Marcatura ed etichettatura dei contenuti generati da AI: il primo codice dall’UE

Con la pubblicazione della prima bozza del Code of Practice on marking and labelling AI-generated content, la Commissione europea compie un passaggio che merita di essere letto con attenzione giuridica e non con l’abituale entusiasmo regolatorio che accompagna ogni nuova iniziativa in materia di intelligenza artificiale. Non siamo di fronte a un documento simbolico né a una mera dichiarazione di intenti: il Codice rappresenta il primo tentativo concreto di tradurre in regole operative gli obblighi di trasparenza previsti dall’AI Act, in particolare quelli contenuti nell’articolo 50 del Regolamento (UE) 2024/1689.
Il tema è delicato e, per certi versi, strutturalmente instabile: come rendere riconoscibili i contenuti generati o manipolati da sistemi di AI senza cadere in soluzioni tecnicamente inefficaci, giuridicamente vaghe o socialmente illusorie. Il Codice si muove esattamente su questa linea di confine, tentando di tenere insieme esigenze diverse e spesso confliggenti: tutela dell’informazione, libertà di espressione, innovazione tecnologica, responsabilità degli operatori e fiducia degli utenti. In materia consigliamo i volumi NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon, e “La legge Italiana sull’Intelligenza Artificiale – Commento alla Legge 23 settembre 2025, n. 132″, disponibile su Shop Maggioli e su Amazon, e, per la formazione del professionista, il Master in Cybersecurity e compliance integrata.

1. Il contesto normativo: l’articolo 50 dell’AI Act e la trasparenza come obbligo giuridico

L’AI Act introduce per la prima volta nel diritto europeo un obbligo espresso di trasparenza sui contenuti generati o manipolati da intelligenza artificiale, superando definitivamente l’idea che la riconoscibilità dell’IA sia una questione etica o reputazionale. Con l’articolo 50, il legislatore europeo afferma un principio chiaro: in determinati contesti, l’utente ha diritto a sapere che sta interagendo con un contenuto artificiale.
La norma distingue correttamente tra due livelli di responsabilità:

• da un lato, i fornitori di sistemi di AI generativa, cui è richiesto di progettare i sistemi in modo tale che i contenuti generati siano marcati in formato leggibile dalle macchine;
• dall’altro, i deployers, ossia i soggetti che utilizzano professionalmente tali sistemi, chiamati a etichettare i contenuti quando questi assumono rilevanza pubblica, incidono sull’informazione o presentano caratteristiche di manipolazione realistica, come nel caso dei deepfake.

Il Codice di buone pratiche si colloca esattamente in questo spazio: non crea nuovi obblighi, ma tenta di rendere operativo un precetto giuridico volutamente aperto, che senza indicazioni tecniche rischierebbe di rimanere lettera morta o, peggio, di produrre applicazioni incoerenti. In materia consigliamo i volumi NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon, e “La legge Italiana sull’Intelligenza Artificiale – Commento alla Legge 23 settembre 2025, n. 132″, disponibile su Shop Maggioli e su Amazon.

2. La natura del Code of Practice: soft law funzionale, non normativa simbolica

È essenziale chiarire un punto che spesso genera confusione: il Code of Practice non è una fonte normativa autonoma. È uno strumento di soft law funzionale, concepito per facilitare l’attuazione di obblighi già previsti dal regolamento.
Questo aspetto ne definisce anche la portata giuridica. Il Codice non introduce sanzioni, non sostituisce la norma primaria, ma diventa un parametro di riferimento per valutare la diligenza degli operatori. In altri termini, aderire al Codice non equivale automaticamente a essere conformi all’AI Act, ma discostarsene senza valide ragioni potrà diventare un elemento rilevante in sede di controllo o di contenzioso.
La Commissione lo sa e, non a caso, insiste sulla natura volontaria del documento, pur collocandolo temporalmente prima dell’entrata in applicazione degli obblighi di trasparenza. Il messaggio è chiaro: la conformità formale non basterà, servirà dimostrare di aver adottato soluzioni tecnicamente e organizzativamente adeguate.

3. Marcatura e leggibilità automatica: il livello invisibile della trasparenza

Uno degli aspetti più interessanti – e al tempo stesso più problematici – della bozza riguarda la marcatura dei contenuti in formato machine-readable. Qui il Codice si rivolge ai fornitori di sistemi di AI generativa e chiede un cambio di paradigma: la trasparenza non è più solo una questione comunicativa, ma diventa una proprietà tecnica del contenuto.
Il documento esplora diverse opzioni: watermarking, metadati persistenti, identificatori standardizzati. Tutte soluzioni note, nessuna delle quali risolutiva. La Commissione sembra consapevole dei limiti tecnologici attuali e adotta un approccio pragmatico: non impone una tecnica unica, ma chiede che i sistemi siano progettati per consentire il riconoscimento automatico dell’origine artificiale del contenuto.
Dal punto di vista giuridico, questo passaggio è cruciale. La trasparenza viene spostata a monte, nella fase di progettazione del sistema, in linea con una logica di compliance by design che richiama da vicino l’impostazione del GDPR. Non è un caso: il diritto europeo sta progressivamente costruendo un modello in cui l’architettura tecnica diventa veicolo di tutela dei diritti.

Potrebbero interessarti anche:

• Antropocentrismo e diritto dell’intelligenza artificiale: tra legge italiana e AI Act
• Il pacchetto “Digital Omnibus”: il testo della proposta di regolamento

4. Etichettatura dei contenuti e informazione dell’utente: il livello visibile della trasparenza

Accanto alla marcatura invisibile, il Codice affronta il tema più immediatamente percepibile: l’etichettatura dei contenuti generati o manipolati da AI. Qui il destinatario non è più la macchina, ma l’utente finale.
La bozza distingue correttamente tra:

• contenuti a basso impatto informativo;
• contenuti che incidono sul dibattito pubblico;
• deepfake e manipolazioni realistiche di persone, eventi o dichiarazioni.

In questi casi, l’obbligo di etichettatura non è presentato come una formalità, ma come uno strumento di protezione dell’autonomia decisionale dell’utente. L’obiettivo non è stigmatizzare l’uso dell’IA, ma evitare che la sua opacità diventi un fattore di inganno.
È interessante notare come il Codice eviti formule prescrittive rigide sul “come” etichettare, lasciando spazio a soluzioni contestuali. Questa scelta riflette una consapevolezza giuridica matura: la trasparenza non è efficace se è standardizzata in modo cieco.

5. Deepfake, interesse pubblico e responsabilità editoriale

Uno dei nodi più sensibili riguarda i deepfake. La bozza del Codice affronta il tema senza eccessi retorici, ma con una chiarezza che merita di essere sottolineata. Quando un contenuto artificiale riproduce realisticamente persone, dichiarazioni o situazioni, l’etichettatura non è più opzionale.
Qui emerge un punto giuridicamente rilevante: il Codice rafforza la responsabilità dei deployers, in particolare quando operano come editori, piattaforme o soggetti che organizzano e diffondono informazione. L’uso dell’AI non diventa un’esimente. Al contrario, diventa un fattore che accresce il dovere di diligenza.
Questo approccio è coerente con l’impianto complessivo del diritto europeo digitale, che tende a ricondurre la responsabilità all’uso concreto della tecnologia, più che alla sua natura astratta.

6. Limiti strutturali del Codice: ciò che non può (ancora) risolvere

Per quanto articolato, il Code of Practice presenta limiti evidenti, che la stessa Commissione sembra riconoscere implicitamente.
Primo: l’efficacia tecnica della marcatura. Nessuna delle soluzioni oggi disponibili garantisce una resistenza assoluta alla rimozione o all’alterazione. La trasparenza tecnica resta vulnerabile.
Secondo: l’applicazione extraterritoriale. Molti sistemi generativi operano fuori dall’UE o sono sviluppati da soggetti che difficilmente aderiranno volontariamente a un Codice europeo.
Terzo: la comprensione da parte degli utenti. L’etichettatura funziona solo se l’utente è in grado di interpretarla. Altrimenti rischia di trasformarsi in rumore informativo.
Questi limiti non delegittimano il Codice, ma ne definiscono correttamente il perimetro: non è uno strumento risolutivo, ma un tassello.

7. Prospettive applicative e impatto per operatori e professionisti

Dal punto di vista pratico, il Code of Practice avrà un impatto significativo su:

• fornitori di modelli generativi;
• piattaforme di distribuzione dei contenuti;
• editori digitali;
• agenzie di comunicazione;
• soggetti pubblici che utilizzano AI per informazione istituzionale.

Per tutti questi attori, il Codice anticipa una domanda che diventerà centrale dal 2026: come dimostrare di aver adottato misure ragionevoli di trasparenza. Non basterà dichiarare che un contenuto è generato da AI. Servirà dimostrare un processo, una scelta progettuale, una governance.

8. Conclusioni: trasparenza come architettura, non come disclaimer

Il primo draft del Code of Practice sulla marcatura e l’etichettatura dei contenuti generati da IA non è un documento spettacolare. Ed è un bene. È un testo tecnico, imperfetto, prudente, consapevole dei propri limiti. Ma è anche il segnale che l’Unione europea sta cercando di governare l’IA non con slogan, ma con strumenti giuridicamente coerenti.
La trasparenza, in questo contesto, non è un cartello apposto a valle. È un’architettura che deve essere incorporata nei sistemi, nelle pratiche e nelle responsabilità degli operatori. Il Codice non risolve il problema della fiducia nell’informazione digitale, ma stabilisce un principio fondamentale: nell’ecosistema dell’AI generativa, l’opacità non è più neutra.

Formazione in materia per professionisti

Master in Cybersecurity e compliance integrata
Il Master, giunto alla II edizione, è un percorso formativo avanzato pensato per imprese e pubbliche amministrazioni, professionisti, DPO, responsabili IT, compliance officer e consulenti legali che operano nel settore della sicurezza informatica e della governance normativa delle tecnologie digitali.
L’obiettivo del programma è fornire una visione sistematica, integrata e aggiornata della normativa europea e italiana in materia di cybersicurezza, affrontando in chiave applicativa i principali riferimenti normativi, dalle Direttive NIS alla nuova regolamentazione dei sistemi di intelligenza artificiale, passando per i regolamenti complementari e le linee guida e le ultime Determinazioni dell’ACN.
Attraverso un approccio teorico-pratico, il master esplora:
• L’evoluzione della strategia europea di cybersicurezza.
• L’impianto della Direttiva NIS 2 e il D.lgs. 138/2024, con approfondimento su soggetti obbligati, misure tecniche e regimi sanzionatori.
• Il Perimetro nazionale di sicurezza cibernetica e la Legge n. 90/2024 come strumenti di difesa strategica dello Stato.
• Le interazioni con normative chiave come il GDPR, il Cybersecurity Act, il Digital Operational Resilience Act (DORA) e il Cyber Resilience Act (CRA).
• Il nuovo AI Act, che disciplina lo sviluppo, l’uso e il controllo dei sistemi di intelligenza artificiale in Europa.
• Le responsabilità aziendali e degli amministratori, la governance interna della cybersicurezza e le strategie di compliance integrata.
Il percorso è arricchito da esempi pratici, simulazioni di audit, check list operative e riferimenti normativi aggiornati, utili per implementare con efficacia le disposizioni di legge nei diversi contesti organizzativi.
>>>Per info ed iscrizioni<<<

Vuoi ricevere aggiornamenti costanti?

Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!