AI Act per PMI italiane: cosa fare entro agosto 2026
Il regolamento europeo entra nella fase operativa il 2 agosto 2026. Sanzioni fino a 35 milioni di euro. Quattro mesi di lavoro metodico bastano. Ecco cosa, in quale ordine, con quali costi.
Cosa cambia il 2 agosto 2026 (e perché riguarda anche te)
L'AI Act è stato approvato nel 2024 come Regolamento UE 2024/1689. La sua applicazione è stata scaglionata su tre anni per dare al mercato il tempo di adeguarsi. Le pratiche vietate sono operative da febbraio 2025. Gli obblighi per i modelli General Purpose AI dal 2 agosto 2025.
Il salto operativo per le PMI italiane è il 2 agosto 2026: entrano in vigore gli obblighi per i sistemi ad alto rischio, e l'autorità nazionale di vigilanza diventa operativa. In Italia, la Legge 132 del 10 ottobre 2025 ha designato l'ACN (Agenzia per la Cybersicurezza Nazionale) come autorità di vigilanza, con poteri di ispezione e sanzione.
Sanzione massima
Per non-compliance su pratiche vietate, o 7% del fatturato globale annuo (il maggiore dei due).
Tempo medio
Per portare una PMI italiana da zero a compliant, lavorando in modo metodico e non in emergenza.
Provider o Deployer
Sei sempre almeno uno dei due. La maggior parte delle PMI italiane è Deployer, spesso senza saperlo.
Se usi ChatGPT, Microsoft Copilot, Notion AI, Claude, Gemini, o qualsiasi altro strumento AI generativo nei processi aziendali, sei un Deployer ai sensi dell'AI Act. Sì, anche tu. Anche se sei una squadra di tre persone.
Provider o Deployer: in che ruolo sei?
L'AI Act distingue due ruoli principali, con obblighi radicalmente diversi. Il 90% delle PMI italiane è Deployer. Una minoranza, soprattutto software house e team prodotto interni di gruppi industriali, è anche Provider. Capire il proprio ruolo è il primo passo: definisce documenti, costi, e responsabilità verso l'autorità.
| Dimensione | Provider | Deployer |
|---|---|---|
| Definizione | Sviluppa un sistema AI e lo immette sul mercato sotto proprio nome o marchio. | Usa un sistema AI sotto la propria autorità professionale nei processi aziendali. |
| Esempio italiano | Software house veneta che vende un agente AI white-label per studi notarili. | Studio di commercialisti milanese che usa ChatGPT per bozze di pareri. |
| Obblighi chiave | Documentazione tecnica completa, valutazione di conformità, marcatura CE per high-risk, registrazione nel database UE. | Uso secondo istruzioni del Provider, informativa lavoratori, supervisione umana, audit log, valutazione impatto. |
| Dove pesa | Sviluppo prodotto, R&D, ingegneria del software. | Operatività quotidiana, processi HR, customer service, procurement. |
| Documentazione | Estesa: technical file completo, data governance, risk-management system, post-market monitoring. | Più leggera: DPIA-like, registro interno dei sistemi, policy d'uso, evidenze formazione. |
Caso ibrido frequente. Se sviluppi internamente un sistema AI per uso esclusivamente aziendale (es. un classificatore di pratiche costruito sopra GPT-4 dal tuo team interno), sei entrambi: Provider del sistema verso te stesso, Deployer del suo utilizzo. La documentazione richiesta è completa, anche se non lo metti sul mercato.
Sistemi ad alto rischio: i casi che colpiscono le PMI italiane
L'AI Act classifica i sistemi in quattro livelli di rischio: inaccettabile (pratiche vietate), alto, limitato, minimo. Solo i primi due hanno obblighi pesanti. La grande maggioranza delle applicazioni AI usate nelle PMI italiane ricade nei livelli limitato o minimo. Ma esistono otto categorie tipiche di sistemi ad alto rischio che possono toccare anche aziende piccole. Conoscerle è la prima parte dell'inventory.
Screening CV automatizzato
Tool HR-tech che filtrano, valutano o classificano candidati senza supervisione umana sostanziale. Tutti gli ATS con scoring AI ricadono qui.
Valutazione creditizia
Banche, fintech, società di leasing e factoring che usano AI per credit scoring di persone fisiche o piccole imprese.
Tariffazione assicurativa con AI
Pricing dinamico AI-driven per polizze vita, salute, RC auto. Anche se la decisione finale è confermata da un underwriter, il modello sottostante è high-risk.
Diagnostica medica AI-assistita
Cliniche private, laboratori, centri di radiologia che usano sistemi AI per supportare diagnosi su immagini, ECG, esami di laboratorio.
Identificazione biometrica
Controllo accessi a sedi e magazzini, sistemi anti-frode retail basati su riconoscimento facciale, autenticazione clienti via voce.
Valutazione studenti automatizzata
EdTech che assegna voti, classifica apprendimento, raccomanda percorsi formativi basandosi su modelli AI.
Sicurezza in macchinari industriali
Componenti AI integrati in macchinari Industry 4.0 con funzione di sicurezza: rilevamento collisioni, anomaly detection critica, controllo automatico arresti d'emergenza.
Critical infrastructure
Sistemi di gestione di utility energetiche, idriche, gas, trasporti, reti telco, in cui un malfunzionamento AI ha impatti su servizi essenziali.
Cosa NON è alto rischio
Chatbot di customer support generico, tool di marketing copywriting, assistenti documentali interni senza potere decisionale vincolante, generatori di sintesi riunioni, traduzioni automatiche, classificatori di ticket non destinati a decisioni finali. Restano obblighi di trasparenza (l'utente deve sapere che sta parlando con un'AI) ma la documentazione è minimale.
Cosa documentare se sei Provider (anche di un solo sistema)
Gli obblighi del Provider sono robusti perché il Provider risponde dell'intero ciclo di vita del sistema. Anche se hai un solo prodotto AI, il pacchetto documentale è praticamente lo stesso di chi ne ha venti. Per questo molte software house italiane scelgono di posizionarsi come Deployer (usando modelli di terzi) anziché come Provider, riducendo significativamente il carico regolatorio.
- Technical file con architettura del sistema, dati di training, metodologia di valutazione del rischio, scelte di design.
- Risk management system: sistema di gestione del rischio AI continuo, aggiornato a ogni release significativa.
- Data governance: provenienza dei dati di training, controlli di qualità, bias check, gestione dati personali.
- Logging automatico delle decisioni del sistema, conservato per la durata richiesta dal tipo di uso.
- Trasparenza verso utenti finali: informativa chiara che spiega capacità, limiti e ambito d'uso del sistema.
- Supervisione umana: human-in-the-loop o human-on-the-loop dove richiesto dal livello di rischio.
- Accuratezza, robustezza e cybersecurity dichiarate, testate, e mantenute nel post-market monitoring.
- Marcatura CE per sistemi ad alto rischio, con dichiarazione di conformità firmata da rappresentante legale.
- Registrazione nel database UE per sistemi high-risk, prima dell'immissione sul mercato.
Costo medio compliance Provider per un sistema high-risk in Italia, a maggio 2026: 15-40K€ una tantum per setup iniziale (audit, redazione technical file, valutazione di conformità, marcatura CE), più 5-10K€/anno per manutenzione documentazione, monitoring, aggiornamenti normativi. I costi salgono se il sistema integra dati sanitari, biometrici, o ha esposizione internazionale.
Cosa fare se sei (solo) Deployer
Il Deployer ha obblighi più leggeri ma esistono e non sono opzionali. La sottostima di questo ruolo è il rischio principale per le PMI italiane: molte aziende pensano che usare strumenti AI di terzi (ChatGPT, Copilot, Notion AI, agenti white-label) le metta automaticamente al riparo. Non è così. Il Provider risponde per il suo sistema; il Deployer risponde per come lo usa.
- Usare il sistema secondo le istruzioni del Provider (manuale d'uso, contratto, limiti dichiarati).
- Informare i lavoratori del fatto che un sistema AI è in uso nei processi che li riguardano, anche se non li valuta direttamente.
- Garantire supervisione umana sulle decisioni AI ad alto impatto su clienti, dipendenti, fornitori.
- Mantenere log dell'uso del sistema per almeno 6 mesi, estendibili per usi sensibili.
- Notificare incidenti gravi al Provider e all'autorità di vigilanza nazionale (ACN in Italia).
- Effettuare valutazione d'impatto sui diritti fondamentali (FRIA) per sistemi ad alto rischio.
Costo medio compliance Deployer per una PMI italiana senza sistemi high-risk: 3-8K€ una tantum per inventory, policy, formazione, implementazione log, più 1-2K€/anno per aggiornamento documentale. Cifre indicative basate su tariffari di consulenza italiana a maggio 2026 per PMI di 10-50 persone senza obblighi settoriali aggiuntivi.
Come essere pronti in 4 mesi (la timeline)
Un percorso di compliance AI Act per una PMI italiana media si completa in quattro mesi di lavoro metodico, distribuito su poche risorse interne e una consulenza esterna a chiamata. Sotto i quattro mesi si entra in compressione e i costi salgono. Sopra, si rischia di non arrivare alla deadline. Ecco la cadenza realistica.
Mese 1
Inventory
Censimento di tutti i sistemi AI in uso in azienda. Inclusi quelli ufficiali (Copilot enterprise, agenti aziendali) e lo shadow AI (ChatGPT personale dei dipendenti, plugin browser). Classificazione di rischio per ciascun sistema.
Mese 2
Gap analysis
Per ogni sistema censito, identificare il gap fra stato attuale e obblighi normativi applicabili. Prioritizzare per impatto sul business e criticità regolatoria. Definire il piano di rimediazione.
Mese 3
Implementazione
Redazione documenti mancanti (policy, informative, FRIA), configurazione di audit log e procedure di supervisione, formazione dipendenti, aggiornamento contratti con fornitori AI.
Mese 4
Test e drill
Test di compliance con scenari reali, verifica della catena di responsabilità interna, prove di incident response, simulazione di richiesta dell'autorità. Correzioni residue prima della deadline.
Partire a maggio 2026 significa essere pronti entro la deadline del 2 agosto 2026 con margine. Partire a luglio è molto stretto: si lavora in compressione e i costi salgono perché i consulenti sono saturi. Partire dopo settembre significa essere fuori legge da mesi quando si chiude il primo ciclo.
Quanto si rischia (i numeri delle sanzioni)
L'AI Act prevede sanzioni amministrative pecuniarie su tre fasce di gravità. Le cifre nominali sono pensate per le big tech, ma il regolamento si applica anche alle PMI. Esiste una clausola di proporzionalità per le piccole imprese e le start-up, che modula gli importi sul fatturato effettivo. Anche proporzionato, l'importo resta significativo.
| Tipo violazione | Sanzione massima |
|---|---|
| Pratiche AI vietatemanipolazione subliminale, social scoring, riconoscimento emozioni sul lavoro | 35M€ o 7% del fatturato globale annuo |
| Obblighi sistemi high-riskmancata documentazione tecnica, mancata supervisione umana, mancata marcatura CE | 15M€ o 3% del fatturato globale annuo |
| Informazioni inesattedati incompleti o falsi forniti all'autorità di vigilanza | 7,5M€ o 1% del fatturato globale annuo |
| PMI e start-upstessa violazione, clausola di proporzionalità applicabile | Importi proporzionati al fatturato effettivo |
Per le PMI la clausola di proporzionalità modera gli importi, ma non azzera l'esposizione. Anche "proporzionato a 5M€ di fatturato" può tradursi in sanzioni a sei cifre, oltre a costi di rimediazione e perdita di gare corporate dove la compliance AI Act è ormai requisito di qualifica fornitore.
Sandbox, sgravi e incentivi 2026
Il quadro italiano accompagna la compliance con tre strumenti pubblici progettati per ridurre il costo di adeguamento per le PMI: una sandbox regolatoria gestita dall'ACN, un iperammortamento per investimenti AI, e una serie di voucher regionali. Sono cumulabili entro i limiti del de minimis e dei singoli bandi.
Strumento 01
Sandbox AI Italia (ACN)
Ambiente regolatorio protetto per testare sistemi AI ad alto rischio prima della messa sul mercato. Accesso prioritario per PMI e start-up. Riduzione delle tasse di certificazione, affiancamento tecnico dell'autorità durante il periodo pilota.
Strumento 02
Iperammortamento 180% (2026)
Superammortamento per investimenti in soluzioni AI fino al 180% del valore. Combinabile con il Piano Transizione 5.0 per progetti che includono efficientamento energetico. Beneficio fruibile a partire dall'esercizio in cui il bene entra in funzione.
Strumento 03
Voucher Cloud + AI
Bandi MIMIT e regionali (Veneto, Lombardia, Emilia-Romagna, Piemonte fra i più attivi) per coprire fino al 50% delle spese di consulenza AI, audit di compliance e migrazione cloud per PMI. Massimali tipici 30-80K€ per progetto.
Le agevolazioni esistono, ma sono soggette a bandi con finestre chiuse e a graduatorie. Conviene muoversi con anticipo e con la documentazione pronta, non last-minute con la fretta di rincorrere la deadline. Le aziende che combinano audit AI Act + voucher consulenza + iperammortamento spesso recuperano metà del costo netto di compliance.
Sono solo una PMI che usa ChatGPT in ufficio. Cosa devo fare?
Risposta diretta: anche tu hai obblighi. Sei un Deployer. L'AI Act non ha una soglia dimensionale sotto cui non si applica. Ma se non gestisci sistemi high-risk, la conformità minima è ragionevole. Ecco il pacchetto base sotto cui non andare.
- Inventario dell'uso AI in azienda, incluso lo shadow IT (ChatGPT personale, plugin browser, account free non gestiti).
- Policy aziendale d'uso dell'AI: cosa è ammesso, cosa no, su quali dati, con quali strumenti approvati.
- Informativa ai dipendenti, anche se l'AI non li valuta direttamente: l'obbligo di trasparenza scatta a monte.
- Procedura di supervisione umana sulle decisioni AI che impattano clienti, fornitori, candidati.
- Audit log dell'uso: anche un semplice registro Excel di casi rilevanti può bastare come punto di partenza.
- Formazione di base sull'AI Act per chi usa AI nei processi core (HR, vendite, marketing, customer service).
Per una PMI di 10-30 persone senza sistemi high-risk, questa compliance minima si fa in due o tre settimane part-time di una persona interna referente, con il supporto di una breve consulenza esterna per il template della policy e la prima informativa. Non è un mostro normativo: è il livello base di igiene AI che ogni azienda dovrebbe avere comunque.
Domande frequenti su AI Act
Le domande che riceviamo più spesso da founder e direzioni di PMI italiane fra marzo e maggio 2026. Risposte fact-dense, senza edulcorare la complessità.
Checklist AI Act per la tua PMI
Quindici voci raggruppate in tre macro-aree: inventory, documentazione, operatività. È il quadro minimo che ogni PMI italiana dovrebbe avere chiuso entro il 2 agosto 2026. Le aziende con sistemi high-risk aggiungono moduli specifici sopra questa base.
Area 01
Inventory
- Censimento dei sistemi AI ufficiali in uso (Copilot, Notion AI, agenti white-label, modelli custom).
- Censimento dello shadow AI (account personali dipendenti, plugin browser, estensioni IDE).
- Classificazione del livello di rischio per ogni sistema (vietato, alto, limitato, minimo).
- Inventario dei provider esterni con contratti AI attivi, rinnovi e clausole di compliance.
- Data flow mappato per ogni sistema: cosa entra, cosa esce, dove restano i dati, chi vi accede.
Area 02
Documentazione
- Policy aziendale d'uso AI approvata dal vertice e comunicata a tutto il personale.
- Informativa ai lavoratori coerente con Statuto dei Lavoratori, GDPR e AI Act.
- Audit log attivo e sistematizzato per i sistemi a rischio limitato o superiore.
- DPIA e FRIA (Fundamental Rights Impact Assessment) per sistemi high-risk.
- Contratti con provider AI che includono clausole AI Act, SLA di compliance e diritti di audit.
Area 03
Operatività
- Procedura di supervisione umana definita per decisioni AI ad alto impatto, con ruoli e responsabilità.
- Training dei dipendenti su limiti, rischi e usi corretti dell'AI nei processi aziendali.
- Procedura di incident response per malfunzionamenti AI, con canali di notifica all'autorità.
- Monitoring continuo di bias, accuratezza e drift dei sistemi in produzione.
- Piano annuale di aggiornamento documentale e formativo allineato all'evoluzione normativa.
Letture collegate
Tre approfondimenti complementari per inquadrare la compliance AI Act nel quadro più ampio dello sviluppo applicazioni AI e della loro visibilità nei motori generativi.
Insight
Sviluppare applicazioni AI in Italia: guida 2026
Come progettare e costruire applicazioni AI di livello enterprise nel contesto italiano: stack, costi, vincoli normativi.
Insight
GEO Engineering: la guida tecnica
Generative Engine Optimization: come far citare la tua azienda dai modelli AI quando un cliente fa una ricerca informativa.
Settore
AI per studi legali
Casi d'uso AI specifici per studi legali italiani: research assistant, drafting, due diligence, con vincoli deontologici.
Sei pronto per il 2 agosto 2026?
Audit AI Act gratuito di 45 minuti. Mappiamo i sistemi AI in uso nella tua azienda, classifichiamo i rischi, ti diamo le priorità in ordine di urgenza. Senza vendere consulenze inutili. Se la compliance la chiudi internamente, te lo diciamo.