AI Act

AI Act per le PMI: la guida pratica aggiornata a luglio 2026

Pietro Perona· 11 luglio 2026· 9 min di lettura
Bandiera Europa per l'AI Act
In questo articolo

Se non hai ancora mappato l'uso dell'Intelligenza Artificiale nella tua azienda, sei in ritardo, ma sei ancora in tempo per rimediare.

L'AI Act (Regolamento UE 2024/1689) non è una legge del futuro: è il presente. Il suo scopo non è bloccare la tecnologia, ma garantire che l'Intelligenza Artificiale sia affidabile, sicura e metta al centro l'essere umano.

In questa guida mettiamo da parte il legalese e ti spieghiamo esattamente cosa fare da oggi.

Le basi: chi deve preoccuparsi

Il malinteso più diffuso è pensare che l'AI Act riguardi solo colossi come OpenAI o Google. Non è così: la legge distingue due ruoli principali.

  • Il Provider (Fornitore/Sviluppatore): chi crea il sistema di AI e lo mette sul mercato. Se la tua azienda sviluppa un software AI da vendere, sei tu.
  • Il Deployer (Utilizzatore Professionale): chiunque usi un sistema AI sotto la propria autorità nel contesto della propria attività lavorativa.

Esempio: se la tua PMI ha acquistato un software per analizzare automaticamente i CV dei candidati, o ha inserito un chatbot nel sito per l'assistenza clienti, sei un Deployer e hai obblighi legali specifici. L'unica eccezione riguarda chi usa l'AI per scopi puramente personali, a casa propria.

Se in azienda usiamo Claude, ChatGPT o altri LLM: devo fare qualcosa?

Sì. È una delle domande più frequenti, e la risposta è sì senza eccezioni.

Anche se non stai creando una tua Intelligenza Artificiale da zero, ma il team si limita a usare strumenti creati da altri, la legge europea coinvolge comunque la tua azienda: in questo caso sei un Deployer, cioè un utilizzatore professionale. Non devi riscrivere il codice di ChatGPT o Claude, ma hai comunque obblighi precisi.

  1. Formazione obbligatoria (AI Literacy): l'art. 4 impone che chiunque utilizzi l'AI in ambito lavorativo abbia un livello adeguato di alfabetizzazione. Non puoi lasciare che i dipendenti usino questi strumenti senza aver spiegato loro i rischi, ad esempio cosa succede se inseriscono dati sensibili dei clienti in una chat. Serve una formazione documentata, con registro presenze: obbligo già in vigore dal 2 febbraio 2025.
  2. Mappa tutto: metti nero su bianco quali strumenti usa il team. È il passo base per sapere dove e come l'AI entra nei tuoi processi aziendali.
  3. Trasparenza sui contenuti pubblicati: se il team usa l'AI per generare testi, immagini o video destinati al pubblico (blog aziendale, social, materiali di marketing), dal 2 agosto 2026 dovrete dichiararlo in modo chiaro e visibile (art. 50). Vale per i deepfake e per i testi su temi di interesse pubblico non rivisti editorialmente da una persona.
  4. Attenzione agli usi vietati: i divieti assoluti dell'art. 5 si applicano a prescindere da chi ha sviluppato il software. L'uso che il team fa di Claude, ChatGPT o Gemini non deve mai rientrare nelle pratiche vietate (ad esempio l'analisi delle emozioni dei dipendenti, o servizi di scoring sociale).

In sintesi: l'AI Act si applica anche a chi usa solo tool in abbonamento. Il primo passo concreto è iniziare a documentare l'uso che il team ne fa e formare il personale, tenendo traccia delle presenze ai corsi per dimostrare la conformità in caso di controlli.

Dove siamo a luglio 2026

Molti credono che l'AI Act entri in vigore tutto insieme il 2 agosto 2026. Non è così: l'applicazione è a scaglioni, ed è stata recentemente rivista dal cosiddetto Digital Omnibus (il pacchetto di semplificazione della Commissione europea, adottato in via definitiva dal Consiglio UE nel 2026). Ecco la situazione aggiornata.

Già in vigore

  • Dal 2 febbraio 2025: divieto assoluto per le pratiche AI inaccettabili e obbligo di AI Literacy (i dipendenti che usano l'AI devono aver ricevuto una formazione adeguata a comprenderne i rischi).
  • Dal 2 agosto 2025: regole per i modelli GPAI (General Purpose AI, i grandi modelli linguistici alla base di strumenti come ChatGPT).
  • Dall'autunno 2025, in Italia: è operativa la Legge 132/2025, che ha stabilito le autorità di controllo nazionali.

Dal 2 agosto 2026

Diventano pienamente applicabili gli obblighi di trasparenza dell'art. 50, senza eccezioni:

  • i chatbot devono dichiarare la propria natura artificiale fin dal primo istante di interazione;
  • chi pubblica deepfake (immagini, audio, video che ritraggono persone o eventi reali in modo da sembrare autentici) deve dichiararne in modo visibile l'origine artificiale;
  • chi pubblica testi generati dall'AI su temi di interesse pubblico, senza revisione editoriale umana, deve segnalarlo in modo chiaro.

Dal 2 dicembre 2026 (proroga tecnica introdotta dal Digital Omnibus)

  • Marcatura tecnica machine-readable (art. 50, par. 2): riguarda solo i fornitori di sistemi AI generativi già immessi sul mercato prima del 2 agosto 2026, a cui viene concesso un periodo di adeguamento tecnico più lungo. I sistemi lanciati dopo il 2 agosto 2026 devono già essere conformi. Non è un rinvio dell'obbligo di dichiarazione verso il pubblico, che resta fermo al 2 agosto 2026: è solo tempo tecnico in più per i provider sui sistemi preesistenti.
  • Nuovo divieto assoluto: sistemi AI che generano o manipolano immagini, video o audio intimi non consensuali di persone reali (i cosiddetti "nudifier"), o materiale di abuso sessuale su minori anche interamente sintetico. Il divieto vale sia per i provider sia per i deployer.

Cosa cambia per l'alto rischio: il vero contenuto del Digital Omnibus

Il punto centrale del Digital Omnibus non è un rinvio generale dell'AI Act, ma riguarda esclusivamente le scadenze per i sistemi ad Alto Rischio:

  • 2 dicembre 2027: obblighi pieni per i sistemi ad alto rischio "stand-alone" elencati nell'Allegato III (selezione del personale, credito, istruzione, infrastrutture critiche, forze dell'ordine, gestione delle frontiere, identificazione biometrica). In precedenza la scadenza era il 2 agosto 2026.
  • 2 agosto 2028: obblighi per i sistemi AI integrati come componenti di sicurezza in prodotti già regolati da normativa settoriale UE (dispositivi medici, macchinari, veicoli, giocattoli).

Tutte le altre regole — divieti assoluti, AI Literacy, trasparenza sui chatbot — restano confermate sul calendario 2025-2026 e non sono toccate da questo rinvio.

La piramide del rischio

L'AI Act funziona come un semaforo: più l'AI è pericolosa per i diritti e la sicurezza delle persone, più le regole sono severe.

Livello 1: rischio inaccettabile (vietato dal 2025, con un'aggiunta dal 2026)

Pratiche illegali in Europa, soggette a sanzioni molto elevate:

  • Tecniche subliminali e manipolative: AI progettate per ingannare il subconscio delle persone o sfruttarne le vulnerabilità (età, disabilità, condizione economica) per indurle a decisioni dannose.
  • Social scoring: AI che assegnano un punteggio alle persone in base al loro comportamento sociale, per poi discriminarle.
  • Riconoscimento delle emozioni sul lavoro o a scuola: uso dell'AI per rilevare stanchezza, tristezza o distrazione di dipendenti e studenti.
  • Polizia predittiva basata su tratti personali: valutazione del rischio di reato basata esclusivamente su profilo psicologico o tratti di personalità.
  • Scraping indiscriminato di volti: creazione di database di riconoscimento facciale tramite raccolta massiva di immagini da internet o da telecamere a circuito chiuso.
  • Contenuti intimi non consensuali e materiale di abuso su minori generati o manipolati dall'AI: divieto in vigore dal 2 dicembre 2026, aggiunto dal Digital Omnibus.

Livello 2: sistemi ad alto rischio

Sistemi permessi ma sottoposti a regole rigide, con le nuove scadenze del 2027-2028 viste sopra. Un'AI è considerata ad alto rischio se impatta su aree delicate della vita delle persone:

  • Risorse umane: software che scremano i CV, decidono assunzioni, promozioni o licenziamenti.
  • Istruzione: sistemi che assegnano voti automatici o decidono l'ammissione a un percorso di studi.
  • Servizi essenziali e credito: algoritmi che valutano l'erogazione di un mutuo, calcolano premi assicurativi sanitari o l'accesso a sussidi sociali.
  • Infrastrutture critiche e prodotti: AI che gestiscono traffico, acqua, gas, o componenti di sicurezza in dispositivi medici, macchinari e veicoli.

I requisiti principali per chi usa o crea AI ad alto rischio:

  1. Dati di qualità: i dati di addestramento devono essere rappresentativi e privi di bias che possano causare discriminazioni.
  2. Sorveglianza umana: l'AI non può avere l'ultima parola. Deve sempre esserci una persona addestrata capace di interpretare il risultato, ignorarlo o interrompere il sistema in caso di anomalia.
  3. Gestione del rischio e documentazione: analisi dei rischi continuativa, log automatici di funzionamento, documentazione tecnica dettagliata.

Livello 3: obblighi di trasparenza

Anche i sistemi che non rientrano nei livelli precedenti devono rispettare regole di trasparenza. Gli obblighi verso il pubblico sono tutti attivi dal 2 agosto 2026, senza eccezioni:

  • i chatbot e gli assistenti virtuali devono dichiarare la propria natura artificiale fin dal primo contatto con l'utente;
  • i deepfake (immagini, video, audio che ritraggono persone o eventi reali in modo da sembrare autentici) devono essere etichettati come generati dall'AI;
  • i testi generati dall'AI su temi di interesse pubblico, senza revisione editoriale umana, vanno segnalati come tali.

Solo un aspetto tecnico, la marcatura machine-readable lato provider per i sistemi già sul mercato prima di agosto 2026, ha un periodo di adeguamento più lungo, fino al 2 dicembre 2026.

Le sanzioni e lo scudo per le PMI

L'articolo 99 dell'AI Act prevede sanzioni severe:

  • Fino a 35 milioni di euro o il 7% del fatturato mondiale annuo per pratiche AI vietate.
  • Fino a 15 milioni di euro o il 3% del fatturato per la violazione di altri obblighi, incluso l'alto rischio.
  • Fino a 7,5 milioni di euro o l'1% del fatturato per informazioni false fornite alle autorità.

Per le PMI vale il principio di proporzionalità: in caso di sanzione, si paga l'importo minore tra la cifra fissa e la percentuale sul fatturato. Un'azienda che fattura 1 milione di euro non pagherà mai 35 milioni, ma al massimo il 7% del proprio fatturato. Il Digital Omnibus ha inoltre esteso alcune semplificazioni anche alle imprese "mid-cap" (250-749 dipendenti, fatturato fino a 150 milioni di euro).

In Italia: chi controlla

La Legge 132/2025 ha definito le autorità di controllo nazionali:

  • ACN (Agenzia per la Cybersicurezza Nazionale): autorità di vigilanza, con poteri di ispezione e sanzione.
  • AgID (Agenzia per l'Italia Digitale): promozione e accreditamento degli enti di certificazione.

La stessa legge ha stanziato 1 miliardo di euro per finanziare le PMI che investono in AI e cybersicurezza. L'adeguamento normativo può essere anche l'occasione per accedere a questi fondi.

La checklist pratica: cosa fare oggi

  1. Fai il censimento: mappa tutti i software AI in uso in azienda, anche quelli meno evidenti (CRM, strumenti di newsletter, telecamere di sicurezza).
  2. Verifica le pratiche vietate: se usi strumenti che analizzano la mimica facciale di dipendenti o candidati, o che generano contenuti intimi non consensuali, il divieto è già attivo (o lo sarà dal 2 dicembre 2026 per i nudifier): interrompi l'uso.
  3. Controlla i contratti dei fornitori: chiedi per iscritto la classe di rischio dei tool AI che usi e la relativa documentazione di conformità.
  4. Metti in regola la trasparenza: entro il 2 agosto 2026 i chatbot devono avere un avviso chiaro e i contenuti pubblicati (deepfake, testi AI su temi di interesse pubblico) devono essere dichiarati come tali; verifica solo con i tuoi fornitori se un loro sistema, già sul mercato prima di agosto, ha bisogno di tempo tecnico aggiuntivo fino al 2 dicembre 2026 per la marcatura machine-readable.
  5. Fai i corsi di AI Literacy: obbligo di legge (art. 4). Organizza formazione su basi e rischi dell'AI e tieni un registro presenze da mostrare in caso di ispezione.
  6. Nomina un responsabile: assegna a una persona interna il compito di seguire la normativa AI e redigi una AI Policy aziendale.

Non trattare l'AI Act come un adempimento burocratico: le aziende che si adeguano oggi dimostrano ai clienti di essere affidabili, etiche e sicure, trasformando la compliance in vantaggio competitivo sul mercato.

Pietro Perona, Managing Director di Koodit. AI per le aziende
Pietro Perona

Managing Partner

Vuoi portare l'intelligenza artificiale nella tua azienda?

Ti aiutiamo a capire da dove partire e a trasformarlo in risultati concreti. Parliamone senza impegno.