Intelligenza Artigianale

Dal blog

AI Act obblighi PMI: cosa fare entro il 2 agosto 2026

AI Act obblighi PMI: scadenze, articoli del Reg. UE 2024/1689, AI literacy, alto rischio e sanzioni. La checklist operativa per essere in regola nel 2026.

di Roberto Buonanno
pubblicato il 9 aprile 2026 aggiornato il 14 aprile 2026 14 min lettura
AI Act obblighi PMI: cosa fare entro il 2 agosto 2026 — illustrazione editoriale

Una PMI italiana che usa sistemi AI è soggetta a quattro blocchi di obblighi AI Act: divieto delle pratiche vietate (art. 5), AI literacy del personale (art. 4), regole sui sistemi ad alto rischio (artt. 6, 9, 13, 14) e trasparenza verso gli utenti (art. 50). Le scadenze chiave sono 2 febbraio 2025, 2 agosto 2025, 2 agosto 2026 e 2 agosto 2027.

Questi obblighi valgono indipendentemente dal numero di dipendenti. Il Regolamento UE 2024/1689 si applica anche a chi usa ChatGPT, Copilot o un CRM con moduli predittivi. In Italia, dal 10 ottobre 2025, alla normativa europea si aggiunge la Legge 132/2025, che designa AgID e ACN come autorità di vigilanza nazionali e introduce la cosiddetta “doppia compliance” per le imprese.

A chi si applica l’AI Act nelle PMI italiane

Il Reg. UE 2024/1689 si applica a qualunque soggetto che immetta sul mercato, metta in servizio o utilizzi un sistema AI nell’Unione. Rientrano i fornitori (provider) e gli utilizzatori professionali (deployer), con obblighi differenziati ma sovrapposti. Una PMI manifatturiera da 25 addetti in Brianza che usa un software HR per filtrare CV è un deployer di sistema ad alto rischio. Un’agenzia di marketing da 8 persone che genera testi con ChatGPT è un deployer di un sistema a rischio limitato ma resta tenuta agli obblighi dell’art. 4.

Le dimensioni aziendali non escludono nulla: la soglia “PMI” rileva solo per il regime sanzionatorio proporzionale (art. 99, comma 6) e per l’accesso agevolato alle sandbox regolatorie (artt. 57 e 62). Per un quadro puntuale dei casi esclusi, consulta la guida su cosa dell’AI Act non si applica alla PMI.

Le quattro classi di rischio (artt. 5, 6, 50 e considerando 27)

L’AI Act classifica i sistemi in quattro livelli. Capire dove ricade ogni strumento è il primo passo della compliance.

  • Rischio inaccettabile (art. 5, vietato dal 2 febbraio 2025): social scoring generalizzato, sfruttamento di vulnerabilità legate a età o disabilità, manipolazione subliminale, categorizzazione biometrica su caratteristiche sensibili, riconoscimento delle emozioni sul posto di lavoro e a scuola salvo motivi medici o di sicurezza, predictive policing puramente automatizzato, scraping massivo di volti da internet o telecamere per costruire banche dati di riconoscimento facciale. Pochi casi riguardano una PMI media, ma vanno verificati i sistemi di videosorveglianza con analitica, gli strumenti HR che profilano lo “stato emotivo” dai tratti facciali e i software di gamification aggressiva.
  • Alto rischio (art. 6 + Allegato III): sistemi usati per selezione e valutazione del personale, accesso a credito e assicurazioni, gestione infrastrutture critiche, istruzione, componenti di sicurezza di prodotti regolamentati.
  • Rischio limitato (art. 50): chatbot, generatori di contenuti sintetici, deepfake. Obbligo di informare l’utente e di etichettare gli output sintetici in modo leggibile da macchina.
  • Rischio minimo: tutto il resto, dai filtri antispam agli assistenti generici. Nessun obbligo specifico oltre all’art. 4.

Per una mappatura guidata degli strumenti della tua azienda, vedi la guida alla classificazione del rischio AI Act per PMI.

Scadenze AI Act 2025 - 2027

La tabella seguente sintetizza le date chiave del Reg. UE 2024/1689 con gli obblighi attivati e i soggetti coinvolti.

ScadenzaCosa scattaA chi si applica
2 febbraio 2025Divieti art. 5 + AI literacy art. 4Tutti (provider e deployer)
2 agosto 2025Obblighi GPAI (artt. 53, 55) + nomina autorità nazionali + regime sanzioni art. 99Fornitori di modelli generali, Stati membri
2 agosto 2026Sistemi ad alto rischio Allegato III (artt. 6, 9, 11, 13, 14, 27), trasparenza art. 50, piena vigilanzaProvider e deployer
2 agosto 2027Sistemi ad alto rischio incorporati in prodotti regolamentati (Allegato I) e GPAI immessi prima di ago 2025Provider

La data cardine per la maggior parte delle PMI è il 2 agosto 2026: da quel giorno AgID e ACN potranno avviare verifiche attive con poteri ispettivi e sanzionatori. Per una lettura mese per mese, vedi il calendario AI Act 2026 per PMI.

AI literacy (art. 4): il primo obbligo già attivo

L’articolo 4 impone a provider e deployer di garantire un “livello sufficiente” di alfabetizzazione sull’AI al personale che opera o utilizza i sistemi. L’art. 3, punto 56 definisce l’AI literacy come l’insieme di competenze e consapevolezza che permettono un uso informato dei sistemi AI. È in vigore dal 2 febbraio 2025 e non è un suggerimento.

In pratica, per una PMI significa:

  • Formazione proporzionata al ruolo per chiunque usi strumenti AI, dal commerciale al contabile.
  • Contenuti minimi: funzionamento di base, limiti (allucinazioni), bias, protezione dei dati, casi d’uso vietati in azienda.
  • Registro formativo con date, partecipanti, durata e materiali.
  • Aggiornamento quando cambiano strumenti o processi.

La FAQ pubblicata dall’EU AI Office nel 2025 chiarisce che non esiste una durata minima: contano coerenza, tracciabilità e adeguatezza ai rischi. Le FAQ precisano anche che l’art. 4 non richiede certificazioni, ma raccomanda un approccio “risk-based”: più sono sensibili i casi d’uso AI in azienda, più deve essere approfondita la formazione. Per le PMI l’AI Office indica tre livelli-tipo: awareness di base per tutto il personale, approfondimento per chi progetta prompt e flussi, livello avanzato per chi supervisiona sistemi ad alto rischio o prende decisioni sulla base dei loro output.

Attenzione a un punto spesso trascurato: anche il personale che non usa direttamente l’AI ma ne riceve gli output deve ricevere formazione adeguata. Il commerciale che firma un’offerta redatta con l’assistenza di un LLM è “interessato” nel senso dell’art. 3, punto 56. Per un percorso operativo, vedi AI literacy e obbligo di formazione dei dipendenti e la guida sulla digital literacy obbligatoria dal 2026.

Obblighi per sistemi ad alto rischio (artt. 9 - 27)

Se la tua PMI usa un software HR con filtraggio automatico dei CV, un sistema di credit scoring o un componente di sicurezza di un macchinario industriale, rientri nell’alto rischio. Gli obblighi del Capo III sono molti: il punto è capire quali ricadono sul deployer e quali sul provider.

A carico del provider (chi sviluppa o importa il sistema):

  • Sistema di gestione del rischio lungo tutto il ciclo di vita (art. 9).
  • Documentazione tecnica e dataset governance (artt. 10, 11).
  • Trasparenza e istruzioni per l’uso (art. 13).
  • Supervisione umana “by design” (art. 14).
  • Accuratezza, robustezza e cybersecurity (art. 15).
  • Valutazione di conformità (art. 43) e registrazione nella banca dati UE (art. 49).

A carico del deployer PMI (art. 26 e art. 27):

  • Uso conforme alle istruzioni ricevute dal provider.
  • Garanzia di controllo umano qualificato sugli output.
  • Monitoraggio del funzionamento e segnalazione di incidenti gravi al provider e, ove dovuto, all’autorità (art. 73).
  • Per settori come credito, assicurazioni, servizi pubblici essenziali: Valutazione di Impatto sui Diritti Fondamentali (FRIA, art. 27) prima della messa in servizio.
  • Informativa ai lavoratori e ai loro rappresentanti prima di usare un sistema ad alto rischio sul posto di lavoro (art. 26, comma 7).

Per la FRIA esiste una cornice metodologica ispirata al GDPR: vedi la guida pratica alla DPIA e valutazione d’impatto AI per PMI.

Un esempio concreto: un’azienda alimentare del Veneto da 45 dipendenti adotta un sistema di visione artificiale per il controllo qualità in linea. Se il sistema ricade fra i componenti di sicurezza del macchinario ai sensi del nuovo Regolamento Macchine (Reg. UE 2023/1230), scatta l’alto rischio per integrazione in prodotto regolamentato (Allegato I). La PMI, in qualità di deployer, deve pretendere dal fornitore la dichiarazione UE di conformità, la documentazione tecnica (art. 11), le istruzioni d’uso (art. 13), e tenere log di funzionamento per almeno sei mesi (art. 12). Se la valutazione di conformità segue il percorso dell’Allegato VII (art. 43), serve l’intervento di un organismo notificato.

Diverso il caso di una società di servizi finanziari di Milano da 30 persone che usa un modello predittivo per lo scoring creditizio interno: l’Allegato III, punto 5, lettera b, lo classifica esplicitamente come alto rischio. Gli obblighi del deployer includono FRIA (art. 27), informativa agli interessati, monitoraggio continuo e conservazione dei log per almeno sei mesi.

Obblighi di trasparenza (art. 50)

Se la tua azienda gestisce un chatbot sul sito, un assistente vocale o uno strumento che genera contenuti sintetici, devi rispettare l’art. 50:

  • L’utente deve sapere di interagire con un sistema AI, salvo quando è evidente.
  • I contenuti sintetici (testo, immagini, audio, video) devono essere marcati in formato leggibile da macchina.
  • Per i deepfake è obbligatorio dichiarare che il contenuto è stato generato o manipolato artificialmente.
  • Per i testi pubblicati “al fine di informare il pubblico su questioni di interesse pubblico” serve la dichiarazione di generazione AI, salvo revisione umana editoriale.

L’obbligo si applica dal 2 agosto 2026.

Obblighi per GPAI (artt. 53 - 55)

Le PMI raramente sono provider di modelli generali. Ma se integri un modello GPAI in un tuo prodotto, ereditare la documentazione del provider è responsabilità operativa: conserva istruzioni d’uso, policy di copyright, sintesi dei dati di addestramento. Gli obblighi per i provider GPAI sono attivi dal 2 agosto 2025 e includono documentazione tecnica, rispetto del diritto d’autore UE e pubblicazione di una sintesi dei contenuti usati per l’addestramento (art. 53).

Sanzioni e proporzionalità per le PMI (art. 99)

Il regime sanzionatorio AI Act è su tre fasce:

  • Violazione dei divieti art. 5: fino a 35 milioni o 7% del fatturato mondiale annuo.
  • Violazione obblighi alto rischio, GPAI, trasparenza: fino a 15 milioni o 3%.
  • Informazioni false o incomplete alle autorità: fino a 7,5 milioni o 1%.

L’art. 99, comma 6 stabilisce che per PMI e startup si applica l’importo più basso fra la cifra fissa e la percentuale sul fatturato: una PMI con 3 milioni di ricavi, nel caso peggiore, paga 210 mila euro (7%), non 35 milioni. Resta significativa la responsabilità civile per danni derivanti da output AI non controllati e, in Italia, il regime sanzionatorio integrativo della Legge 132/2025, che rinvia ai decreti attuativi da emanare entro dodici mesi. Per un calcolo concreto, vedi quanto costa davvero non adeguarsi all’AI Act.

Sandbox regolatorie (artt. 57 e 62)

L’art. 57 impone a ogni Stato membro di istituire almeno una sandbox regolatoria entro il 2 agosto 2026. L’art. 62 garantisce alle PMI e alle startup un accesso prioritario e gratuito, con rimborso proporzionato dei soli costi straordinari. In Italia, AgID sta definendo le regole operative.

La sandbox è lo spazio in cui puoi testare un sistema AI sotto la supervisione dell’autorità, senza rischiare sanzioni se rispetti il piano concordato. Per una PMI che vuole lanciare un prodotto con componente AI ad alto rischio, è la strada più sicura per arrivare pronti al 2026.

Il considerando 143 del Reg. UE 2024/1689 chiarisce che le sandbox devono ridurre “in modo significativo” la barriera d’ingresso normativa per le PMI. In pratica, la partecipazione produce un rapporto conclusivo utilizzabile come prova di buona fede nel caso di verifiche successive: un vantaggio reputazionale e probatorio rilevante.

Un secondo strumento previsto dall’art. 62 è il “testing in condizioni reali fuori dalle sandbox”, disciplinato dall’art. 60: la PMI provider può sperimentare un sistema ad alto rischio sul mercato prima dell’immissione in commercio, a condizione di avere un piano di prova approvato, il consenso degli interessati e la supervisione umana. È una via meno formale della sandbox ma soggetta a requisiti stringenti di tracciabilità.

Cosa NON si applica alla tua PMI

Non tutto quello che circola online è vero obbligo AI Act. Non devi:

  • Certificare ChatGPT Plus o Copilot usati dai dipendenti: sono sistemi a rischio minimo.
  • Compilare FRIA per ogni strumento: solo per alto rischio in settori specifici.
  • Registrare sul database UE sistemi che non sono ad alto rischio.
  • Nominare un “AI Officer” formale: la legge non lo prevede (ma un owner interno è consigliato).

Per una lettura approfondita, vedi la pagina dedicata alle esenzioni AI Act per le PMI.

Il governance layer minimo che tiene in piedi la compliance

Una PMI non deve replicare i framework delle multinazionali. Servono tre strumenti essenziali:

  1. Registro degli strumenti AI con owner, caso d’uso, dati trattati, livello di review. La guida completa è nell’articolo registro degli strumenti AI in azienda.
  2. Policy AI aziendale di una pagina, che definisca strumenti approvati, dati vietati, livelli di revisione umana. Consulta il template di policy AI per PMI.
  3. Routine di audit mensile: 10 output rivisti per ogni caso d’uso, incidenti tracciati, prompt e connettori verificati.

Il libro Intelligenza Artigianale dedica un intero capitolo a questo framework, con esempi reali di PMI italiane che lo hanno adottato senza bloccare l’operatività. Per il quadro completo, vedi anche governance AI per PMI: regole minime.

Otto step per arrivare conformi al 2 agosto 2026

Una checklist operativa applicabile a qualsiasi PMI, dal laboratorio artigiano da 12 dipendenti alla società di servizi da 80.

  1. Mappa tutti gli strumenti AI in uso, compresa la shadow AI. Secondo le rilevazioni 2025 dell’Osservatorio Artificial Intelligence del Politecnico di Milano, la quota di utilizzo non governato resta prevalente nelle PMI italiane.
  2. Classifica ogni strumento secondo le quattro classi di rischio AI Act.
  3. Redigi e adotta una policy AI aziendale di una pagina.
  4. Avvia la formazione art. 4 con registro documentale firmato dai partecipanti.
  5. Identifica gli strumenti ad alto rischio e verifica se è dovuta una FRIA.
  6. Assegna un owner per ogni caso d’uso e definisci il livello di revisione umana.
  7. Prepara il playbook incidenti (chi segnala, a chi, entro quanto tempo).
  8. Pianifica un audit mensile e una review trimestrale completa.

Nessuno di questi step richiede consulenti esterni o investimenti software significativi. Richiede tempo, disciplina e una persona responsabile. In una PMI fra i 20 e i 50 dipendenti, l’esperienza sul campo suggerisce un investimento medio di 40 - 80 ore di lavoro interno nei primi tre mesi, a cui si aggiungono le ore di formazione erogate al personale.

Domande frequenti

Un’azienda da 10 dipendenti che usa solo ChatGPT deve rispettare l’AI Act?

Sì, ma l’impatto è contenuto. ChatGPT in versione commerciale è un sistema a rischio minimo: l’unico obbligo vincolante è l’AI literacy del personale (art. 4), attiva dal 2 febbraio 2025. Servono formazione documentata, regole chiare sui dati che non possono essere inseriti nei prompt e una policy interna di una pagina. Non è dovuta alcuna certificazione.

Chi sono le autorità di vigilanza in Italia?

Con la Legge 132/2025 sono due: AgID, autorità di notifica e valutazione di conformità, e ACN, autorità di vigilanza del mercato con poteri ispettivi e sanzionatori. Entrambe rispondono agli obblighi del Reg. UE 2024/1689 e della legge nazionale. I decreti attuativi per articolare le competenze sono attesi entro il 10 ottobre 2026.

Il commercialista che usa un software AI per leggere fatture è deployer ad alto rischio?

No, l’estrazione dati da documenti contabili non rientra nell’Allegato III. È rischio minimo, salvo che lo strumento venga usato anche per decisioni automatizzate su rating creditizio dei clienti. In quel caso scattano gli obblighi di alto rischio (art. 6 + Allegato III, punto 5).

La Legge 132/2025 aggiunge obblighi rispetto all’AI Act europeo?

Sì. Introduce principi nazionali su dignità, non discriminazione, tutela del lavoro, e rinvia a decreti attuativi per procedure, sanzioni aggiuntive e governance fra AgID e ACN. Per le PMI significa monitorare due livelli normativi in parallelo: gli obblighi europei già scadenzati e le specifiche italiane che arriveranno entro ottobre 2026.

Serve un DPO o un AI Officer?

L’AI Act non prevede un ruolo formale equivalente al DPO del GDPR. Nei sistemi ad alto rischio, l’art. 26 richiede però che il deployer designi persone “con la competenza, la formazione e l’autorità necessarie” per la supervisione umana. In una PMI, questa funzione può essere assegnata a una figura esistente (IT, compliance, HR) purché dotata di formazione dedicata.

Quanto costa davvero adeguarsi per una PMI da 20 dipendenti?

In media, se si parte da zero, il costo diretto di una compliance minima si colloca fra 2.000 e 6.000 euro: formazione AI literacy (interna o a catalogo), redazione policy e registro, una o due giornate di consulenza legale per la revisione. La voce più costosa, quando rilevante, è la FRIA per i sistemi ad alto rischio, che può richiedere 10 - 20 giornate di lavoro specialistico.

Diritti dei lavoratori e informativa sindacale

L’AI Act incrocia la normativa lavoristica su due fronti. L’art. 26, comma 7 impone al datore di lavoro-deployer di informare i lavoratori e i loro rappresentanti prima di utilizzare un sistema ad alto rischio sul posto di lavoro. In Italia, si aggiunge l’obbligo di comunicazione previsto dal D.lgs. 104/2022 (attuazione della direttiva UE 2019/1152) come modificato dal Decreto Trasparenza, che impone di informare il lavoratore sull’uso di sistemi decisionali o di monitoraggio automatizzati. Si parla di “articolo 1 bis” e la materia si sovrappone direttamente con gli obblighi AI Act: per la PMI significa una sola informativa ben scritta invece di due parziali. Per i dettagli pratici vedi i diritti di informazione dei dipendenti previsti dall’articolo 1 bis.

Quando il sistema ad alto rischio incide sulla selezione, valutazione, promozione o cessazione del rapporto, l’informativa va data prima dell’avvio e ogni volta che cambiano logiche, parametri o fornitore. Il mancato rispetto non produce solo una violazione dell’AI Act, ma anche la nullità del provvedimento lavoristico adottato sulla base del sistema, con esposizione a contenzioso individuale.

Riferimenti normativi essenziali

Il testo integrale del Regolamento è disponibile su EUR-Lex in italiano: Regolamento (UE) 2024/1689. Per linee guida, FAQ e documenti del Codice di condotta GPAI vale la pena seguire il portale ufficiale della Commissione europea sull’AI Act e AI Office.

La compliance non si conclude con un documento. Richiede una routine leggera e una persona responsabile. Se vuoi affrontare il percorso con un metodo strutturato, dalla scelta dei casi d’uso alla governance continua, il libro Intelligenza Artigianale ti guida con template, checklist e casi reali di PMI italiane. Il 2 agosto 2026 non è una deadline amministrativa: è la data in cui AgID e ACN potranno bussare alla porta e chiederti le prove.

Approfondisci questo tema

Questi topic hub collegano gli articoli più rilevanti sullo stesso argomento.

Topic hub

AI PMI

146 articoli collegati

Topic hub

AI Act

18 articoli collegati

Topic hub

Compliance

15 articoli collegati

Topic hub

Governance AI

15 articoli collegati

Approfondimenti

Continua da qui

Il libro

Se vuoi trasformare questi articoli in un percorso operativo, vai al libro.

Questa pagina resta un approfondimento singolo. Nell’ebook trovi il metodo completo (solo digitale).

Vai al libro