Intelligenza Artigianale

Dal blog

AI Act esenzioni PMI: cosa non si applica davvero

AI Act esenzioni PMI: la mappa operativa 2026 di obblighi esclusi, sandbox gratuite, sanzioni ridotte e documentazione semplificata. Verifica in 5 step.

di Redazione
pubblicato il 10 aprile 2026 aggiornato il 14 aprile 2026 13 min lettura
AI Act esenzioni PMI: cosa non si applica davvero — illustrazione editoriale

Le AI Act esenzioni PMI non sono un favore politico: sono scritte nel Regolamento UE 2024/1689 per evitare che una piccola impresa sopporti lo stesso carico di compliance di una big tech. La maggior parte degli obblighi pesanti riguarda i provider di sistemi ad alto rischio o i modelli GPAI, non chi usa ChatGPT, Copilot o un CRM con qualche funzione intelligente.

Le imprese con meno di 250 dipendenti beneficiano di documentazione tecnica semplificata, sandbox gratuite con accesso prioritario, sanzioni calcolate sull’importo più basso e iter burocratici ridotti. Se hai letto la guida sugli obblighi AI Act per le PMI e ti sembrava un macigno, questa è la parte opposta del quadro: cosa puoi legittimamente ignorare.

Cos’è una PMI secondo l’AI Act e perché conta

Il Regolamento UE 2024/1689 non inventa una definizione propria: rimanda alla Raccomandazione 2003/361/CE della Commissione. Sei PMI se hai meno di 250 dipendenti e un fatturato annuo sotto i 50 milioni di euro (oppure un bilancio sotto i 43 milioni). Le microimprese sono sotto i 10 dipendenti e 2 milioni di fatturato. Questa distinzione non è accademica: fa da chiave per accedere a tutte le semplificazioni che seguono.

In Italia, la Legge 132/2025 in vigore dal 10 ottobre 2025 ha completato il quadro nazionale, assegnando ad AgID e all’Agenzia per la Cybersicurezza Nazionale (ACN) i poteri di vigilanza e il compito di istituire congiuntamente le sandbox regolatorie. Il perimetro soggettivo della PMI, però, resta quello europeo.

AI Act esenzioni PMI: l’approccio basato sul rischio

Il Regolamento non applica gli stessi obblighi a tutti. Funziona su quattro livelli di rischio, e qui si gioca la prima grande esenzione di fatto.

  • Rischio inaccettabile: sistemi vietati (scoring sociale, manipolazione comportamentale, riconoscimento biometrico in tempo reale in spazi pubblici)
  • Alto rischio: sistemi in ambiti sensibili come HR, credito, istruzione, infrastrutture critiche (Allegato III)
  • Rischio limitato: chatbot e generatori di contenuti rivolti al pubblico
  • Rischio minimo: tutto il resto

La stragrande maggioranza degli strumenti AI usati dalle PMI italiane ricade nel rischio minimo o, al massimo, nel rischio limitato. ChatGPT per email commerciali, Copilot per scrivere codice, un tool di sintesi riunioni, un generatore di bozze di offerte: tutti a rischio minimo. Per questi sistemi l’AI Act non prevede obblighi specifici di conformità oltre all’AI literacy dell’articolo 4.

Se la tua PMI metalmeccanica da 25 dipendenti in Brianza usa l’AI solo per attività operative standard, gran parte del regolamento semplicemente non ti riguarda.

Quali articoli dell’AI Act non si applicano alle PMI deployer

Vediamo nel dettaglio, articolo per articolo, cosa la tua impresa può legittimamente ignorare se è un deployer (usa sistemi di terzi) a rischio minimo o limitato.

Valutazione di conformità (art. 43)

La valutazione di conformità con documentazione tecnica, sistema di gestione del rischio, registrazione nel database europeo e supervisione umana certificata è richiesta solo per i sistemi AI ad alto rischio. Se non sviluppi né usi AI per selezione del personale automatizzata, credit scoring, valutazione rischi assicurativi o altri ambiti dell’Allegato III, la procedura non ti riguarda. Tradotto: usare ChatGPT per scrivere email non innesca nessuna valutazione di conformità.

Registrazione nel database europeo (art. 49)

L’obbligo di registrare i sistemi AI nel database europeo ricade sui provider, non sui deployer. La tua PMI, nella quasi totalità dei casi, è un deployer: usa strumenti sviluppati da altri. Questo obbligo non ti tocca.

Documentazione tecnica completa (artt. 11 e 53)

La documentazione tecnica dettagliata su modelli, dati di addestramento, metriche di performance e test di robustezza è un obbligo esclusivo dei provider. Se non stai immettendo un sistema AI sul mercato europeo, puoi ignorarla completamente. L’articolo 11, paragrafo 1, prevede inoltre che la Commissione predisponga un modulo di documentazione tecnica semplificato, pensato per le esigenze di piccole e microimprese che volessero comunque operare come provider.

Valutazione d’impatto sui diritti fondamentali: esenzione esplicita (art. 27)

Qui c’è una deroga particolarmente rilevante. L’articolo 27 impone ai deployer di sistemi ad alto rischio di effettuare una valutazione d’impatto sui diritti fondamentali (FRIA, Fundamental Rights Impact Assessment). Il paragrafo 4 dello stesso articolo prevede però un percorso semplificato: le PMI che utilizzano sistemi ad alto rischio sono esentate dall’obbligo di consultazione strutturata con le parti interessate.

Anche se la tua PMI dovesse rientrare nella categoria alto rischio (scenario poco comune), avrebbe comunque un percorso sensibilmente più leggero rispetto a quello previsto per le grandi aziende.

Obblighi sui modelli GPAI (art. 53)

Gli obblighi sui modelli di AI a scopo generale — documentazione tecnica, politiche di copyright, trasparenza sui dati di addestramento — si applicano esclusivamente ai provider di questi modelli. OpenAI, Google, Anthropic e Meta devono rispettarli. La tua PMI che usa i loro strumenti no.

Sistemi open source: esenzione ampia ma non totale (art. 2, par. 12)

L’AI Act prevede un’esenzione significativa per i componenti AI rilasciati con licenza libera e open source (considerando 102 e articolo 2, paragrafo 12). I provider che rilasciano sistemi open source sono esentati dagli obblighi della catena del valore, a meno che il sistema non rientri in rischio inaccettabile, alto rischio o nei GPAI con rischio sistemico. Per una PMI che adotta strumenti open source per attività interne a basso rischio, il carico normativo si riduce ulteriormente.

Obbligo AI Act per PMI: la tabella di sintesi

Questa tabella condensa il quadro applicativo per una PMI deployer tipica. “Condizioni” indica se l’obbligo scatta sempre, mai o solo in scenari specifici.

Obbligo AI ActSi applica alla PMI?Condizioni
AI literacy (art. 4)Sempre, dal 2 febbraio 2025
Divieti pratiche a rischio inaccettabile (art. 5)Sempre, dal 2 febbraio 2025
Trasparenza chatbot e contenuti AI (art. 50)Se usi chatbot o generatori rivolti al pubblico
Valutazione di conformità (art. 43)NoSolo se usi o sviluppi sistemi ad alto rischio
FRIA — diritti fondamentali (art. 27)ParzialeSolo alto rischio, con esenzione dalla consultazione
Registrazione database UE (art. 49)NoObbligo del provider
Documentazione tecnica (artt. 11 e 53)NoObbligo del provider, con modulo semplificato PMI
Obblighi GPAI (art. 53)NoSolo provider di modelli generali
Sanzioni (art. 99)Importo più basso tra cifra fissa e % fatturato

Sandbox regolatorie per PMI: la semplificazione più concreta

L’articolo 57 obbliga ogni Stato membro a istituire almeno una sandbox regolatoria AI operativa entro il 2 agosto 2026. L’articolo 62 garantisce alle PMI e alle startup un accesso prioritario a questi spazi di sperimentazione controllata, dove puoi testare sistemi AI sotto la supervisione delle autorità senza rischiare sanzioni. Per le PMI l’accesso deve essere gratuito e le procedure di adesione semplici e chiaramente comunicate.

In Italia, come previsto dalla Legge 132/2025, AgID e ACN istituiscono congiuntamente le sandbox e ne definiscono il regolamento operativo. Se stai valutando l’adozione di un sistema AI che potrebbe rientrare nell’alto rischio — un software per la valutazione del personale, un sistema predittivo per il credito commerciale — la sandbox è il posto giusto dove testarlo prima della produzione.

Il considerando 139 del Regolamento ribadisce che le sandbox devono stimolare l’innovazione delle PMI senza compromettere la tutela dei diritti fondamentali. Non è un obbligo: è una leva.

Sanzioni AI Act ridotte per le PMI: quanto risparmi davvero

L’articolo 99, paragrafo 6, stabilisce che per le PMI e le startup le sanzioni pecuniarie si calcolano sempre sull’importo più basso tra la cifra fissa e la percentuale del fatturato. In pratica:

  • Una PMI con 3 milioni di fatturato, nel caso più grave (violazione dei divieti dell’art. 5), pagherebbe il 7% del fatturato (210.000 euro) e non i 35 milioni previsti come tetto massimo per le grandi imprese.
  • Per violazioni meno gravi, il principio resta: vince sempre il valore più basso.

Resta una cifra importante, ma il principio di proporzionalità è reale e significativo. Per il quadro completo vedi la guida sulle sanzioni AI Act e quanto costa non adeguarsi.

Iter burocratici semplificati e tariffe ridotte

L’articolo 62 non si limita alle sandbox. Prevede anche che le autorità nazionali e l’AI Office della Commissione Europea sviluppino:

  • Tariffe ridotte per gli organismi notificati che eseguono valutazioni di conformità su sistemi ad alto rischio, proporzionate alla dimensione dell’impresa.
  • Procedure semplificate e canali di comunicazione dedicati alle PMI.
  • Campagne di sensibilizzazione mirate e template standardizzati.
  • Linee guida che tengano conto degli interessi specifici delle piccole imprese.

Gli Stati membri devono attivamente informare le PMI sulle modalità di partecipazione alla sandbox e sugli strumenti di supporto disponibili.

Cosa resta obbligatorio: i tre pilastri non negoziabili

Chiarite le esenzioni, vediamo cosa l’AI Act chiede davvero a ogni PMI, senza eccezioni. Per il calendario dettagliato consulta le scadenze AI Act 2026 per le PMI.

1. AI literacy (art. 4) — in vigore dal 2 febbraio 2025

L’obbligo di garantire un livello sufficiente di alfabetizzazione AI al personale è già in vigore e si applica a tutte le organizzazioni, indipendentemente dalla dimensione. Non ci sono esenzioni per le PMI. Ogni persona che usa strumenti AI deve saper riconoscere un errore del sistema, capire quando serve una verifica umana e conoscere le regole aziendali sui dati. Per la maggior parte dei ruoli operativi bastano 2-4 ore di formazione strutturata e documentata. Il punto critico è la documentabilità: date, partecipanti, contenuti. Vedi la guida all’obbligo di formazione AI literacy.

2. Divieti pratiche a rischio inaccettabile (art. 5) — in vigore dal 2 febbraio 2025

I divieti si applicano a tutti, PMI incluse. Se qualcuno nella tua azienda usa un sistema di scoring sociale, manipolazione comportamentale o riconoscimento biometrico in tempo reale in spazi pubblici, deve smettere subito. Vale la pena verificare: alcuni software di videosorveglianza avanzata o strumenti di analisi comportamentale dei clienti potrebbero avvicinarsi a queste categorie.

3. Trasparenza per sistemi a rischio limitato (art. 50) — dal 2 agosto 2026

Se usi un chatbot sul sito o un sistema che genera contenuti per il pubblico, devi informare l’utente che sta interagendo con un’AI. Basta un avviso chiaro e visibile.

Verifica se sei esente in 5 step: la checklist operativa

Usa questa checklist per capire in pochi minuti quali esenzioni si applicano alla tua PMI. Spunta ogni voce e, alla fine, saprai esattamente dove concentrare le energie.

  1. Sei solo deployer? Se usi strumenti AI di terzi senza svilupparli, puoi ignorare documentazione tecnica dei modelli, obblighi GPAI, registrazione nel database UE e test di robustezza.
  2. I tuoi strumenti rientrano nel rischio minimo? ChatGPT, Copilot, tool di sintesi, generatori di bozze, analisi interne. Se si, nessun obbligo specifico oltre ad AI literacy e divieti di base.
  3. Hai meno di 250 dipendenti e meno di 50 milioni di fatturato? Allora hai accesso a sanzioni proporzionate, sandbox gratuite, tariffe di certificazione ridotte, FRIA semplificata e documentazione tecnica in formato ridotto.
  4. Usi sistemi dell’Allegato III (HR, credito, istruzione, infrastrutture critiche)? Se no, la valutazione di conformità non ti riguarda. Se si, verifica la sandbox prima di passare in produzione.
  5. Hai chatbot o generatori di contenuti pubblici? Unico obbligo aggiuntivo: informare l’utente che sta interagendo con un’AI.

Se le prime quattro risposte sono “solo deployer, rischio minimo, PMI, no Allegato III”, il tuo perimetro reale di compliance si chiude con AI literacy, divieti, policy minima e registro degli strumenti.

Gli errori più comuni delle PMI sull’AI Act

Nella nostra esperienza, le PMI italiane commettono tre errori ricorrenti nell’interpretare il Regolamento.

Errore 1: pensare che tutti gli obblighi si applichino a tutti

L’AI Act è costruito su un principio di proporzionalità. Se usi strumenti a rischio minimo, i tuoi obblighi si limitano ad AI literacy, divieti e trasparenza. Non devi costruire un apparato di compliance da multinazionale. Per il perimetro minimo operativo vedi le regole minime di governance AI per PMI.

Errore 2: confondere provider e deployer

Molte PMI si preoccupano di obblighi che riguardano esclusivamente i provider. Se usi ChatGPT, il provider è OpenAI. Tu sei il deployer. I tuoi obblighi sono diversi e significativamente più leggeri. Non significa zero responsabilità, ma il carico documentale e procedurale è incomparabile.

Errore 3: ignorare completamente la normativa

L’errore opposto è altrettanto pericoloso. Il Regolamento non prevede un’esenzione dimensionale generica. L’AI literacy è obbligatoria per tutti. I divieti si applicano a tutti. E se usi un sistema ad alto rischio senza saperlo — per esempio un software HR che filtra i CV automaticamente — le sanzioni si applicano anche a te, seppur in misura proporzionata.

Shadow AI: il rischio che nessuna esenzione copre

Nessuna deroga normativa protegge dal tema della shadow AI. Una parte rilevante dell’utilizzo AI in azienda avviene senza governance: dipendenti che usano strumenti AI per conto proprio, inseriscono dati aziendali in piattaforme esterne, generano output che escono dall’azienda senza alcuna verifica.

Se un collaboratore inserisce dati personali dei clienti in un chatbot pubblico, o se un output AI errato raggiunge un cliente senza revisione, nessuna esenzione dell’AI Act ti protegge. Il registro degli strumenti AI in azienda e la policy interna non sono solo obblighi normativi: sono strumenti di protezione concreta.

Domande frequenti

Le microimprese sotto i 10 dipendenti sono totalmente esenti dall’AI Act?

No. Anche una microimpresa è soggetta all’obbligo di AI literacy dell’articolo 4 e ai divieti dell’articolo 5. Il Regolamento non prevede alcuna esenzione dimensionale generale. Le microimprese beneficiano però di documentazione tecnica ulteriormente semplificata e del principio di proporzionalità sulle sanzioni, oltre che dell’accesso prioritario e gratuito alle sandbox.

Quali articoli dell’AI Act non si applicano a una PMI deployer?

I principali sono: art. 11 (documentazione tecnica), art. 43 (valutazione di conformità), art. 49 (registrazione nel database UE), art. 53 (obblighi GPAI), parti dell’art. 27 (consultazione FRIA). Si applicano sempre art. 4 (AI literacy), art. 5 (divieti), art. 50 (trasparenza per rischio limitato) e art. 99 (sanzioni, in forma proporzionata).

Le PMI pagano le sanzioni dell’AI Act come le grandi imprese?

No. L’articolo 99, paragrafo 6, stabilisce che per le PMI e le startup si applica sempre l’importo più basso tra la cifra fissa prevista e la percentuale del fatturato. Il tetto massimo di 35 milioni di euro previsto per i divieti dell’articolo 5 diventa, per una PMI, la percentuale sul proprio fatturato effettivo.

Cosa succede se la mia PMI usa un sistema ad alto rischio senza saperlo?

Le sanzioni si applicano comunque, seppur proporzionate. L’unica difesa è mappare in anticipo gli strumenti AI in uso e verificare se qualcuno rientra nell’Allegato III del Regolamento. Per farlo serve un registro minimo degli strumenti AI e una verifica periodica dei casi d’uso, a partire da HR, credito e valutazioni automatizzate.

Dove posso leggere il testo ufficiale dell’AI Act in italiano?

Il testo consolidato del Regolamento UE 2024/1689 è disponibile su EUR-Lex in italiano. Per le linee guida e gli aggiornamenti applicativi, il riferimento europeo è la pagina AI Act della Commissione.

AI Act esenzioni PMI: la sintesi operativa

Il Regolamento non è il mostro normativo che molti dipingono. Per una PMI italiana che usa strumenti AI come deployer in ambiti a basso rischio, si traduce in tre adempimenti concreti: formare il personale, tenere un registro degli strumenti e avere una policy minima. Tutto il resto — valutazioni di conformità, documentazione tecnica, registrazioni europee — è riservato a chi sviluppa sistemi AI o li usa in ambiti ad alto rischio.

Le semplificazioni previste dall’AI Act per le PMI sono significative: sanzioni proporzionate, sandbox gratuite con accesso prioritario, tariffe ridotte, procedure semplificate, FRIA alleggerita, documentazione tecnica in formato ridotto. La cosa peggiore che puoi fare e non fare nulla per paura di fare troppo. L’AI literacy è già obbligatoria dal 2 febbraio 2025. Il 2 agosto 2026 arrivano gli obblighi per i sistemi ad alto rischio è la trasparenza. Con il quadro delle esenzioni in mano, metterti in regola richiede giorni, non mesi.

Se vuoi un percorso strutturato per l’adozione dell’AI nella tua PMI — dalla scelta del primo caso d’uso fino alla governance completa — il libro Intelligenza Artigianale guida passo dopo passo con template, checklist e strumenti pratici pensati per chi non ha tempo da perdere con la teoria.

Approfondisci questo tema

Questi topic hub collegano gli articoli più rilevanti sullo stesso argomento.

Topic hub

AI PMI

146 articoli collegati

Topic hub

Guida Pratica

93 articoli collegati

Topic hub

AI Act

18 articoli collegati

Topic hub

Compliance

15 articoli collegati

Topic hub

Governance

10 articoli collegati

Approfondimenti

Continua da qui

Il libro

Se vuoi trasformare questi articoli in un percorso operativo, vai al libro.

Questa pagina resta un approfondimento singolo. Nell’ebook trovi il metodo completo (solo digitale).

Vai al libro