AI Act europeo: cosa cambia davvero per le PMI italiane (guida operativa 2026)

Il Regolamento UE 2024/1689, noto come AI Act, è entrato in vigore il 1° agosto 2024 ed è il primo quadro normativo completo al mondo sull’intelligenza artificiale. Si applica a chiunque produca, distribuisca o utilizzi sistemi AI nell’Unione Europea, inclusi i fornitori extra-UE che offrono servizi sul mercato europeo.

Se gestisci una PMI italiana, probabilmente hai sentito parlare dell’AI Act con toni allarmistici (“diventerà impossibile usare l’AI”) o troppo tranquillizzanti (“tanto è solo per le big tech”). La verità è nel mezzo: ci sono obblighi concreti che ti riguardano, e molte situazioni in cui non hai praticamente nulla da fare.

In questa guida, aggiornata ad aprile 2026, vediamo: le scadenze reali, la classificazione dei sistemi, cosa devi documentare, quali sanzioni rischi, e come prepararti senza panico.

Le scadenze applicabili (cosa è già in vigore)

L’AI Act entra in vigore per fasi. Ad aprile 2026 la situazione è questa:

• 2 febbraio 2025: sono già vietate le pratiche di AI classificate come “a rischio inaccettabile” (social scoring, manipolazione subliminale, riconoscimento emotivo in contesto lavorativo, ecc.). Questo ti riguarda già.
• 2 agosto 2025: sono entrati in vigore gli obblighi per i fornitori di modelli AI per finalità generali (GPAI), cioè i grandi modelli come GPT-4, Claude, Gemini. Questo riguarda i provider, non le PMI utilizzatrici.
• 2 agosto 2026: entrano in vigore gli obblighi per i sistemi AI “ad alto rischio” (tra pochi mesi).
• 2 agosto 2027: piena applicazione per i sistemi AI già sul mercato prima dell’AI Act.

Tradotto in linguaggio operativo: se usi agenti AI oggi, non devi fare nulla di drammatico entro agosto 2025, ma dovresti iniziare a preparare la documentazione per essere pronto ad agosto 2026.

La classificazione dei sistemi AI: dove ti collochi

L’AI Act classifica i sistemi AI in 4 livelli di rischio:

Rischio inaccettabile (VIETATO)

Sistemi che non possono essere usati in UE, punto. Nessuna eccezione.

• Social scoring (tipo cinese) da parte di autorità pubbliche.
• Manipolazione comportamentale subliminale che causa danni.
• Sfruttamento di vulnerabilità (età, disabilità, situazione economica).
• Riconoscimento emotivo in contesti lavorativi o educativi.
• Categorizzazione biometrica basata su caratteristiche sensibili.
• Identificazione biometrica in tempo reale in luoghi pubblici (salvo eccezioni di sicurezza).
• Predictive policing individuale basato solo sul profilo.

Se la tua PMI non fa nulla di tutto questo (praticamente tutte le PMI italiane normali), questo capitolo non ti riguarda. Puoi andare avanti.

Alto rischio (molti obblighi)

Sistemi AI usati in contesti critici. L’elenco è specifico (Allegato III del regolamento) e include:

• Biometria non vietata.
• Infrastrutture critiche (reti elettriche, traffico, acqua).
• Istruzione e formazione professionale (valutazione studenti, ammissioni, assegnazioni).
• Occupazione e gestione dei lavoratori (screening CV automatico, valutazione performance).
• Accesso a servizi pubblici e privati essenziali (credit scoring, valutazione richieste assicurative, accesso a benefici pubblici).
• Forze dell’ordine, migrazione, giustizia, processi democratici.
• Dispositivi medici AI-based.

Se la tua PMI usa un agente AI per screening CV automatizzato, questo rientra in alto rischio. Se lo usa per la valutazione delle performance dei dipendenti, idem. Sono i casi più frequenti in cui una PMI “non tech” può trovarsi in zona alto rischio senza rendersene conto.

Rischio limitato (obblighi di trasparenza)

Sistemi AI che interagiscono con persone fisiche (chatbot, assistenti virtuali) o generano contenuti (testi, immagini, deepfake). Obblighi principali:

• L’utente deve essere informato che sta interagendo con un sistema AI (salvo sia palesemente evidente).
• I contenuti generati artificialmente devono essere etichettati come tali.
• Le deepfake devono essere segnalate.

Qui rientrano la maggior parte delle applicazioni PMI: chatbot di assistenza clienti, agenti di risposta alle email, assistenti per la generazione di contenuti marketing. Obblighi gestibili con un disclaimer chiaro.

Rischio minimo o nullo (nessun obbligo specifico)

Tutti gli altri sistemi: filtri spam, traduzione automatica, AI nei videogiochi, sistemi di raccomandazione prodotto basilari. Nessun obbligo specifico nell’AI Act (restano le normative generali come GDPR).

Le 3 domande per capire dove ti collochi

Per orientarti rapidamente, poniti queste tre domande:

• 1. Il tuo agente AI prende decisioni che incidono su persone specifiche in contesti sensibili? (assunzioni, licenziamenti, accesso a servizi pubblici, credito, cure mediche, esami scolastici)
  Se sì → alto rischio.
• 2. Il tuo agente AI interagisce con persone o genera contenuti che potrebbero essere scambiati per umani/reali?
  Se sì → rischio limitato (trasparenza obbligatoria).
• 3. Il tuo agente AI fa altro? (automazione di processi interni, assistenza alla produttività, analisi di dati aziendali aggregati)
  Se sì → rischio minimo (basta rispettare le normative generali).

Dall’esperienza sul campo, circa l’85% delle PMI italiane che adottano agenti AI si colloca in “rischio limitato” o “rischio minimo”. Gli obblighi sono gestibili.

Cosa devi documentare (anche se sei in rischio limitato)

Anche se il tuo sistema è a rischio limitato, ci sono buone pratiche documentali che:

Documentazione minima consigliata:

• Inventario dei sistemi AI: elenco di tutti i sistemi AI usati in azienda, con fornitore, finalità, dati trattati, categoria di rischio.
• Contratti con i fornitori: DPA (Data Processing Agreement) sempre. Clausole specifiche sulla non-training sui tuoi dati, sulla localizzazione dei server, sulle garanzie.
• Valutazione d’impatto privacy (DPIA) se il sistema tratta dati personali su larga scala o con particolare sensibilità.
• Registro delle decisioni automatizzate: quando l’AI fa qualcosa che incide su una persona (es: filtra un CV), tieni traccia.
• Procedure di revisione umana: chi supervisiona cosa, con quale frequenza, chi è responsabile.
• Policy di uso dell’AI: documento interno che specifica cosa i dipendenti possono e non possono fare con gli strumenti AI (es: non caricare dati clienti su ChatGPT consumer).

Non è burocrazia inutile: questa documentazione è la tua polizza assicurativa quando qualcosa va storto. Per le integrazioni con il GDPR leggi: AI e GDPR, cosa devi sapere.

Gli obblighi specifici per i sistemi ad alto rischio

Se la tua PMI usa un sistema classificato “alto rischio”, gli obblighi sono sostanziali. In sintesi:

• Sistema di gestione del rischio documentato e aggiornato.
• Governance dei dati: dataset di addestramento, validazione e test devono essere rappresentativi e privi di bias dannosi.
• Documentazione tecnica dettagliata.
• Log di funzionamento conservati per almeno 6 mesi.
• Trasparenza verso gli utilizzatori: informazioni chiare su capacità e limiti del sistema.
• Sorveglianza umana effettiva: meccanismi che permettono a una persona di intervenire, bloccare, correggere.
• Accuratezza, robustezza, cybersecurity adeguate.
• Valutazione della conformità prima dell’immissione sul mercato.
• Registrazione in una banca dati UE pubblica per alcuni sistemi.

Se sei in alto rischio, non te la cavi con 2-3 documenti fatti in casa. Serve un percorso strutturato con consulenza specializzata.

Le sanzioni: quanto si rischia davvero

Le sanzioni dell’AI Act sono strutturate su tre livelli:

• Pratiche vietate: fino a 35 milioni di euro o 7% del fatturato mondiale annuo (il più alto).
• Violazione obblighi per sistemi ad alto rischio: fino a 15 milioni di euro o 3% del fatturato mondiale annuo.
• Informazioni false fornite alle autorità: fino a 7,5 milioni di euro o 1% del fatturato.

Per le PMI (sotto i 250 dipendenti) è previsto che le sanzioni siano proporzionate e possano essere ridotte. Ma il principio resta: non sono sanzioni simboliche. Un errore grosso può mettere in ginocchio un’impresa.

La buona notizia: a differenza del GDPR, le autorità italiane hanno dichiarato pubblicamente che nei primi 12 mesi di applicazione dell’AI Act l’approccio sarà “formativo più che punitivo”. Chi dimostra buona fede e sta lavorando per conformarsi non rischia sanzioni immediate.

Chi controlla in Italia

L’Italia ha designato come autorità di vigilanza per l’AI Act:

• AgID (Agenzia per l’Italia Digitale) per la promozione dell’innovazione responsabile.
• ACN (Agenzia per la Cybersicurezza Nazionale) per la vigilanza sui sistemi ad alto rischio.
• Garante Privacy mantiene competenza sui trattamenti di dati personali.
• Autorità di settore (Banca d’Italia, Consob, AGCOM, ecc.) per i rispettivi ambiti.

In pratica, per una PMI normale il referente principale resta il Garante Privacy. Le altre autorità entrano in gioco per settori specifici o per sistemi ad alto rischio.

Cosa fare subito: una checklist pratica

Se hai una PMI e usi o vuoi adottare agenti AI, questi sono i passi concreti da fare entro l’estate 2026:

• Fai l’inventario: quali sistemi AI stai usando? Fornitori, finalità, dati trattati, chi li usa in azienda.
• Classifica ogni sistema: alto rischio? Rischio limitato? Rischio minimo?
• Verifica i contratti: hai DPA firmati con tutti i fornitori? Contengono clausole AI-specifiche?
• Aggiorna le informative privacy: se usi AI che tratta dati dei clienti, va comunicato.
• Scrivi una policy interna: cosa i dipendenti possono e non possono fare con l’AI. Anche 2 pagine, ma chiare.
• Documenta la supervisione umana: per ogni sistema che incide su persone, chi rivede? Con quale frequenza?
• Forma il team: almeno 1-2 ore di formazione base per tutti i dipendenti che usano AI.
• Se sei in alto rischio, fatti affiancare: consulenza legale e tecnica non è opzionale.

Errori comuni da evitare

• Ignorare il problema perché “sei piccolo”: l’AI Act si applica alle aziende di tutte le dimensioni. Le PMI hanno solo alcune semplificazioni.
• Pensare che basti il fornitore: il fornitore ha i suoi obblighi, tu hai i tuoi. Non si trasferiscono contrattualmente.
• Sopravvalutare il rischio: il 99% delle applicazioni PMI normali è in rischio limitato o minimo. Non serve farsi prendere dal panico.
• Sottovalutare il rischio: se usi AI per screening CV e valutazione dipendenti, sei in alto rischio. Non puoi far finta di niente.
• Usare strumenti consumer per dati aziendali: ChatGPT consumer non ha DPA adeguato. Per dati aziendali serve almeno la versione Team o Enterprise, o alternative europee.

La buona notizia finale

Se hai lavorato bene sul GDPR negli ultimi anni, sei già a metà strada. La maggior parte degli obblighi dell’AI Act si sovrappone o si integra con quelli GDPR. Se invece sei indietro sul GDPR, questo è il momento di mettersi al passo: l’AI Act renderà le lacune ancora più evidenti.

Il nostro approccio è semplice: facciamo le cose conformi fin dall’inizio, non perché lo impone la legge, ma perché è il modo corretto di lavorare con dati di clienti e di persone. La supervisione umana che raccomandiamo copre già gran parte degli obblighi dell’AI Act sulla sorveglianza umana effettiva.

Hai dubbi sulla tua situazione?

Se vuoi fare una valutazione onesta di dove si colloca la tua PMI rispetto all’AI Act, possiamo aiutarti con un’analisi iniziale gratuita. In 60-90 minuti capiamo insieme: quali sistemi AI stai usando, in che categoria di rischio rientrano, cosa serve documentare, da dove iniziare se vuoi espandere l’uso dell’AI in modo conforme.

Parliamo della tua situazione →

Per approfondire: AI e GDPR, checklist: la tua azienda è pronta all’AI?, supervisione umana negli agenti AI.