AI Act 2026: Obblighi, Scadenze e Sanzioni per le PMI (Guida Operativa)

Lettura 9 min · AstraLoop Studio

Se usi ChatGPT per scrivere email commerciali, un chatbot sul sito o uno strumento che filtra i CV in fase di selezione, l'AI Act ti riguarda già. Non è un problema solo delle big tech. Il Regolamento UE 2024/1689 (questo il nome ufficiale dell'AI Act) impone obblighi anche a chi si limita a utilizzare sistemi di intelligenza artificiale, non solo a chi li sviluppa. E la data da segnarti è il 2 agosto 2026.

Il problema è che finora l'AI Act è stato spiegato quasi solo da studi legali e blog di compliance, in astratto: articoli, considerando, definizioni. Utile per capire la cornice, inutile quando devi decidere cosa fare lunedì mattina. Questa guida fa il contrario. Traduce la norma in azioni operative per una PMI italiana, con scadenze, priorità e quello che ti serve davvero. Se stai impostando il tuo percorso su questi temi, parti dalla nostra guida completa alla consulenza AI per aziende, che raccoglie tutto il quadro, governance inclusa.

Una precisazione doverosa: questo è un contenuto informativo, non un parere legale. Per la classificazione formale dei tuoi sistemi e per gli adempimenti specifici del tuo settore serve il confronto con un professionista. Qui ti diamo la mappa per arrivarci preparato, senza partire da zero.

Illustrazione di una persona davanti a un albero decisionale a quattro livelli che rappresenta le categorie di rischio dell'AI Act

Cos'è l'AI Act e perché riguarda anche te che sei una PMI

L'AI Act è il primo regolamento organico al mondo sull'intelligenza artificiale. È un regolamento, non una direttiva: si applica direttamente in tutti gli Stati membri, senza bisogno di leggi nazionali di recepimento. In Italia l'autorità di vigilanza sarà l'ACN (Agenzia per la Cybersicurezza Nazionale) insieme all'AgID, mentre il Garante per la protezione dei dati personali resta competente sui profili privacy, che spesso si intrecciano con l'uso dell'AI.

Il punto che sfugge a molti imprenditori è questo: la norma distingue tra chi sviluppa un sistema AI (il "fornitore", provider) e chi lo usa nella propria attività (il "deployer", o utilizzatore). La maggior parte delle PMI ricade nella seconda categoria. Usi un CRM con scoring automatico dei lead, un tool che genera testi, un software di videosorveglianza intelligente, un assistente per il recruiting: sei un deployer, e hai obblighi tuoi, indipendenti da quelli del vendor.

La logica dell'intero regolamento è la classificazione per rischio. Non tutti i sistemi AI sono trattati allo stesso modo: gli obblighi crescono con il rischio che il sistema comporta per i diritti delle persone.

Le 4 categorie di rischio dell'AI Act (dove ricadi tu)

Questo è il concetto operativo più importante. Prima di parlare di scadenze, devi capire in quale fascia cadono i tuoi sistemi, perché da lì discende tutto il resto.

Categoria di rischioEsempiCosa comporta per te
Rischio inaccettabile (vietato)Social scoring, manipolazione subliminale, riconoscimento emozioni sul posto di lavoro, scraping massivo di voltiVietati dal 2 febbraio 2025. Se li usi, li spegni. Punto.
Alto rischioAI per selezione del personale, valutazione del merito creditizio, gestione dei lavoratori, sistemi in ambito sanitario o infrastrutture criticheObblighi pesanti: sorveglianza umana, trasparenza, documentazione, log, valutazione. Qui serve consulenza dedicata.
Rischio limitatoChatbot, generatori di testo e immagini, deepfake, assistenti conversazionaliObblighi di trasparenza: dire all'utente che sta parlando con un'AI ed etichettare i contenuti sintetici.
Rischio minimoFiltri antispam, AI nei videogiochi, sistemi di raccomandazione basiciNessun obbligo specifico oltre le buone pratiche. La stragrande maggioranza dei tool comuni sta qui.

La buona notizia è che la maggior parte delle PMI usa strumenti a rischio minimo o limitato. La cattiva è che molte usano almeno un sistema ad alto rischio senza saperlo. Il caso più frequente è il recruiting. Se un software filtra, ordina o valuta i candidati in base ai CV, sei quasi certamente in fascia alto rischio, con tutti gli adempimenti collegati. Stesso discorso per chi valuta l'affidabilità creditizia dei clienti.

Per questo il primo passo concreto non è "leggere il regolamento", ma mappare i sistemi AI che usi già e classificarli. È esattamente il lavoro di un audit interno strutturato: censire, classificare, individuare i gap. Senza questa fotografia, ogni discorso su obblighi e scadenze resta teorico.

Le scadenze dell'AI Act: il calendario reale

L'AI Act non è entrato in vigore tutto insieme. Ha un'applicazione scaglionata. Ecco le date che contano davvero per te.

DataCosa scattaImpatto per la PMI
2 febbraio 2025Divieto delle pratiche a rischio inaccettabile e obbligo di alfabetizzazione AI (art. 4)Già in vigore. L'obbligo di formazione del personale è già attivo oggi.
2 agosto 2025Obblighi per i modelli di uso generale (GPAI), governance e autorità nazionaliRiguarda i fornitori di modelli. Indiretto per te, ma definisce chi vigila.
2 agosto 2026Applicazione generale del regolamento, incluse le regole sui sistemi ad alto rischio e sugli obblighi di trasparenzaLa data spartiacque. Da qui la maggior parte degli obblighi diventa pienamente esigibile.
2 agosto 2027Obblighi per i sistemi ad alto rischio integrati in prodotti già regolati (macchinari, dispositivi medici e simili)Rilevante per chi produce beni con AI incorporata.

Traduzione pratica: hai già un obbligo attivo (l'alfabetizzazione AI, ne parliamo tra poco) e hai una scadenza forte al 2 agosto 2026 per essere in regola sul grosso degli adempimenti. Non è tempo infinito. Un percorso serio di assessment, correzione dei gap e formazione richiede diversi mesi, e va incastrato tra le altre priorità operative.

Illustrazione di una linea del tempo con tappe crescenti verso la scadenza principale dell'AI Act del 2026

L'obbligo che quasi nessuno considera: l'alfabetizzazione AI (art. 4)

Qui sta il punto più sottovalutato dell'intera norma. L'articolo 4 dell'AI Act impone a fornitori e utilizzatori di garantire un livello sufficiente di alfabetizzazione in materia di AI al proprio personale e a chiunque operi i sistemi per loro conto. E questo obbligo è già in vigore dal 2 febbraio 2025, non dal 2026.

Cosa significa in concreto? Se la tua azienda usa strumenti di AI, le persone che li usano devono avere competenze adeguate a comprenderne funzionamento, rischi, limiti e opportunità, proporzionate al loro ruolo e al contesto d'uso. Non serve trasformare il centralino in data scientist. Serve che chi usa l'AI sappia cosa sta usando, quali dati può o non può inserirci, come riconoscere un output sbagliato e quando fermarsi.

Il dato di realtà è impietoso: il 73% delle aziende indica formazione e upskilling sull'AI come priorità, ma solo il 22% ha percorsi strutturati. La maggioranza è tecnicamente inadempiente su un obbligo già attivo. E si lega a un altro problema serio, la cosiddetta Shadow AI: si stima che il 68-76% dei dipendenti usi strumenti di AI di nascosto, senza policy né controllo, con rischi diretti su GDPR e AI Act (pensa a dati riservati incollati in un tool consumer). Un programma di alfabetizzazione serve anche a governare questo fenomeno, prima che diventi un incidente.

La buona notizia è che l'alfabetizzazione AI è l'obbligo più facile da soddisfare e quello che rende di più, perché ti mette anche nella condizione di usare meglio gli strumenti. Un percorso strutturato di adozione dell'AI in PMI parte proprio da qui: prima le persone, poi i processi.

Sanzioni: quanto rischi davvero

Le cifre fanno impressione, ma vanno lette bene. L'AI Act prevede tre fasce di sanzioni amministrative:

  • Fino a 35 milioni di euro o il 7% del fatturato mondiale annuo (si applica l'importo più alto) per la violazione dei divieti sulle pratiche a rischio inaccettabile.
  • Fino a 15 milioni di euro o il 3% del fatturato per la violazione degli obblighi su sistemi ad alto rischio, trasparenza e altri adempimenti.
  • Fino a 7,5 milioni di euro o l'1,5% del fatturato per la comunicazione di informazioni inesatte o fuorvianti alle autorità.

Due precisazioni che riducono il panico ma non l'urgenza. Primo: il regolamento prevede esplicitamente che per le PMI e le startup si applichi il tetto più basso tra la cifra fissa e la percentuale, e che le sanzioni siano proporzionate. Non ti arriva una multa da 35 milioni se hai un fatturato da 800.000 euro. Secondo: le autorità devono tenere conto di dimensione, buona fede e misure adottate. Un'azienda che ha fatto un assessment e ha avviato la formazione è in una posizione radicalmente diversa da una che ha ignorato tutto.

Il rischio concreto per una PMI, quindi, non è tanto la sanzione monetaria catastrofica. È altro: contenziosi con clienti o dipendenti su decisioni automatizzate, blocco di un sistema in produzione, danno reputazionale, problemi in gara o in due diligence quando un cliente grande ti chiede la conformità. La conformità sta diventando un requisito commerciale, non solo legale.

Vuoi sapere quali dei tuoi strumenti AI ricadono negli obblighi dell'AI Act e cosa fare entro il 2 agosto 2026? Richiedi un assessment operativo: ti restituiamo la mappa dei tuoi sistemi, i gap da chiudere e un piano di formazione a norma.

La roadmap operativa in 5 passi per arrivare pronto al 2 agosto 2026

Basta teoria. Ecco la sequenza concreta che ha senso per una PMI. È la stessa logica di una buona strategia di automazione con AI: prima capisci cosa hai, poi intervieni.

1. Censimento e classificazione (settimane 1-3)

Fai l'inventario di ogni strumento AI in uso, i tool ufficiali e quelli usati informalmente dalle persone. Per ciascuno annota che cosa fa, quali dati tratta, chi lo usa e in quale processo. Poi classifica ogni sistema nelle quattro fasce di rischio. Questo è il deliverable fondamentale, la fotografia da cui parte tutto.

2. Analisi dei gap (settimane 3-5)

Per ogni sistema classificato, confronta lo stato attuale con gli obblighi della sua fascia. I sistemi ad alto rischio (spesso recruiting o credito) sono la priorità assoluta: lì servono sorveglianza umana documentata, informativa agli interessati, log e valutazioni. I sistemi a rischio limitato richiedono principalmente interventi di trasparenza: avvisare che c'è un'AI ed etichettare i contenuti generati.

3. Interventi correttivi (mesi 2-4)

Metti a terra le correzioni: aggiorna informative privacy e AI, introduci il "human-in-the-loop" dove manca, spegni o sostituisci gli strumenti che non puoi mettere in regola, formalizza una policy interna sull'uso dell'AI (che è anche la cura contro la Shadow AI).

4. Alfabetizzazione del personale (in parallelo, mesi 1-4)

Avvia il percorso di formazione richiesto dall'art. 4, calibrato per ruolo: base per tutti, approfondito per chi gestisce sistemi sensibili. Documenta chi ha fatto cosa, perché la tracciabilità è parte della compliance.

5. Monitoraggio continuo (dal mese 4 in poi)

La conformità non è un progetto con una fine. Ogni nuovo tool va classificato prima di entrare in produzione. Nomina un referente interno per l'AI, tieni aggiornato il registro dei sistemi e rivedi periodicamente. È lo stesso principio che vale per il presidio della sicurezza informatica: si mantiene nel tempo.

Errori tipici da evitare

  • Pensare "non sviluppo AI, quindi non mi riguarda". Falso: come utilizzatore hai obblighi tuoi, l'art. 4 in primis.
  • Ignorare la Shadow AI. Se i dipendenti usano tool non censiti, hai sistemi non classificati e dati potenzialmente esposti. È il buco più comune.
  • Trattare l'AI Act come un adempimento una tantum. Ogni nuovo strumento riapre la classificazione.
  • Delegare tutto allo studio legale senza la parte operativa. Il parere giuridico ti dice cosa devi fare, ma qualcuno deve poi tradurlo in modifiche a processi, tool e formazione. Serve chi collega le due cose.
  • Aspettare l'estate 2026 per iniziare. Un assessment con correzioni e formazione richiede mesi. Chi parte a giugno arriva in ritardo.

La conformità all'AI Act, vista bene, non è solo un costo. È l'occasione per fare finalmente l'inventario dei tuoi strumenti AI, capire cosa usi davvero, eliminare il rumore e usare l'AI in modo più consapevole e più produttivo. È il primo tassello di un percorso di adozione sensato, non l'ostacolo. Se non sai da dove cominciare, la guida su come iniziare con l'AI in azienda ti dà il punto di partenza corretto.

In sintesi

L'AI Act ti riguarda anche se "solo" usi strumenti di AI. La data forte è il 2 agosto 2026, ma l'obbligo di alfabetizzazione (art. 4) è già attivo dal febbraio 2025. Le sanzioni teoriche arrivano a 35 milioni di euro, ma per le PMI si applica il tetto più favorevole e la proporzionalità: il vero rischio è commerciale e operativo. La mossa giusta è partire ora con un assessment, classificare i tuoi sistemi, correggere i gap e formare le persone. Operativo, non astratto.

Domande frequenti

L'AI Act si applica alla mia PMI se uso solo ChatGPT o un chatbot?

Sì. Anche chi si limita a usare strumenti di AI (il deployer) ha obblighi propri. Con ChatGPT o un chatbot ricadi tipicamente in rischio limitato con obblighi di trasparenza, ma soprattutto sei già soggetto all'obbligo di alfabetizzazione del personale (art. 4), attivo dal 2 febbraio 2025.

Qual è la scadenza principale dell'AI Act per le PMI?

Il 2 agosto 2026 è la data di applicazione generale del regolamento, quando diventa pienamente esigibile la maggior parte degli obblighi, incluse le regole su sistemi ad alto rischio e trasparenza. L'obbligo di alfabetizzazione e i divieti sulle pratiche vietate sono però già in vigore dal 2 febbraio 2025.

A quanto ammontano le sanzioni dell'AI Act?

Fino a 35 milioni di euro o il 7% del fatturato mondiale per le pratiche vietate, e fino a 15 milioni o il 3% per gli obblighi sui sistemi ad alto rischio e la trasparenza. Per PMI e startup il regolamento prevede il tetto più basso e sanzioni proporzionate a dimensioni e misure adottate.

Cosa significa l'obbligo di alfabetizzazione AI dell'articolo 4?

Significa garantire che chi usa strumenti di AI in azienda abbia competenze sufficienti a comprenderne funzionamento, rischi e limiti, in modo proporzionato al ruolo. Non serve formare esperti tecnici, ma dare a ogni persona le nozioni per usare l'AI in modo consapevole. È già obbligatorio dal febbraio 2025.

Come faccio a sapere se un mio sistema AI è ad alto rischio?

I casi più frequenti per una PMI sono i software di selezione del personale (filtro e valutazione dei CV) e i sistemi di valutazione del merito creditizio. Se un tool prende o supporta decisioni che incidono sui diritti delle persone in questi ambiti, molto probabilmente è ad alto rischio. La classificazione formale va comunque fatta caso per caso.

Da dove conviene iniziare per mettersi in regola?

Dal censimento e dalla classificazione di tutti i sistemi AI già in uso, compresi quelli informali dei dipendenti (Shadow AI). Da questa fotografia derivano analisi dei gap, interventi correttivi e piano di formazione. Aspettare l'estate 2026 è rischioso: un percorso completo richiede diversi mesi.

Non lasciare la conformità all'AI Act all'ultimo minuto. Parlane con noi: analizziamo i tuoi sistemi, li classifichiamo per rischio e costruiamo insieme la roadmap verso il 2 agosto 2026, formazione inclusa.