Torna al blog

Il Regolamento UE sull'IA entra in vigore il 2 agosto 2026: novità per il web scraping e la raccolta dati

Fino al 2 agosto 2026 manca un mese: il EU AI Act ottiene il potere di multare. I rifiuti TDM leggibili dalle macchine e robots.txt acquisiscono per la prima volta peso di diritto d'autore, i fornitori di modelli AI sono obbligati a rivelare le fonti di apprendimento, le multe arrivano fino a €15 milioni o al 3% del fatturato. Analizziamo a chi riguarda realmente e come ora raccogliere dati in modo corretto.

📅30 giugno 2026
Il Regolamento UE sull'IA entra in vigore il 2 agosto 2026: novità per il web scraping e la raccolta dati
```html

Fino al 2 agosto 2026 mancano circa un mese — ed è proprio in quel giorno che il Regolamento Europeo sull'AI smette di essere un regolamento "cartaceo" e acquisisce reali poteri di sanzione. Per tutti coloro che raccolgono dati online — dalla formazione di grandi modelli al semplice monitoraggio dei prezzi — questo è un punto di non ritorno, dopo il quale i divieti di raccolta dati leggibili dalle macchine acquisiscono per la prima volta il peso del diritto d'autore, e i fornitori di modelli AI sono obbligati a rivelare su cosa sono stati addestrati. Analizziamo cosa cambia concretamente e chi ne è coinvolto nella pratica.

Cosa entrerà in vigore il 2 agosto 2026

Il Regolamento UE sull'AI è stato introdotto gradualmente. Le pratiche vietate sono diventate inapplicabili già a febbraio 2025, mentre gli obblighi per i fornitori di modelli di uso generale (GPAI — general-purpose AI) sono entrati formalmente in vigore il 2 agosto 2025. Ma è proprio il 2 agosto 2026 che il regolamento diventa completamente applicabile: vengono inclusi i requisiti per i sistemi ad alto rischio e, cosa più importante, l'autorità di regolamentazione acquisisce il potere di sanzionare per la non conformità agli obblighi GPAI.

Le sanzioni sono le seguenti:

  • fino a €35 milioni o 7% del fatturato globale — per pratiche vietate (che superano questo limite);
  • fino a €15 milioni o 3% del fatturato globale — per violazioni relative a sistemi ad alto rischio e obblighi GPAI;
  • fino a €7,5 milioni o 1% del fatturato — per aver fornito informazioni false all'autorità di regolamentazione.

Il regolamento ha effetto extraterritoriale: gli obblighi si applicano al fornitore indipendentemente dalla sua posizione, se il modello è messo sul mercato dell'UE. Un'azienda AI americana o asiatica, il cui prodotto è accessibile agli europei, è soggetta alle stesse regole.

Cosa devono fare i fornitori di GPAI

Ci sono tre obblighi chiave, e due di essi sono direttamente legati alla raccolta di dati:

  • Documentazione tecnica — descrizione dell'architettura del modello, metodologia e risorse di addestramento, disponibile per le autorità di vigilanza e per gli sviluppatori di livello inferiore.
  • Riepilogo pubblico dei dati di addestramento — il fornitore è obbligato a pubblicare una descrizione "sufficientemente dettagliata" del contenuto su cui è stato addestrato il modello, seguendo il modello fornito dall'AI Office. Questa è la prima iniziativa al mondo per costringere gli sviluppatori di modelli a rendere pubbliche le fonti dei dati.
  • Politica di rispetto del copyright — il fornitore è obbligato a rispettare i meccanismi di rinuncia al text-and-data-mining (TDM) ai sensi dell'articolo 4 della Direttiva sul copyright 2019/790, inclusi i segnali leggibili dalle macchine.

Per i modelli con rischio sistemico (soglia di addestramento 10^25 FLOPs) si aggiungono test avversariali e obbligo di reportistica sugli incidenti. I modelli già esistenti sul mercato hanno una proroga — devono essere messi in piena conformità entro il 2 agosto 2027.

robots.txt acquisisce "peso" di copyright

Il cambiamento principale per l'industria della raccolta dati è nascosto proprio nel requisito di copyright. In passato, il file robots.txt era un accordo tra gentiluomini: ignorarlo violava le regole del sito, ma di per sé non costituiva una violazione della legge. Ora, sotto l'ombrello dell'articolo 4 della Direttiva 2019/790, la riserva di diritti leggibile dalle macchine — robots.txt, il nuovo standard ai.txt, i segnali TDM — acquisisce peso di copyright. Il titolare dei diritti che ha espresso la rinuncia al data mining in forma leggibile dalle macchine è di fatto protetto dal copyright contro l'uso del suo contenuto per l'addestramento.

Per standardizzare questi segnali, la Commissione Europea ha avviato una consultazione sui protocolli di riserva dei diritti: l'obiettivo è concordare un formato leggibile dalle macchine che sarà riconosciuto come "stato dell'arte" e ampiamente accettato dai titolari dei diritti. In altre parole, l'UE sta costruendo un linguaggio giuridicamente significativo di rinuncia allo scraping per l'addestramento dell'AI.

Contesto: le piattaforme sono già passate all'attacco

Il regolamento si inserisce in un mercato già agguerrito. A luglio 2025, Cloudflare, che protegge circa il 20% del web, è diventato il primo fornitore di infrastruttura a bloccare per impostazione predefinita i crawler AI per tutti i nuovi domini — ora il proprietario del sito deve esplicitamente autorizzare specifici bot. Entro agosto 2025, oltre 2,5 milioni di siti hanno completamente vietato l'uso del loro contenuto per l'addestramento dell'AI; solo il GPTBot è bloccato da circa il 19% dei siti. Tra i crawler più bloccati ci sono GPTBot, ClaudeBot, CCBot, Google-Extended e Bytespider.

Il divario è colossale: secondo i dati di Cloudflare, i bot AI accedono a circa il 39% dei primi 1 milione di risorse della rete, ma solo il 2,98% di essi bloccano realmente o sfidano tali richieste. Parallelamente, Cloudflare ha lanciato il modello Pay Per Crawl — il sito restituisce ai bot la risposta "402 Payment Required", e le aziende AI pagano per l'accesso. La raccolta di dati da un "tutto consentito" gratuito si trasforma in un mercato con un prezzo.

Il fronte legale non resta indietro. Reddit ha intentato cause contro Perplexity AI e i relativi raccoglitori e fornitori di proxy (SerpApi, Oxylabs, AWMProxy), e il suo principale avvocato ha formulato la sostanza del conflitto in modo netto: "Le aziende AI sono bloccate in una corsa agli armamenti per contenuti umani di qualità, e questa pressione ha generato un'economia di lavaggio dati su scala industriale". Allo stesso tempo, Reddit ha concluso accordi di licenza con OpenAI e Google — cioè i dati vengono venduti a chi paga, e vengono perseguiti coloro che li prendono gratuitamente. LinkedIn, in una causa separata, ha accusato la società ProAPIs di aver creato circa un milione di account falsi per lo scraping e la rivendita di profili a un prezzo fino a $15.000 al mese.

Cosa significa per chi raccoglie dati

La prima e principale cosa — non farsi prendere dal panico. Il Regolamento UE sull'AI non vieta lo scraping web in quanto tale e non trasforma la raccolta di dati pubblici in un crimine. Il regolamento colpisce specificamente i fornitori di modelli AI e i sistemi ad alto rischio. Se monitori i prezzi dei concorrenti, raccogli dati per analisi SEO, controlli i risultati o aggregi recensioni pubbliche, non diventi un "fornitore di GPAI" e non sei direttamente soggetto ai nuovi obblighi.

Chi è realmente colpito dall'Act

Sono colpiti coloro che addestrano o ri-addestrano grandi modelli su dati raccolti e li mettono sul mercato dell'UE. Per loro la pubblicazione del riepilogo dei dati di addestramento e il rispetto delle rinunce TDM diventano requisiti legali con sanzioni reali. Se il tuo scraping è un anello nella catena di addestramento del modello, le fonti dovranno essere documentate e i divieti leggibili dalle macchine dovranno essere rispettati.

Come raccogliere dati in modo corretto

Il secondo effetto — indiretto, ma che colpirà tutti. Più peso giuridico acquisiscono le rinunce leggibili dalle macchine e più aggressivamente le piattaforme bloccano il traffico automatico, più alta sarà la soglia per qualsiasi raccolta di dati. Le conclusioni pratiche:

  • Leggi robots.txt e i segnali TDM e prendi decisioni consapevoli al riguardo. Ignorare la rinuncia leggibile dalle macchine ora comporta non solo il rischio di ban, ma anche una potenziale questione di copyright, soprattutto se i dati vengono utilizzati per l'addestramento del modello.
  • Separare i compiti. La raccolta di fatti pubblici (prezzi, disponibilità, valutazioni) e la copia di contenuti protetti da copyright per l'addestramento sono cose giuridicamente diverse. Struttura i processi in modo da non mescolarli.
  • Minimizza il carico e non nasconderti da un utente reale dove questo può creare confusione. La storia con il milione di account falsi di LinkedIn è un esempio chiaro di come i metodi "grigi" possano trasformarsi in cause legali.
  • Utilizza un'infrastruttura di accesso legale. Quando la raccolta di dati avviene in modo distribuito e con IP di utenti reali, crea meno carico su un singolo nodo e non appare come un attacco da un singolo data center. I proxy residenziali forniscono traffico indistinguibile da quello di un normale utente, mentre per compiti ad alta intensità, dove non è necessaria la massima "umanità", sono adatti proxy di data center più veloci.

È importante tenere a mente anche il quadro generale del traffico: abbiamo già analizzato come i bot abbiano superato per la prima volta gli esseri umani su Internet — proprio questo spostamento costringe le piattaforme a chiudersi. E per il lavoro pratico con piattaforme specifiche, è utile il nostro approfondimento sullo scraping sicuro di X (Twitter) senza ban: gli stessi principi — rispettare i limiti, distribuire le richieste, utilizzare IP affidabili — funzionano anche nella nuova realtà normativa.

Conclusione

Il 2 agosto 2026 non segna la "fine dello scraping", ma è un punto dopo il quale la raccolta di dati si divide definitivamente in due percorsi. Quella documentata, che rispetta le rinunce leggibili dalle macchine e lavora con dati pubblici — diventa la norma e una protezione. Quella nascosta, che elude divieti espliciti e si maschera da utenti per l'addestramento dei modelli — rischia sanzioni fino a €15 milioni o 3% del fatturato e cause legali da parte delle piattaforme. Il Regolamento UE sull'AI non chiude la porta — trasforma la raccolta di dati da un "campo selvaggio" in una modalità in cui le regole finalmente hanno un prezzo. E vincono coloro che ristruttureranno i processi in anticipo, e non una settimana prima della scadenza.

```