L'AI Act impone a tutte le PMI italiane che usano sistemi di intelligenza artificiale di adeguarsi entro il 2 agosto 2026. Che tu stia utilizzando ChatGPT per il marketing, un CRM con scoring automatico o un chatbot per il servizio clienti, la tua azienda deve rispettare obblighi precisi di trasparenza, gestione del rischio e supervisione umana. L'Italia, con la Legge 132/2025, e stata il primo Paese UE a dotarsi di un framework nazionale sull'AI, aggiungendo requisiti specifici alle regole europee.
Questa guida ti offre una checklist operativa in 10 passi, la classificazione completa dei livelli di rischio, le scadenze da rispettare, le sanzioni a cui vai incontro e le agevolazioni previste per le piccole e medie imprese. Non e un documento teorico: e un piano d'azione che puoi iniziare a seguire oggi stesso.
Cos'e l'AI Act e Perche Riguarda la Tua PMI
L'AI Act riguarda la tua PMI perche si applica a chiunque sviluppi, distribuisca o utilizzi sistemi di intelligenza artificiale nell'Unione Europea. Non importa la dimensione dell'azienda: se usi un tool AI nel tuo flusso di lavoro, sei soggetto a questo regolamento.
L'AI Act (Regolamento UE 2024/1689) e il primo quadro normativo completo al mondo sull'intelligenza artificiale. Approvato dal Parlamento Europeo nel marzo 2024 e pubblicato in Gazzetta Ufficiale UE il 12 luglio 2024, stabilisce regole uniformi per lo sviluppo, l'immissione sul mercato e l'utilizzo di sistemi AI in tutti gli Stati membri.
L'approccio del regolamento e basato sul rischio: piu un sistema AI puo impattare diritti fondamentali, salute e sicurezza delle persone, piu stringenti sono gli obblighi per chi lo sviluppa o lo utilizza.
Perche una PMI italiana dovrebbe occuparsene adesso? Per tre ragioni concrete:
- Sanzioni severe: Le multe possono arrivare a 35 milioni di euro o al 7% del fatturato globale annuo. La Legge italiana 132/2025 aggiunge sanzioni amministrative fino a 1.500 euro per dipendente
- Ambito di applicazione totale: Non conta dove ha sede il fornitore AI. Se il sistema opera o produce effetti nell'UE, si applica l'AI Act. Questo include ChatGPT, Gemini, strumenti SaaS americani e qualsiasi AI di terze parti
- Vantaggio competitivo: Il 72% delle aziende europee sta gia adeguando i propri processi. Chi si muove in ritardo rischia di perdere clienti e partnership che richiedono conformita documentata
Chi deve preoccuparsi: Provider vs Deployer
L'AI Act distingue tra due ruoli fondamentali. Il provider (fornitore) e chi sviluppa o fa sviluppare un sistema AI e lo immette sul mercato. Il deployer (utilizzatore) e chi utilizza un sistema AI sotto la propria autorita. La maggior parte delle PMI italiane e deployer: usa strumenti AI sviluppati da altri. Gli obblighi del deployer sono meno gravosi di quelli del provider, ma non sono trascurabili. Identificare correttamente il tuo ruolo per ciascun sistema AI e il primo passo verso la conformita.
La Legge Italiana 132/2025: Cosa Cambia Rispetto all'AI Act Europeo
L'Italia e stata il primo Paese dell'Unione Europea a dotarsi di una legge nazionale sull'intelligenza artificiale. La Legge n. 132, pubblicata in Gazzetta Ufficiale il 25 settembre 2025 ed entrata in vigore il 10 ottobre 2025, non sostituisce l'AI Act europeo ma lo integra con disposizioni specifiche per il contesto italiano.
Questa doppia cornice normativa significa che le PMI italiane devono rispettare entrambi i livelli: il regolamento europeo e la legge nazionale. Ecco le principali differenze e integrazioni:
| Aspetto | AI Act (UE) | Legge 132/2025 (Italia) |
|---|---|---|
| Sanzioni base | Fino a 35M euro o 7% fatturato | Sanzioni amm. fino a 1.500 euro/dipendente + incrementi mensili |
| Autorita competente | AI Office (Commissione UE) | AgIA - Agenzia nazionale per l'AI |
| Tutela minori | Protezioni generali | Protezioni rafforzate per under 14 |
| Lavoratori | Obblighi di informazione | Limiti specifici alla sorveglianza AI nei luoghi di lavoro |
| PA e dati | Nessun obbligo specifico | Obbligo server nazionali per dati PA |
| Proprieta intellettuale | Rinvio a normative esistenti | Regole specifiche su copyright contenuti AI |
| Agevolazioni PMI | Sanzioni ridotte, sandbox | Modalita semplificate estese, sandbox nazionali dedicati |
Cosa significa per la tua PMI in pratica
La Legge 132/2025 aggiunge tre obblighi concreti rispetto all'AI Act europeo:
- Se hai dipendenti under 14 a contatto con AI (es. apprendistato): servono tutele rafforzate e consenso esplicito dei genitori
- Se usi AI per monitorare i dipendenti (es. software di produttivita con AI): devi rispettare limiti piu restrittivi rispetto alla normativa europea
- Sanzioni nazionali addizionali: Alle multe europee si sommano le sanzioni amministrative italiane, calcolate per dipendente con possibilita di incremento mensile per mancata correzione
Le Scadenze Critiche: Timeline Completa 2024-2026
L'AI Act prevede un'applicazione graduale. Alcune scadenze sono gia passate, altre incombono nei prossimi mesi. Questa timeline ti permette di capire a che punto sei e cosa devi fare con urgenza.
Attenzione: il 2 agosto 2026 non e una scadenza lontana
A marzo 2026, mancano solo 5 mesi alla piena applicabilita. Se non hai ancora iniziato l'inventario dei tuoi sistemi AI, sei in ritardo. La classificazione del rischio, la documentazione e la formazione del personale richiedono tempo. Le aziende che si muovono oggi hanno un vantaggio competitivo e riducono il rischio di sanzioni.
Classificazione dei Sistemi AI: Come Identificare il Tuo Livello di Rischio
Il sistema di classificazione dell'AI Act e il fondamento di ogni strategia di conformita. Ogni sistema AI che la tua azienda sviluppa o utilizza deve essere classificato in una delle quattro categorie di rischio. Da questa classificazione dipendono gli obblighi specifici a cui sei soggetto.
Vietato Rischio Inaccettabile
Sistemi AI completamente proibiti dal 2 febbraio 2025. Uso vietato senza eccezioni per le PMI:
- Social scoring (valutazione comportamento sociale dei cittadini)
- Manipolazione subliminale del comportamento
- Sfruttamento delle vulnerabilita (eta, disabilita, condizione sociale)
- Riconoscimento biometrico remoto in tempo reale in spazi pubblici
- Categorizzazione biometrica per inferire dati sensibili (etnia, orientamento)
- Scraping non mirato di immagini facciali da internet
Regolamentato Alto Rischio
Sistemi soggetti a requisiti rigorosi di conformita, documentazione e supervisione umana:
- Recruitment e selezione del personale (screening CV, valutazione candidati)
- Scoring creditizio e valutazione affidabilita finanziaria
- Diagnostica medica e sistemi sanitari
- Gestione infrastrutture critiche (energia, trasporti, acqua)
- Sistemi educativi per valutazione studenti
- Identificazione biometrica remota (non in tempo reale)
- Gestione migrazione e controllo frontiere
Trasparenza Rischio Limitato
Sistemi con obblighi di trasparenza verso gli utenti finali:
- Chatbot e assistenti virtuali
- Sistemi che generano deepfake (audio, video, immagini)
- AI generativa per contenuti (testi, immagini, codice)
- Sistemi di riconoscimento delle emozioni
- Sistemi di categorizzazione biometrica (non in tempo reale)
Obbligo: Informare chiaramente l'utente che sta interagendo con un sistema AI.
Libero Rischio Minimo
Sistemi senza obblighi specifici, incoraggiati ad adottare codici di condotta volontari:
- Filtri anti-spam email
- Sistemi di raccomandazione prodotti (e-commerce)
- Ottimizzazione logistica e supply chain
- Automazione processi interni (RPA con AI)
- Analisi predittiva su dati aggregati (non personali)
La maggior parte degli strumenti AI usati dalle PMI rientra qui.
| Livello di Rischio | Obblighi Principali | Esempi Comuni nelle PMI | Scadenza |
|---|---|---|---|
| Inaccettabile | Divieto assoluto di uso | Social scoring clienti, manipolazione subliminale | Gia in vigore (feb 2025) |
| Alto | Conformita piena: risk management, DPIA, supervisione umana, data governance, documentazione tecnica | AI per screening CV, scoring creditizio, diagnostica | Ago 2026 (nuovi) / Ago 2027 (preesistenti) |
| Limitato | Trasparenza: informare utenti dell'interazione con AI, etichettare contenuti AI | Chatbot, AI generativa, assistenti virtuali | Ago 2026 |
| Minimo | Nessun obbligo specifico (codici condotta volontari) | Filtri spam, raccomandazioni, ottimizzazione logistica | N/A |
Come classificare i tuoi sistemi: metodo pratico
Per ogni strumento AI che usi in azienda, poniti queste tre domande:
- Impatta decisioni su persone fisiche? (assunzioni, credito, valutazioni) - Se si, probabilmente alto rischio
- Interagisce direttamente con utenti/clienti? (chatbot, contenuti generati) - Se si, rischio limitato con obblighi di trasparenza
- Opera su dati aggregati senza impatto individuale? (analisi trend, ottimizzazione) - Rischio minimo
Checklist di Conformita in 10 Passi per le PMI
Questa e la sezione piu importante dell'articolo. I 10 passi seguenti rappresentano un percorso strutturato che qualsiasi PMI puo seguire per raggiungere la conformita all'AI Act entro agosto 2026. Ogni passo include azioni concrete, documenti da produrre e suggerimenti pratici.
Inventario Completo dei Sistemi AI
Il fondamento di ogni strategia di conformita e sapere esattamente quali sistemi AI stai utilizzando. Molte PMI sottovalutano questo passo perche non considerano "AI" strumenti che in realta lo sono.
Cosa devi fare:
- Elenca ogni software, piattaforma o servizio che utilizza componenti AI o machine learning
- Includi anche strumenti integrati: il CRM con lead scoring, l'email marketing con ottimizzazione invii, il gestionale con previsioni automatiche
- Per ogni sistema, registra: nome, fornitore, scopo d'uso, dati trattati, utenti interni, soggetti esterni impattati
- Crea un registro centralizzato (anche un foglio di calcolo strutturato) e assegna un responsabile per il suo aggiornamento
Strumenti AI che le PMI spesso dimenticano di censire
ChatGPT e abbonamenti AI individuali dei dipendenti, funzionalita AI nei software esistenti (Salesforce Einstein, HubSpot AI, Google Workspace AI), plugin di traduzione automatica, strumenti di generazione immagini, assistenti di scrittura (Grammarly, Jasper), automazioni Zapier con componenti AI.
Identificare il Ruolo: Provider o Deployer
Per ciascun sistema AI inventariato, devi stabilire se la tua PMI agisce come provider (fornitore - chi sviluppa l'AI) o deployer (utilizzatore - chi usa l'AI sviluppata da altri).
Perche e importante: I provider hanno obblighi molto piu pesanti (valutazione di conformita, marcatura CE, documentazione tecnica completa). I deployer hanno obblighi piu leggeri ma comunque vincolanti (trasparenza, supervisione, segnalazione).
- Sei deployer se: usi ChatGPT, Salesforce AI, chatbot di terze parti, strumenti SaaS con AI integrata
- Sei provider se: hai sviluppato un algoritmo di AI personalizzato, hai addestrato un modello su dati proprietari e lo commercializzi, hai creato un chatbot custom con logica AI proprietaria
- Attenzione: Se personalizzi significativamente un sistema AI al punto da cambiarne lo scopo, potresti passare da deployer a provider
Valutazione del Rischio per Ogni Sistema AI
Una volta completato l'inventario e identificato il tuo ruolo, devi classificare ogni sistema nella categoria di rischio appropriata. Consulta la tabella nella sezione precedente e documenta la classificazione.
Azioni concrete:
- Applica il metodo delle tre domande (vedi sezione classificazione) a ciascun sistema
- Per i sistemi ad alto rischio, avvia immediatamente una valutazione d'impatto (AI Impact Assessment), analoga alla DPIA del GDPR
- Documenta la logica di classificazione: perche hai assegnato quel livello di rischio?
- Rivedi la classificazione ogni volta che cambi il modo in cui usi il sistema o aggiorni il software
Documentazione di Trasparenza
La trasparenza e un obbligo trasversale che tocca quasi tutti i livelli di rischio. Devi informare chiunque interagisca con i tuoi sistemi AI che sta interagendo con una macchina, non con un essere umano.
Documenti e azioni richiesti:
- Informativa AI sul sito web: Specifica quali sistemi AI usi, come funzionano e quali dati trattano
- Etichettatura chatbot: Ogni chatbot o assistente virtuale deve dichiarare chiaramente di essere un sistema AI
- Label contenuti AI: Testi, immagini e video generati con AI devono essere contrassegnati come tali
- Aggiornamento privacy policy: Integra le informazioni sul trattamento dati tramite AI nella tua informativa GDPR
- Informativa dipendenti: Comunica ai tuoi collaboratori quali strumenti AI usano e come impattano il loro lavoro
Meccanismi di Supervisione Umana
L'AI Act richiede che le decisioni critiche supportate dall'intelligenza artificiale siano sempre soggette a revisione umana. Il principio e chiaro: l'AI assiste, l'uomo decide.
Implementazione pratica:
- Identifica tutti i processi decisionali dove l'AI ha un ruolo (assunzioni, pricing, credito, contenuti)
- Per ogni processo, definisci il punto in cui un operatore umano deve intervenire per validare, correggere o rifiutare l'output dell'AI
- Documenta le procedure di override: chi ha l'autorita di disattivare o sovrascrivere una decisione AI?
- Assicurati che i dipendenti abbiano le competenze per valutare criticamente gli output dell'AI
- Prevedi un meccanismo di escalation per i casi dubbi
Data Governance
I sistemi AI si nutrono di dati. La qualita, la sicurezza e la conformita dei dati che alimenti nei tuoi sistemi AI determinano la qualita e la legalita dei loro output.
Requisiti da soddisfare:
- Qualita dei dati: I dataset usati per training o input devono essere accurati, rappresentativi e privi di bias evidenti
- Minimizzazione: Usa solo i dati strettamente necessari per lo scopo del sistema AI (principio gia presente nel GDPR)
- Sicurezza: Proteggi i dati in transito e a riposo con cifratura adeguata
- Tracciabilita: Documenta la provenienza dei dati, le trasformazioni applicate e chi vi ha avuto accesso
- Integrazione GDPR: Se tratti dati personali con AI, gli obblighi GDPR e AI Act si applicano congiuntamente. Per approfondire, leggi la nostra guida GDPR e Intelligenza Artificiale
Formazione dei Dipendenti
L'Art. 4 dell'AI Act introduce un obbligo preciso: garantire un livello sufficiente di alfabetizzazione AI a tutto il personale che opera con sistemi di intelligenza artificiale. Non e un consiglio, e un obbligo di legge in vigore dal 2 agosto 2025.
Piano formativo consigliato:
| Ruolo Aziendale | Competenze Richieste | Ore Minime |
|---|---|---|
| CEO / Direzione | Governance AI, responsabilita legale, strategia, rischi reputazionali | 8 ore |
| Manager operativi | Supervisione sistemi AI, processo decisionale, compliance operativa | 16 ore |
| Personale operativo | Uso corretto strumenti AI, riconoscimento output anomali, procedure di segnalazione | 8 ore |
| IT / Tecnici | Configurazione, monitoraggio, sicurezza dati, integrazione sistemi, audit tecnico | 24 ore |
| DPO / Compliance | Normativa AI Act, integrazione GDPR, valutazioni d'impatto, sandbox regolamentari | 40 ore |
Procedure di Segnalazione Incidenti
L'AI Act richiede ai deployer di sistemi ad alto rischio di segnalare alle autorita competenti qualsiasi incidente grave o malfunzionamento che possa impattare diritti fondamentali, salute o sicurezza.
Cosa implementare:
- Definisci cosa costituisce un "incidente grave" nel contesto della tua azienda (decisione discriminatoria, output dannoso, violazione dati)
- Stabilisci una procedura interna: chi segnala, a chi, entro quali tempi, con quale formato
- Prevedi un canale di segnalazione per i dipendenti (anche anonimo)
- Documenta ogni incidente, le azioni correttive intraprese e i risultati ottenuti
- Integra la procedura con il registro data breach del GDPR per evitare duplicazioni
Conservazione dei Registri
Il record-keeping non e burocratico: e la tua difesa in caso di ispezione. Le autorita vorranno vedere documentazione strutturata che dimostri il tuo percorso di conformita.
Documenti da conservare:
- Registro sistemi AI: L'inventario aggiornato di tutti i sistemi, con classificazione del rischio e ruolo (provider/deployer)
- Log di utilizzo: Per i sistemi ad alto rischio, registra gli input, gli output e le decisioni umane associate
- Valutazioni d'impatto: Le AI Impact Assessment per ogni sistema ad alto rischio
- Certificati di formazione: Attestati e registri delle ore di formazione AI del personale
- Registro incidenti: Storico delle segnalazioni e delle azioni correttive
- Contratti con fornitori AI: Clausole di conformita, SLA, responsabilita
Durata conservazione: Mantieni i registri per almeno 10 anni dalla cessazione dell'uso del sistema AI, come previsto dall'Art. 72 dell'AI Act per i sistemi ad alto rischio.
Audit Periodici di Conformita
La conformita non e un traguardo ma un processo continuo. Devi verificare periodicamente che i tuoi sistemi AI restino conformi nel tempo, soprattutto dopo aggiornamenti software o cambiamenti nei processi.
Programma di audit consigliato:
- Trimestrale: Revisione dell'inventario AI e verifica che i sistemi siano ancora classificati correttamente
- Semestrale: Audit dei meccanismi di supervisione umana e delle procedure di trasparenza
- Annuale: Valutazione d'impatto completa per i sistemi ad alto rischio, revisione della data governance, aggiornamento della formazione
- Ad evento: Audit immediato dopo ogni aggiornamento significativo di un sistema AI, cambio di fornitore o incidente
Riepilogo Checklist Rapida - 10 Passi
- Passo 1: Inventario completo di tutti i sistemi AI in uso
- Passo 2: Identificazione del ruolo (provider o deployer) per ciascun sistema
- Passo 3: Classificazione del livello di rischio per ciascun sistema
- Passo 4: Predisposizione della documentazione di trasparenza
- Passo 5: Implementazione dei meccanismi di supervisione umana
- Passo 6: Definizione delle politiche di data governance
- Passo 7: Formazione AI per tutti i dipendenti (obbligo Art. 4)
- Passo 8: Procedure di segnalazione incidenti gravi
- Passo 9: Sistema di conservazione registri e documentazione
- Passo 10: Pianificazione di audit periodici di conformita
Le Sanzioni: Quanto Rischia la Tua Azienda
Le sanzioni dell'AI Act sono tra le piu severe nel panorama normativo europeo, paragonabili per entita a quelle del GDPR. Le PMI devono conoscere esattamente cosa rischiano per valutare l'investimento nella conformita come una polizza assicurativa, non come un costo.
Sanzioni Europee (AI Act)
Tre Livelli di Sanzione UE
| Violazione | Sanzione Max | % Fatturato | Esempio |
|---|---|---|---|
| Uso di AI proibita (Art. 5) | 35 milioni euro | 7% globale | Social scoring dei clienti, manipolazione subliminale |
| Non conformita sistemi alto rischio | 15 milioni euro | 3% globale | AI per recruitment senza valutazione d'impatto |
| Informazioni errate alle autorita | 7,5 milioni euro | 1,5% globale | Dichiarazioni false sulla classificazione del rischio |
Sanzioni Italiane (Legge 132/2025)
La legge italiana aggiunge un secondo livello sanzionatorio che si cumula con quello europeo:
- Sanzioni amministrative: Fino a 1.500 euro per dipendente per violazioni degli obblighi specifici della legge italiana
- Incrementi mensili: Se la violazione non viene corretta dopo la prima contestazione, la sanzione aumenta mese dopo mese
- Proporzionalita per le PMI: Le autorita italiane devono considerare la dimensione dell'impresa, il fatturato e la gravita della violazione nel determinare l'importo
Calcolo pratico per una PMI con 25 dipendenti
Scenario peggiore con la sola legge italiana: 25 dipendenti x 1.500 euro = 37.500 euro di sanzione iniziale, con incrementi mensili fino alla messa in conformita. A questo si sommano le eventuali sanzioni europee. Per una PMI, anche la sanzione europea "ridotta" puo rappresentare un rischio esistenziale.
Confrontalo con il costo della conformita: un percorso di adeguamento professionale costa tipicamente tra 5.000 e 15.000 euro per una PMI. L'investimento nella prevenzione e 3-7 volte inferiore al rischio sanzionatorio minimo.
Fattori Attenuanti per le PMI
L'AI Act prevede esplicitamente che le autorita considerino fattori attenuanti nel calcolo delle sanzioni:
- Dimensione e capacita economica dell'impresa
- Natura, gravita e durata della violazione
- Cooperazione attiva con le autorita durante l'indagine
- Misure correttive adottate spontaneamente
- Buona fede dimostrata (es. percorso di conformita documentato, anche se incompleto)
- Violazioni precedenti: La prima violazione e trattata con minore severita
Importante: Avere un percorso di conformita documentato, anche se non ancora completo, e un fattore attenuante significativo. Questo e un motivo in piu per iniziare subito, anche senza la pretesa di essere perfetti dal primo giorno.
Agevolazioni per le PMI: Sandbox Regolamentari e Supporto
L'AI Act non e solo obblighi e sanzioni. Il regolamento europeo e la legge italiana prevedono misure specifiche di sostegno per le PMI, riconoscendo che le piccole e medie imprese hanno risorse limitate e necessitano di un approccio proporzionato alla conformita.
Modalita Semplificate di Conformita
L'AI Act estende alle PMI e alle piccole mid-cap (imprese con meno di 500 dipendenti) modalita semplificate per adempiere agli obblighi di conformita:
- Documentazione ridotta: Possibilita di utilizzare modelli semplificati per la documentazione tecnica dei sistemi ad alto rischio
- Valutazioni d'impatto proporzionate: Le AI Impact Assessment possono essere meno dettagliate per sistemi con impatto limitato
- Tempi di adeguamento flessibili: Maggiore tolleranza nelle tempistiche di messa in conformita
- Supporto diretto: L'AI Office europeo e l'AgIA italiana forniscono linee guida e template specifici per le PMI
Sandbox Regolamentari
I sandbox regolamentari sono ambienti controllati dove le PMI possono testare e sviluppare sistemi AI sotto la supervisione delle autorita, senza il rischio di sanzioni durante la fase di sperimentazione.
Come funziona un sandbox regolamentario AI
La tua PMI puo candidarsi per accedere a un sandbox. All'interno di questo ambiente controllato, puoi:
- Testare un sistema AI innovativo senza rischio di sanzioni per non conformita
- Ricevere feedback diretto dall'autorita competente (AgIA in Italia) sulla classificazione del rischio e sugli obblighi
- Validare il tuo approccio alla conformita prima di lanciare il sistema sul mercato
- Accedere a competenze tecniche e legali specialistiche
Ogni Stato membro deve istituire almeno un sandbox operativo. In Italia, l'AgIA e responsabile della gestione. Le candidature sono aperte su base periodica.
Incentivi e Finanziamenti Italiani
La Legge 132/2025 prevede un investimento complessivo di 1 miliardo di euro per lo sviluppo dell'AI in Italia, con misure dedicate alle PMI:
- Contributi a fondo perduto per progetti AI innovativi nelle PMI
- Crediti d'imposta per la formazione del personale sull'intelligenza artificiale
- Incentivi per l'adozione di soluzioni AI conformi e "made in Italy"
- Supporto per diventare fornitori della PA: La legge obbliga la PA a usare server nazionali, creando opportunita per fornitori italiani di AI
Per una panoramica completa degli incentivi disponibili, consulta la nostra guida AI: Incentivi e Finanziamenti in Italia.
Vuoi capire se la tua PMI e pronta?
Inizia con una valutazione rapida della tua situazione attuale. La nostra guida Come Iniziare con l'AI: 7 Primi Passi per le PMI ti aiuta a muovere i primi passi in modo strutturato.
Leggi la Guida ai Primi PassiDomande Frequenti sull'AI Act e la Conformita PMI
L'AI Act (Regolamento UE 2024/1689) e entrato in vigore il 1 agosto 2024 con applicazione graduale. I divieti sulle pratiche proibite si applicano dal 2 febbraio 2025, le regole sui modelli GPAI dal 2 agosto 2025. La data critica e il 2 agosto 2026: la maggior parte delle disposizioni restanti diventa pienamente applicabile, incluse le sanzioni operative. I sistemi ad alto rischio gia esistenti hanno tempo fino al 2 agosto 2027 per la piena conformita.
Le sanzioni europee prevedono tre livelli: fino a 35 milioni di euro o il 7% del fatturato globale per l'uso di sistemi AI proibiti; fino a 15 milioni o il 3% per non conformita su sistemi ad alto rischio; fino a 7,5 milioni o l'1,5% per informazioni errate alle autorita. Per le PMI, i massimali sono proporzionalmente ridotti e le autorita devono considerare la capacita economica. In Italia, la Legge 132/2025 aggiunge sanzioni amministrative fino a 1.500 euro per dipendente, con incrementi mensili per mancata correzione.
Si, se la tua PMI sviluppa, distribuisce o utilizza sistemi di intelligenza artificiale nell'Unione Europea. Il regolamento si applica a tutte le imprese, indipendentemente dalla dimensione. Gli obblighi variano in base al ruolo (provider o deployer) e al livello di rischio del sistema AI. La maggior parte delle PMI che usa strumenti come ChatGPT, CRM con AI o chatbot rientra nelle categorie a rischio limitato o minimo, con obblighi principalmente di trasparenza. Le PMI beneficiano di modalita di conformita semplificate e possono accedere a sandbox regolamentari per testare i sistemi senza rischio sanzionatorio.
L'AI Act (Regolamento UE 2024/1689) stabilisce le regole europee uniformi. La Legge italiana 132/2025, entrata in vigore il 10 ottobre 2025, e il primo framework nazionale sull'AI in Europa e integra l'AI Act con disposizioni specifiche per l'Italia: sanzioni amministrative nazionali fino a 1.500 euro per dipendente, protezioni rafforzate per i minori sotto i 14 anni, creazione dell'Agenzia nazionale per l'AI (AgIA), regole sulla proprieta intellettuale dei contenuti AI e tutele specifiche per i lavoratori nei luoghi di lavoro. Le due normative si applicano congiuntamente: devi rispettare entrambe.
Segui la checklist in 10 passi descritta in questo articolo: 1) Inventario completo di tutti i sistemi AI, 2) Identificazione del ruolo (provider o deployer), 3) Classificazione del rischio per ogni sistema, 4) Documentazione di trasparenza, 5) Meccanismi di supervisione umana, 6) Politiche di data governance, 7) Formazione dipendenti (obbligo Art. 4), 8) Procedure di segnalazione incidenti, 9) Sistema di conservazione registri, 10) Audit periodici. Inizia oggi dall'inventario: e la base su cui costruire tutto il resto. Non serve la perfezione dal primo giorno, ma serve la documentazione del percorso.
L'AI Act classifica come ad alto rischio i sistemi AI utilizzati in questi ambiti: recruitment e gestione HR (selezione CV, valutazione candidati), scoring creditizio e valutazione affidabilita finanziaria, diagnostica medica e sistemi sanitari, gestione infrastrutture critiche (energia, trasporti, acqua), sistemi educativi per la valutazione degli studenti, identificazione biometrica remota, gestione migrazione e controllo frontiere, amministrazione della giustizia. Per questi sistemi servono valutazione di conformita documentata, gestione del rischio strutturata, data governance rigorosa e supervisione umana obbligatoria con responsabile identificato.
Prenota una Consulenza AI Act per la Tua PMI
I nostri esperti ti guidano nell'intero percorso di conformita: dall'inventario dei sistemi AI alla documentazione, dalla formazione del personale agli audit periodici. Non aspettare agosto 2026.
Prenota una Consulenza AI ActPer una panoramica introduttiva sull'AI Act, consulta anche il nostro articolo AI Act: Cosa Devono Sapere le PMI Italiane. Se la tua priorita e il rapporto tra dati personali e intelligenza artificiale, approfondisci con la guida GDPR e Intelligenza Artificiale: Come Garantire la Compliance.