Guida Completa all'AI Act EU per le PMI Italiane (2025-2026)
Il Regolamento Europeo sull’Intelligenza Artificiale (AI Act, Regolamento UE 2024/1689) è la prima legge al mondo che regolamenta in modo sistematico l’uso dei sistemi di intelligenza artificiale. È entrato in vigore il 1° agosto 2024 e si applica progressivamente fino al 2027.
Se usi strumenti AI nella tua azienda — un chatbot, un sistema di selezione del personale, un software che analizza dati dei clienti, anche solo ChatGPT per le email — l’AI Act ti riguarda. Non è una normativa pensata solo per i giganti tecnologici: colpisce chiunque utilizzi, distribuisca o metta in commercio sistemi di intelligenza artificiale nell’Unione Europea.
Le sanzioni per chi non si adegua arrivano fino al 3% del fatturato mondiale annuo (o 15 milioni di euro, si applica il maggiore). Per una PMI italiana, anche solo un 1% di sanzione può essere devastante.
In questa guida trovi tutto quello che serve sapere: cosa dice la normativa, come classificare i sistemi AI che usi, le scadenze reali e cosa devi fare concretamente per essere in regola.
Aggiornata a giugno 2026 da Fabio Moretti, consulente certificato AI Act con oltre 30 anni di esperienza in digital strategy per PMI italiane.
Indice
- Cos’è l’AI Act in parole semplici
- Chi deve rispettare l’AI Act
- I 4 livelli di rischio: come si classifica un sistema AI
- Le scadenze che ogni PMI deve conoscere
- Cosa deve fare concretamente la tua azienda
- Le sanzioni: quanto rischi se non ti adegui
- AI Act e GDPR: come si relazionano
- Domande frequenti (FAQ)
- Prossimi passi: come partire
1. Cos’è l’AI Act in parole semplici
L’AI Act è un regolamento europeo che definisce regole chiare per lo sviluppo e l’utilizzo dell’intelligenza artificiale all’interno dell’Unione Europea. Non vieta l’AI — anzi, la incentiva — ma stabilisce chi può usarla, come e con quali garanzie.
Il principio fondamentale è la proporzionalità al rischio: più un sistema AI può influenzare la vita delle persone, più è soggetto a obblighi severi.
L’AI Act distingue tre categorie di soggetti:
- Fornitori (providers): chi sviluppa o vende sistemi AI
- Utilizzatori (deployers): chi usa sistemi AI nel proprio contesto professionale
- Importatori e distributori: chi mette in commercio sistemi AI sviluppati fuori dall’UE
Come PMI italiana, è molto probabile che tu sia un utilizzatore (deployer): non sviluppi AI, ma la usi. Gli obblighi per i deployer sono meno gravosi di quelli per i provider, ma esistono e vanno rispettati.
2. Chi deve rispettare l’AI Act
L’AI Act si applica a chiunque, nell’esercizio di un’attività professionale o commerciale, utilizzi sistemi di intelligenza artificiale nell’Unione Europea o i cui output hanno effetto nell’UE.
Sei soggetto all’AI Act se:
- Usi strumenti AI per prendere decisioni che riguardano persone fisiche (clienti, dipendenti, candidati)
- Utilizzi chatbot AI nel tuo sito o nel servizio clienti
- Impieghi software che usa AI per analisi creditizia, scoring, valutazione dei candidati
- Usi strumenti di AI generativa (ChatGPT, Copilot, Claude, Gemini) in modo sistematico nel lavoro
- Distribuisci prodotti o servizi che incorporano componenti AI
Esempi pratici per una PMI italiana:
| Scenario | Soggetto all’AI Act? |
|---|---|
| Uso ChatGPT per scrivere email |  Sì (uso professionale di AI generativa) |
| Chatbot sul sito per rispondere ai clienti | Sì (deployer di sistema AI) |
| Software HR con ranking automatico dei CV | Sì (sistema ad alto rischio) |
| Strumento AI per previsioni di vendita | Sì (sistema AI nel senso della norma) |
| Excel per calcolare le fatture |  No (non è AI ai sensi della norma) |
3. I 4 livelli di rischio: come si classifica un sistema AI
Il cuore dell’AI Act è il sistema di classificazione per livelli di rischio. Ogni sistema AI rientra in una delle quattro categorie, a cui corrispondono obblighi diversi.
Rischio Inaccettabile — Vietati
Sistemi AI che violano diritti fondamentali. Sono completamente vietati dal 2 febbraio 2025:
- Sistemi di social scoring (valutazione dei cittadini da parte dei governi)
- Riconoscimento biometrico in tempo reale in spazi pubblici (con eccezioni per le forze dell’ordine)
- Sistemi di manipolazione subliminale
- Sfruttamento delle vulnerabilità di gruppi specifici
Per le PMI: altamente improbabile rientrarvi. Nessuna PMI italiana standard usa queste tecnologie.
Alto Rischio — Obblighi Stringenti
Sistemi che possono avere impatti significativi sulla vita delle persone. Includono:
- Sistemi di selezione e valutazione del personale (screening CV automatico, ranking candidati)
- Sistemi di scoring creditizio o valutazione del rischio finanziario
- Sistemi usati in ambito sanitario, educativo, giudiziario
- Componenti di sicurezza in infrastrutture critiche
- Sistemi biometrici di identificazione (non in tempo reale)
Obblighi principali per chi usa sistemi ad alto rischio:
- Verifica che il fornitore abbia completato la valutazione di conformità CE
- Implementazione di misure di supervisione umana
- Registrazione e conservazione dei log di utilizzo
- Trasparenza verso gli utenti finali
- Segnalazione di incidenti gravi
Per le PMI: se usi software HR con AI per filtrare i CV, sistemi di credit scoring automatizzato o strumenti AI in ambito sanitario, sei in questa categoria.
Rischio Limitato — Obblighi di Trasparenza
Sistemi che interagiscono con le persone senza che queste lo sappiano. Esempio tipico: chatbot e assistenti virtuali.
Obbligo principale: informare chiaramente l’utente che sta interagendo con un sistema AI.
Questo è probabilmente il livello più rilevante per la maggior parte delle PMI italiane che usano chatbot sul sito o tool di AI generativa nel servizio clienti.
Cosa fare nella pratica:
- Aggiungere un disclaimer chiaro in ogni chatbot (“Stai parlando con un assistente AI”)
- Non far sembrare umana l’AI nelle comunicazioni
- Segnalare quando i contenuti sono stati generati da AI (in alcuni contesti)
Rischio Minimo — Nessun Obbligo Specifico
La grande maggioranza dei sistemi AI rientra in questa categoria: filtri antispam, AI per raccomandazioni di contenuto, strumenti di ottimizzazione dei processi interni senza impatto diretto sulle persone.
Per le PMI: usare ChatGPT per ottimizzare i testi del sito, uno strumento AI per analizzare le performance di marketing o un software di previsione magazzino rientra in questa categoria. Nessun obbligo specifico, ma è sempre buona pratica documentare l’uso.
4. Le scadenze che ogni PMI deve conoscere
L’AI Act non è entrato in vigore tutto in una volta. Ha un calendario di applicazione progressiva che è fondamentale conoscere.
| Data | Cosa entra in vigore |
|---|---|
| 1° agosto 2024 | Entrata in vigore del Regolamento |
| 2 febbraio 2025 già in vigore |
Divieto assoluto per sistemi a rischio inaccettabile |
| 2 agosto 2025 ← sei qui | Obblighi per i modelli AI general purpose (GPAI) e governance |
| 2 agosto 2026 | Piena applicazione per sistemi ad alto rischio (Allegato III) |
| 2 agosto 2027 | Applicazione per sistemi AI incorporati in prodotti soggetti ad altra normativa |
Cosa significa per una PMI italiana oggi:
- I sistemi vietati sono già illegali dal 2 febbraio 2025 → nessun rischio per PMI standard
- Se usi AI in processi HR, creditizi o simili, hai tempo fino ad agosto 2026 per adeguarti → ma è meglio iniziare subito
- Se il tuo chatbot non dichiara di essere AI → devi adeguarti già ora (obblighi di trasparenza in vigore)
5. Cosa deve fare concretamente la tua azienda
Ecco un percorso pratico in 5 passi per una PMI italiana che vuole essere conforme all’AI Act.
Passo 1 — Censisci tutti i sistemi AI in uso
Prima di tutto, sai esattamente quali strumenti AI stai usando? Molte PMI ne usano decine senza rendersene conto: plugin AI nel CRM, strumenti di analisi predittiva, chatbot, tool di generazione testi.
Crea un inventario con: nome del tool, fornitore, scopo d’uso, dati trattati, impatto sulle persone.
Passo 2 — Classifica ogni sistema per livello di rischio
Per ciascun sistema nel tuo inventario, applica la classificazione dell’AI Act. La domanda chiave è: questo sistema prende o influenza decisioni che riguardano persone fisiche in modo significativo?
Se sì → probabile alto rischio. Se no → rischio limitato o minimo.
Passo 3 — Fai una Gap Analysis
Confronta la tua situazione attuale con gli obblighi previsti per ogni livello di rischio. Dove hai lacune? Mancano disclaimer di trasparenza? Non hai log di utilizzo? I contratti con i fornitori AI sono aggiornati?
Passo 4 — Implementa le misure necessarie
In base alla Gap Analysis, le azioni più comuni per una PMI sono:
- Aggiungere disclaimer AI nei chatbot e nelle comunicazioni generate da AI
- Verificare la documentazione di conformità dei fornitori di sistemi ad alto rischio
- Formare il personale sull’uso corretto degli strumenti AI (obbligatorio per i deployer di sistemi ad alto rischio)
- Aggiornare le policy interne e i contratti con i fornitori
- Attivare la supervisione umana sui processi decisionali automatizzati
Passo 5 — Documenta tutto
L’AI Act richiede documentazione. Tieni traccia di: quali sistemi usi, come li usi, quali misure hai adottato, chi supervisiona i processi AI. Questa documentazione è la tua prova di conformità in caso di ispezione.
6. Le sanzioni: quanto rischi se non ti adegui
L’AI Act prevede un sistema sanzionatorio su tre livelli:
| Violazione | Sanzione massima |
|---|---|
| Uso di sistemi AI vietati (rischio inaccettabile) | 35 milioni € o 7% del fatturato mondiale |
| Violazione degli obblighi principali (sistemi ad alto rischio) | 15 milioni € o 3% del fatturato mondiale |
| Fornitura di informazioni errate alle autorità | 7,5 milioni € o 1% del fatturato mondiale |
Si applica sempre il valore maggiore tra importo fisso e percentuale del fatturato.
Per le PMI è prevista proporzionalità: le autorità di vigilanza devono tenere conto della dimensione aziendale nell’applicare le sanzioni. Ma “proporzionale” non significa “zero”: anche per una PMI con 2 milioni di fatturato, l’1% sono 20.000 euro.
L’autorità di vigilanza in Italia sarà l’AgID (Agenzia per l’Italia Digitale), che collaborerà con il Garante Privacy per gli aspetti di intersezione con il GDPR.
7. AI Act e GDPR: come si relazionano
Una domanda frequente: l’AI Act sostituisce il GDPR? No. I due regolamenti coesistono e si integrano.
| Aspetto | GDPR | AI Act |
|---|---|---|
| Focus | Protezione dei dati personali | Sicurezza e affidabilità dei sistemi AI |
| Quando si applica | Quando si trattano dati personali | Quando si usano sistemi AI |
| Chi vigila in Italia | Garante Privacy | AgID |
| Sanzioni | Fino al 4% del fatturato globale | Fino al 7% del fatturato globale |
Nella pratica: se usi un sistema AI che tratta dati personali (quasi tutti), devi rispettare entrambe le normative contemporaneamente. La buona notizia è che molte misure si sovrappongono: documentazione, trasparenza, supervisione umana, valutazioni d’impatto.
Chi è già conforme al GDPR ha già percorso metà strada verso la conformità AI Act.
8. Domande frequenti (FAQ)
L’AI Act si applica anche alle micro-imprese e ai liberi professionisti?
Sì. L’AI Act non prevede esenzioni basate sulle dimensioni aziendali per gli obblighi di trasparenza (rischio limitato). Per i sistemi ad alto rischio, sono previste alcune semplificazioni procedurali per le PMI, ma non esenzioni totali.
Se uso solo ChatGPT per scrivere testi, devo fare qualcosa?
L’uso di strumenti di AI generativa per la produzione di contenuti rientra generalmente nel rischio minimo o limitato. Non hai obblighi burocratici specifici, ma è buona pratica non spacciare i contenuti AI per scritti da una persona reale, e verificare sempre l’accuratezza dei testi prodotti.
Chi controlla che le aziende rispettino l’AI Act?
In Italia, l’autorità di vigilanza designata è l’AgID. Le sanzioni vengono irrogate dalle autorità nazionali, ma la Commissione Europea può intervenire per i modelli AI di uso generale (GPAI) e le violazioni più gravi.
Ho un chatbot sul sito. Cosa devo fare esattamente?
Devi assicurarti che gli utenti sappiano chiaramente di stare interagendo con un sistema AI. È sufficiente un messaggio iniziale esplicito tipo “Sono un assistente virtuale AI. Per parlare con un operatore umano…” È già in vigore.
Devo registrarmi da qualche parte?
Non esiste ancora un registro obbligatorio per i deployer di sistemi a basso rischio. Per i sistemi ad alto rischio, è prevista l’iscrizione in una banca dati EU (EU AI database), ma questo riguarda principalmente i fornitori, non i semplici utilizzatori.
Cosa succede se il mio fornitore di software non è conforme all’AI Act?
Come deployer, hai la responsabilità di verificare che i sistemi AI che acquisti siano conformi. Se un fornitore non riesce a dimostrare la conformità per un sistema ad alto rischio, tecnicamente non dovresti usarlo. Questo è uno degli aspetti pratici più complessi della norma.
L’AI Act è già in vigore o devo aspettare il 2026?
Dipende dal tipo di sistema AI. I divieti assoluti sono in vigore dal 2 febbraio 2025. Gli obblighi di trasparenza (chatbot, AI generativa) sono in vigore. Gli obblighi più stringenti per i sistemi ad alto rischio scattano ad agosto 2026.
9. Prossimi passi: come partire
Se sei arrivato fino a qui, hai già una comprensione dell’AI Act superiore a quella della maggior parte delle PMI italiane. È il momento di trasformare la conoscenza in azione.
Il percorso minimo consigliato per una PMI:
- Settimana 1: Censisci tutti gli strumenti AI che usi (anche i più banali)
- Settimana 2: Classifica ciascuno per livello di rischio
- Settimana 3: Identifica i gap più urgenti (mancano disclaimer? mancano contratti aggiornati?)
- Mese 2: Implementa le misure prioritarie
- Mese 3: Forma il personale e documenta tutto
Hai bisogno di supporto?
Ogni azienda è diversa. Quello che per una PMI manifatturiera è un sistema ad alto rischio, per uno studio professionale potrebbe essere rischio minimo. Una Gap Analysis personalizzata è il modo più efficiente per capire esattamente dove sei e cosa fare.
→ Richiedi una consulenza gratuita sull’AI Act
Analizzo la tua situazione in 30 minuti e ti dico cosa serve fare concretamente — senza tecnicismi e senza sorprese.
Approfondimenti correlati
- Le scadenze AI Act 2025-2026: il calendario completo per le PMI (prossimamente)
- Come fare una Gap Analysis AI Act per la tua azienda (prossimamente)
- Documentazione AI Act: i documenti obbligatori per i deployer (prossimamente)
- Chatbot e AI Act: come rendere il tuo assistente virtuale conforme (prossimamente)
Fonti e riferimenti
- Regolamento UE 2024/1689 — Testo ufficiale
- AI Office della Commissione Europea
- Linee guida AgID sull’AI
- European AI Act Explorer — Future of Life Institute
Ultimo aggiornamento: giugno 2026 | Autore: Fabio Moretti, Consulente Digital Strategy & AI Act Compliance
Hai trovato un errore o vuoi segnalare un aggiornamento normativo? Scrivimi a info@fabiomoretti.com