La Commissione europea, attraverso l’AI Office, ha pubblicato la prima bozza del Code of Practice on marking and labelling of AI-generated content, concepito per supportare l’attuazione degli obblighi di trasparenza previsti dall’articolo 50 dell’AI Act. Il focus è circoscritto ma strategico: la marcatura, la rilevabilità e l’etichettatura dei contenuti generati o manipolati dall’intelligenza artificiale, inclusi i deep fake.
Formalmente non si tratta di un atto vincolante. Sostanzialmente, però, il posizionamento temporale e contenutistico lo rendono un chiaro strumento di pre-compliance: il Codice nasce come ponte operativo verso l’AI Act, anticipandone logica, linguaggio e aspettative di compliance, (in particolare per i General Purpose AI models). Oggi viene definito ciò che domani sarà considerato comportamento diligente, in vista dell’entrata in applicazione delle regole nell’agosto 2026.
Articolo 50 AI Act: dalla trasparenza del sistema alla trasparenza del contenuto
L’articolo 50 dell’AI Act introduce un principio di rottura nella regolazione dell’IA generativa: la trasparenza non riguarda il sistema, ma il contenuto. L’obiettivo è ridurre i rischi di inganno, manipolazione e disinformazione, tutelando l’integrità dell’ecosistema informativo e la fiducia del pubblico.
In questo contesto, il Code of Practice si colloca come strumento di soft law guidata, destinato a tradurre obblighi normativi astratti in prassi tecniche e organizzative concrete. Non sostituisce la norma, ma ne anticipa l’interpretazione applicativa, diventando un benchmark di compliance per provider e deployer di sistemi di IA generativa.
Il principio sottostante è quello, ormai ricorrente nel diritto digitale europeo, della accountability ex ante: non basta rispettare la norma quando diventa obbligatoria, occorre dimostrare di aver costruito fin da subito un sistema di governance coerente con i suoi obiettivi. In questo senso, il Codice non è un’alternativa alla regolazione, ma un pre-enforcement framework.
È la stessa logica già vista in altri ambiti del diritto digitale europeo: la soft law non è alternativa alla regolazione, ma ne costituisce l’anticamera operativa.
Il Code of Practice come strumento operativo di compliance preventiva
Il perimetro del Codice è direttamente allineato alla struttura dell’articolo 50 AI Act ed è organizzato attorno a due working group, che riflettono la distinzione normativa tra fornitori e utilizzatori dei sistemi di IA generativa.
- Provider: marking e rilevabilità dei contenuti
Il primo gruppo di lavoro è dedicato ai provider di sistemi di IA generativa. Gli obblighi di riferimento impongono che gli output dei sistemi – testo, immagini, audio e video – siano:
– marcati in formato machine-readable;
– rilevabili come artificialmente generati o manipolati.
Il Codice chiarisce che le soluzioni tecniche adottate devono essere efficaci, interoperabili, robuste e affidabili, per quanto tecnicamente fattibile. Devono inoltre tenere conto delle specificità dei diversi tipi di contenuto, dei costi di implementazione e dello stato dell’arte tecnologico, come riflesso negli standard tecnici pertinenti.
Qui emerge un punto centrale di governance: il regolatore non impone una tecnologia specifica, ma definisce criteri di adeguatezza tecnica. Tali criteri sono destinati a diventare parametri di valutazione ex post, sia in sede di vigilanza sia, potenzialmente, in sede giudiziaria.
- Deployer: disclosure e contesto informativo
Il secondo gruppo di lavoro riguarda i deployer dei sistemi di IA generativa e si concentra sugli obblighi di disclosure verso il pubblico. In particolare:
– deve essere dichiarato il contenuto artificialmente generato o manipolato che costituisce un deep fake;
– deve essere indicato l’uso di IA nella pubblicazione di testi su temi di interesse pubblico, salvo che il contenuto sia stato sottoposto a revisione umana e rientri sotto responsabilità editoriale.
Questa distinzione dimostra che la trasparenza non è assoluta, ma contestuale al rischio di inganno. Il Codice rafforza così una lettura sostanziale dell’articolo 50: non ogni contenuto AI richiede disclosure, ma ogni contenuto potenzialmente fuorviante sì.
- Questioni trasversali e cooperazione di filiera
Entrambi i working group affrontano anche temi orizzontali, come:
– le informazioni da fornire alle persone fisiche ai sensi dell’articolo 50(5);
– la necessità di cooperazione tra gli attori della catena del valore, condizione essenziale per rendere effettiva la marcatura e l’etichettatura lungo l’intero ciclo di vita del contenuto.
Il processo di drafting riflette questa impostazione sistemica: coinvolge provider, deployer, sviluppatori di tecniche di detection, piattaforme online, accademici e società civile, in un arco temporale di circa sette mesi, con pubblicazione finale prevista entro metà 2026.
Dal volontario al difendibile: il Code of Practice come benchmark di diligenza
Dal punto di vista della compliance, il Codice introduce un cambio di passo significativo. Anticipa il “come” prima del “quando”, suggerendo azioni concrete (mappatura dei casi d’uso, definizione di policy interne sui contenuti generati, processi di supervisione umana, documentazione delle scelte tecniche) e offrendo a imprese e organizzazioni il tempo necessario per strutturare processi, policy e soluzioni tecniche prima dell’entrata in applicazione degli obblighi legali. Tutti elementi che convergono in un obiettivo preciso: essere audit-ready prima ancora che l’audit diventi obbligatorio.
Il rischio principale non è la mancata adesione formale al Codice, ma l’assenza di un framework equivalente. In fase di enforcement, l’adozione del Codice – se approvato dalla Commissione – potrà costituire un elemento di dimostrazione della diligenza organizzativa. Al contrario, la mancanza di misure analoghe espone a rischi:
– regolatori, nella valutazione del rispetto dell’articolo 50;
– reputazionali, in un contesto di crescente sensibilità ai contenuti sintetici;
– contrattuali, lungo la supply chain, dove l’adesione a standard di trasparenza diventerà requisito di accesso.
In questo senso, il Codice funziona come strumento di audit readiness: prepara le organizzazioni a dimostrare, non solo ad affermare, la propria conformità.
Quando la soft law anticipa l’enforcement: la trasparenza come imperativo di governance
Il Code of Practice su marking e labelling dei contenuti generati dall’IA non è un esercizio consultivo, ma un meccanismo di traduzione operativa dell’AI Act. Definisce con largo anticipo quali comportamenti saranno considerati coerenti con gli obblighi di trasparenza e quali, invece, difficilmente difendibili.
La tesi di fondo è chiara: nella governance europea dell’IA generativa, la compliance non è più un adempimento tardivo, ma una competenza strategica. Trattare oggi il “volontario” come se fosse già obbligatorio significa posizionarsi correttamente nel mercato regolato di domani. E, nel diritto tecnologico europeo, questa differenza è tutt’altro che marginale.
