
Il contesto di vigilanza si irrigidisce in parallelo. Il Piano d'azione UE su cybersicurezza e intelligenza artificiale, presentato il 7 luglio 2026, impegna la Commissione a una capacità europea di valutazione dei modelli avanzati, a un blueprint con ENISA per l'accesso strutturato alle capacità avanzate di IA, a una piattaforma sicura di test costruita con il Joint Research Centre e a una EU Grand Challenge sull'IA per la cybersicurezza. I consigli di amministrazione dovrebbero leggere il Piano come un segnale: la valutazione dei modelli e i test di sicurezza diventano funzioni istituzionali dell'UE, e le evidenze prodotte possono alimentare direttamente le valutazioni ex articolo 92.
La decisione da consiglio di amministrazione
L'azione di governance da compiere prima del 2 agosto 2026 è un fascicolo di prontezza «articolo 91» approvato dal board. Il General Counsel e il Chief Risk Officer devono consegnare, entro 21 giorni: un inventario completo di ogni modello GPAI che l'organizzazione sviluppa, adatta o integra; la verifica che ciascun fornitore a monte abbia pubblicato la sintesi dei contenuti di addestramento e la politica sul diritto d'autore; la conferma di un rappresentante autorizzato quando il fornitore ha sede fuori dall'UE; e un protocollo di risposta collaudato, capace di assemblare la documentazione per una richiesta di informazioni della Commissione entro i termini di legge. Le istituzioni già rodate su DORA o NIS2 possono estendere la stessa disciplina delle evidenze su richiesta; l'AI Act aggiunge un regolatore con portata tecnica a livello di modello. Quantificate l'esposizione nei verbali del consiglio — 3% del fatturato mondiale — e programmate un'attestazione trimestrale. I regolatori premiano le istituzioni capaci di produrre evidenze su richiesta; da agosto, la richiesta è reale.
Article by ATLAS — Governance & Compliance
ATLAS covers AI regulation from primary legal sources. Every obligation cited to the official document.