Il 2 agosto 2026 la Commissione europea acquisisce piena autorità di enforcement su ogni fornitore di modelli di intelligenza artificiale general-purpose (GPAI) con presenza sul mercato dell'Unione europea, chiudendo la finestra di adeguamento di dodici mesi aperta con l'entrata in vigore del Capitolo V del Regolamento (UE) 2024/1689 il 2 agosto 2025. I fornitori che hanno utilizzato questo periodo per costruire programmi di conformità si trovano davanti a una scadenza vincolante: dal 2 agosto 2026 la Commissione dispone di poteri di indagine, richieste documentali, valutazioni dei modelli e sanzioni pecuniarie.
Cosa impone il Capitolo V
L'articolo 53 definisce gli obblighi di base applicabili a tutti i fornitori GPAI indipendentemente dal luogo di stabilimento: manutenzione della documentazione tecnica per l'intero ciclo commerciale del modello; fornitura di tale documentazione ai fornitori a valle; adozione di una politica di conformità al diritto d'autore ai sensi del diritto dell'UE; e pubblicazione di un riassunto dei dati di addestramento. Qualsiasi entità che immette un modello GPAI sul mercato dell'UE rientra nel perimetro del Capitolo V. I fornitori di modelli con rischio sistemico — identificati per il superamento della soglia di 10²⁵ operazioni in virgola mobile dell'Allegato XIII o per designazione della Commissione ai sensi dell'articolo 51 — sono soggetti all'insieme di obblighi dell'articolo 55: test avversariali e valutazioni red-team, identificazione e mitigazione dei rischi sistemici, notifica degli incidenti alla Commissione e all'Ufficio per l'IA, e misure di sicurezza informatica commisurate alla scala del modello. Gli obblighi dell'articolo 55 rappresentano un onere di conformità materialmente superiore alla baseline dell'articolo 53 e richiedono programmi di documentazione, governance e audit distinti.
L'articolo 54 impone ai fornitori stabiliti al di fuori dell'UE la designazione di un rappresentante autorizzato con sede registrata in uno Stato membro. Gli articoli 51 e 52 introducono un obbligo di notifica prospettica: i fornitori i cui modelli raggiungono soglie di capacità ad alto impatto devono notificarlo alla Commissione entro due settimane. Il Comitato scientifico ai sensi dell'articolo 90 può emettere segnalazioni qualificate all'Ufficio per l'IA laddove emergano evidenze di rischi sistemici a scala, attivando procedure formali di indagine.
Chi deve agire e entro quando
Il quadro di enforcement individua tre categorie distinte. I fornitori che hanno immesso modelli GPAI sul mercato dell'UE a partire dal 2 agosto 2025 sono immediatamente soggetti agli obblighi degli articoli 53 e 55, con i poteri della Commissione pienamente operativi dal 2 agosto 2026. I fornitori i cui modelli erano già sul mercato prima del 2 agosto 2025 beneficiano di un periodo transitorio fino al 2 agosto 2027: i team legali di queste organizzazioni devono accelerare la costruzione di framework documentali completi, programmi di conformità al diritto d'autore e regimi di test avversariali prima di quella scadenza. I fornitori di modelli open-weight e open-source ottengono un adeguamento parziale: gli obblighi di base dell'articolo 53 si applicano integralmente, mentre gli obblighi dell'articolo 55 si applicano ai modelli che superano la soglia dell'Allegato XIII o ricevono una designazione di rischio sistemico. I team legali devono valutare il volume computazionale e la portata di distribuzione nell'UE con precisione prima di concludere che gli obblighi dell'articolo 55 restino fuori dal perimetro.
Dal 2 agosto 2026 la Commissione dispone di quattro categorie di poteri. Ai sensi dell'articolo 91, può richiedere documentazione e informazioni con obbligo di risposta completa e accurata. Ai sensi dell'articolo 92, può richiedere l'accesso al modello per valutazioni tecniche — comprensive di parametri, pesi e comportamento inferenziale. Ai sensi dell'articolo 93, può ordinare misure specifiche: rimedi di conformità, mitigazione dei rischi, restrizioni di mercato o ritiro totale. Il massimale sanzionatorio dell'articolo 101 per la violazione di questi requisiti procedurali è il valore più elevato tra EUR 15.000.000 e il 3% del fatturato mondiale totale annuo dell'esercizio precedente. Le autorità di vigilanza degli Stati membri possono richiedere l'intervento della Commissione ai sensi dell'articolo 88(2); i fornitori a valle possono presentare reclami ai sensi dell'articolo 89(2); l'Ufficio per l'IA funge da organo di coordinamento centrale con revisione giurisdizionale illimitata presso la Corte di Giustizia dell'UE.
La decisione a livello di board
I General Counsel e i Chief Risk Officer devono considerare il 2 agosto 2026 come un trigger di governance vincolante che richiede una valutazione su due direttrici. Prima direttrice: classificazione. Ogni modello GPAI in perimetro richiede una determinazione documentata circa il raggiungimento della soglia di rischio sistemico dell'Allegato XIII (10²⁵ FLOP) o di una designazione ai sensi dell'articolo 51 — i modelli che superano questa soglia sono soggetti all'insieme completo degli obblighi dell'articolo 55 con un programma di audit materialmente distinto dalla baseline dell'articolo 53. Seconda direttrice: disponibilità della documentazione. Le richieste ex articolo 91 possono pervenire in qualsiasi momento dopo il 2 agosto 2026 con tempistiche di risposta fissate dalla Commissione; le organizzazioni prive di pacchetti documentali tecnici completi rischiano un'esposizione immediata alle sanzioni. I board dovrebbero autorizzare una delibera di governance ante-agosto: una determinazione documentata che confermi che lo stato di conformità GPAI è stato esaminato per tutte le distribuzioni di modelli, che i rappresentanti autorizzati ex articolo 54 sono stati designati ove richiesto, e che le procedure di notifica degli incidenti all'Ufficio per l'IA sono operative. Tale delibera costituisce il primo elemento di difesa in qualsiasi procedimento della Commissione e dimostra il coinvolgimento in buona fede che l'articolo 101 richiede alla Commissione di valutare nel determinare l'entità delle sanzioni.
Articolo di ATLAS — Governance & Compliance
ATLAS copre la regolamentazione dell'IA da fonti legali primarie. Ogni obbligo citato è riferito al documento ufficiale.