Le sanzioni AI Act previste dall’articolo 99 del Regolamento (UE) 2024/1689 arrivano fino a 35 milioni di euro o al 7% del fatturato mondiale annuo per le pratiche vietate, 15 milioni o 3% per le violazioni degli obblighi operativi, 7,5 milioni o 1% per informazioni false alle autorita. Per le PMI si applica sempre l’importo piu basso tra cifra fissa e percentuale, come prevede il comma 6 dello stesso articolo.
Se la tua PMI usa ChatGPT, Copilot, Gemini o qualsiasi altro sistema di intelligenza artificiale, queste sanzioni ti riguardano davvero. I divieti sulle pratiche vietate sono gia operativi dal 2 febbraio 2025, e dal 2 agosto 2026 scatta la piena operativita delle autorita nazionali di vigilanza. Per il quadro completo dei doveri parti dalla guida agli obblighi AI Act per le PMI.
Fascia 1: 35 milioni di euro per le pratiche vietate
La fascia piu pesante colpisce l’uso di sistemi classificati a rischio inaccettabile ai sensi dell’articolo 5 del regolamento: manipolazione subliminale, sfruttamento di vulnerabilita, social scoring, categorizzazione biometrica su dati sensibili, scraping massivo di immagini facciali, riconoscimento biometrico in tempo reale in spazi pubblici fuori dalle eccezioni tassative.
Il massimale e fissato a 35 milioni di euro oppure al 7% del fatturato mondiale annuo, a seconda di quale importo sia superiore (articolo 99, paragrafo 3). Questi divieti sono gia in vigore dal 2 febbraio 2025: chi ha un sistema attivo in queste categorie e gia esposto. Se non sai se rientri, leggi prima la guida alla classificazione del rischio dell’AI Act per le PMI.
Fascia 2: 15 milioni per alto rischio, GPAI e trasparenza
Qui rientra la stragrande maggioranza degli obblighi concreti: sistemi ad alto rischio, modelli per finalita generali (GPAI), trasparenza verso gli utenti, AI literacy, governance documentale. Sono anche le violazioni tipiche che una PMI puo commettere senza accorgersene.
Le piu comuni:
- Mancata formazione del personale sull’uso dell’AI (articolo 4)
- Assenza del registro strumenti AI e della documentazione tecnica
- Mancata trasparenza (non informare gli utenti che stanno interagendo con un’AI)
- Uso di sistemi ad alto rischio senza valutazione di conformita
- Assenza di supervisione umana documentata
- Mancata notifica di incidenti gravi alle autorita
Il massimale e di 15 milioni di euro o il 3% del fatturato mondiale annuo (articolo 99, paragrafo 4).
Fascia 3: 7,5 milioni per informazioni false o fuorvianti
Fornire informazioni non corrette, incomplete o fuorvianti alle autorita di vigilanza o agli organismi notificati durante ispezioni e procedure di conformita genera una sanzione autonoma: fino a 7,5 milioni di euro o l’1% del fatturato mondiale annuo (articolo 99, paragrafo 5).
E la fascia piu insidiosa. Se dichiari di aver formato il personale ma non puoi dimostrarlo, o affermi di avere un registro che non esiste, rischi una sanzione aggiuntiva per la falsa dichiarazione, che si somma a quella della violazione sottostante. Meglio presentare un percorso incompleto ma reale.
Tabella riassuntiva: violazione, fascia, importo, articolo
| Violazione | Fascia | Importo massimo | Riferimento |
|---|---|---|---|
| Pratiche vietate (manipolazione, social scoring, biometria proibita) | 1 | 35 mln EUR o 7% fatturato | Art. 5 e art. 99 par. 3 |
| Obblighi alto rischio, GPAI, trasparenza, AI literacy | 2 | 15 mln EUR o 3% fatturato | Artt. 16-27, 50 e art. 99 par. 4 |
| Informazioni false, incomplete o fuorvianti alle autorita | 3 | 7,5 mln EUR o 1% fatturato | Art. 99 par. 5 |
| Violazioni commesse da PMI e startup | 1-3 | Sempre l’importo minore tra fissa e % | Art. 99 par. 6 |
Articolo 99 comma 6: la proporzionalita esplicita per le PMI
Leggere “35 milioni di euro” puo sembrare surreale per una PMI da 2 milioni di fatturato. Il legislatore europeo lo sa: il comma 6 dell’articolo 99 stabilisce che per le piccole e medie imprese e le startup si applica sempre l’importo piu basso tra la cifra fissa e la percentuale del fatturato. E il contrario del criterio applicato alle grandi imprese, per le quali vale l’importo maggiore.
In pratica, la sanzione di una PMI e quasi sempre calcolata come percentuale sul fatturato, mai come importo fisso. Il comma aggiunge anche un criterio di sostenibilita economica: le autorita devono tenere conto della dimensione e degli interessi delle PMI nel determinare l’ammontare concreto.
Esempi applicati al fatturato annuo:
| Fatturato annuo | Fascia 1 (7%) | Fascia 2 (3%) | Fascia 3 (1%) |
|---|---|---|---|
| 500.000 EUR | 35.000 EUR | 15.000 EUR | 5.000 EUR |
| 1 milione | 70.000 EUR | 30.000 EUR | 10.000 EUR |
| 2 milioni | 140.000 EUR | 60.000 EUR | 20.000 EUR |
| 5 milioni | 350.000 EUR | 150.000 EUR | 50.000 EUR |
| 10 milioni | 700.000 EUR | 300.000 EUR | 100.000 EUR |
Una PMI metalmeccanica da 4 milioni di fatturato che usa un software HR con screening automatico dei CV senza valutazione di conformita rischia una sanzione calcolata sul 3%: circa 120.000 euro. Non 15 milioni, ma una cifra che puo bloccare un’annualita intera di investimenti.
I criteri che le autorita usano per graduare la sanzione
L’articolo 99 non lascia discrezionalita cieca. Le autorita di vigilanza devono considerare fattori espliciti per stabilire l’importo concreto:
- Natura, gravita e durata della violazione: una violazione prolungata pesa piu di un episodio isolato
- Dolo o colpa: sapere di non essere in regola e non agire e un’aggravante diretta
- Azioni correttive gia adottate: anche un adeguamento parziale documentato riduce l’importo
- Grado di cooperazione con le autorita durante le ispezioni
- Violazioni precedenti della stessa impresa
- Dimensione, quota di mercato e sostenibilita economica (comma 6)
- Danno effettivo subito da clienti o terzi a causa dell’output AI
La buona fede documentabile conta. Una PMI che ha iniziato un percorso di adeguamento si trova in una posizione molto diversa da una che non ha fatto nulla.
Sanzioni in Italia: cosa aggiunge la Legge 132/2025
La Legge 132/2025, in vigore dal 10 ottobre 2025, rende l’Italia il primo Stato membro UE ad adottare una legge organica di attuazione dell’AI Act. Il testo recepisce integralmente il regime sanzionatorio europeo e designa due autorita nazionali:
- AgID (Agenzia per l’Italia Digitale): procedure di notifica, accreditamento e valutazione degli organismi di conformita, sandbox normative per le PMI.
- ACN (Agenzia per la Cybersicurezza Nazionale): vigilanza, ispezioni, applicazione delle sanzioni amministrative.
La Legge 132/2025 aggiunge anche un nuovo articolo 612-quater al Codice Penale, che punisce con la reclusione da 1 a 5 anni la diffusione non consensuale di contenuti audio e video alterati con AI in modo idoneo a trarre in inganno sull’autenticita. Per le PMI che producono contenuti marketing con AI, il rischio penale e un capitolo nuovo. Per l’impatto complessivo della norma leggi l’articolo dedicato a cosa cambia con la Legge 132/2025 per le PMI.
Chi vigila in Italia e come si svolgono i controlli
ACN e l’autorita che materialmente emette le sanzioni. Dal 2 agosto 2026, data di piena applicazione dell’AI Act, potra avviare ispezioni, richiedere documentazione, contestare violazioni. AgID gestisce invece la parte propositiva: sandbox, notifiche, valutazioni di conformita. Entrambe sono operative, ma la fase sanzionatoria vera partira con le prime ispezioni mirate.
Il messaggio per una PMI e semplice: non serve aspettare la prima ispezione per mettersi in regola, serve arrivarci preparati. E serve conoscere le esenzioni AI Act per le PMI, perche molte attivita che sembrano soggette a obblighi pesanti in realta non lo sono.
Casi reali: come una violazione si trasforma in sanzione
Non esistono ancora sanzioni AI Act inflitte dalle autorita nazionali, ma i casi-tipo emersi nei primi sei mesi del 2026 aiutano a capire il meccanismo.
Caso A, PMI e-commerce da 3,2 milioni di fatturato: chatbot di customer service basato su LLM che non segnala all’utente di essere un’AI. Violazione dell’articolo 50 (obblighi di trasparenza), fascia 2. Massimale teorico: 96.000 euro. Con adeguamento in corso e cooperazione documentata, l’importo concreto sarebbe sensibilmente piu basso.
Caso B, studio di architettura da 18 dipendenti, 2,1 milioni: uso di uno strumento GPAI su cui non e stata fatta formazione al team, senza policy interna, senza registro. Contestazione combinata: mancanza di AI literacy (articolo 4) e di documentazione. Fascia 2, massimale teorico 63.000 euro.
In entrambi i casi, l’elemento decisivo sarebbe la capacita di mostrare un percorso di adeguamento in atto, anche parziale. Per costruirlo bastano strumenti leggeri come un registro strumenti AI e una policy AI di una pagina.
Il costo reale della non conformita va oltre la multa
La sanzione amministrativa e solo una voce. Per una PMI, la non conformita all’AI Act attiva una catena di costi spesso piu pesante:
- Responsabilita civile: se un output AI non controllato causa un danno a un cliente o a un terzo, la mancanza di governance documentata rende molto piu difficile difendersi in giudizio.
- GDPR sovrapposto: l’AI Act non sostituisce il GDPR, si aggiunge. Le sanzioni GDPR arrivano a 20 milioni o al 4% del fatturato. Una PMI che usa shadow AI rischia su entrambi i fronti contemporaneamente.
- Perdita di contratti B2B: i questionari di qualificazione fornitori stanno iniziando a includere domande sulla governance AI. Senza policy e registro, ti escludi da solo dalle gare.
- Danno reputazionale: un incidente AI pubblico (email errata a un cliente importante, dati sensibili in un modello esterno, output discriminatorio) puo danneggiare una PMI in modo sproporzionato rispetto alla dimensione dell’errore.
Checklist prevenzione sanzioni in cinque azioni
Per coprire la grande maggioranza del rischio sanzionatorio servono cinque mosse, tutte sostenibili con risorse interne:
- Inventario strumenti AI in un foglio condiviso: strumento, caso d’uso, owner, dati trattati, livello di review. Include anche gli strumenti adottati spontaneamente dai dipendenti.
- Formazione AI literacy documentata per tutto il personale che usa strumenti AI. Minimo due-quattro ore, con registro firmato di data, partecipanti, contenuti.
- Policy AI aziendale di una pagina che definisce strumenti approvati, dati vietati, obblighi di review, responsabilita degli owner.
- Classificazione del rischio degli strumenti in uso secondo i quattro livelli dell’AI Act. Particolare attenzione a HR, credit scoring, sicurezza sul lavoro.
- Owner per ogni caso d’uso e audit mensile: dieci output recenti per caso d’uso, errori ricorrenti, prompt in uso, azioni correttive. Il metodo di governance operativa e descritto nella guida alla governance AI con regole minime.
Stiamo parlando di poche giornate di lavoro complessive, senza consulenti esterni, senza software dedicati. Confrontalo con il costo minimo di una sanzione della fascia 3 (l’1% del fatturato) o con il costo di un data breach legato alla shadow AI: la sproporzione e enorme.
Domande frequenti sulle sanzioni AI Act
Le sanzioni AI Act si applicano gia oggi alle PMI italiane?
I divieti dell’articolo 5 (pratiche vietate) e l’obbligo di AI literacy dell’articolo 4 sono applicabili dal 2 febbraio 2025. Le sanzioni corrispondenti possono essere contestate da quella data. La piena operativita delle autorita nazionali e degli obblighi sui sistemi ad alto rischio e fissata al 2 agosto 2026. Per le PMI italiane, il rischio di una sanzione sulla fascia 1 e gia attivo oggi.
Una PMI con 1 milione di fatturato paga davvero 35 milioni?
No. L’articolo 99 comma 6 stabilisce che per le PMI e le startup si applica sempre l’importo piu basso tra la cifra fissa e la percentuale del fatturato. Su un milione di fatturato, la sanzione massima della fascia 1 sarebbe 70.000 euro (7%), non 35 milioni. Il meccanismo di proporzionalita e esplicito nel regolamento.
Chi emette materialmente le sanzioni AI Act in Italia?
In base alla Legge 132/2025, la vigilanza e affidata ad ACN (Agenzia per la Cybersicurezza Nazionale), che conduce ispezioni ed emette le sanzioni amministrative. AgID si occupa di notifiche, accreditamento e sandbox normative. Le due autorita saranno pienamente operative dal 2 agosto 2026.
Quanto conta aver iniziato un percorso di adeguamento anche parziale?
Molto. L’articolo 99 elenca tra i criteri di graduazione le azioni correttive adottate, il grado di cooperazione e le violazioni precedenti. Una PMI con registro, policy e formazione documentata, anche se incompleti, parte da una posizione sanzionatoria molto migliore rispetto a una che non ha prodotto nulla. La buona fede pero deve essere dimostrabile con documenti datati.
La shadow AI aggrava il rischio sanzionatorio?
Si, in modo significativo. L’uso non governato di strumenti AI da parte dei dipendenti espone l’azienda su piu fronti contemporaneamente: violazione dell’articolo 4 sull’AI literacy, violazione degli obblighi di trasparenza, potenziale violazione GDPR se vengono trattati dati personali. Un inventario iniziale degli strumenti in uso, anche fatto in mezza giornata, e la singola azione che riduce di piu il rischio.
Esistono gia sanzioni AI Act inflitte a PMI italiane?
Alla data di aprile 2026 non risultano provvedimenti sanzionatori definitivi di ACN verso PMI italiane. La fase di enforcement inizia formalmente con la piena applicazione del regolamento il 2 agosto 2026. Questo non significa zero rischio: i divieti dell’articolo 5 e l’AI literacy dell’articolo 4 sono contestabili fin da subito.
Il primo passo concreto
Se non hai ancora fatto nulla, il primo passo non e leggere l’intero regolamento. E aprire un foglio condiviso e scrivere la lista degli strumenti AI usati in azienda, compresi quelli che “usa solo Mario per le email”. Questo trasforma la shadow AI in un inventario governabile ed e il fondamento su cui costruire policy, formazione, owner, audit.
Se vuoi un metodo strutturato con template e checklist pronte, il libro Intelligenza Artigianale guida il percorso dall’inventario alla governance operativa. La scadenza del 2 agosto 2026 e vicina, le sanzioni sono reali, i controlli stanno per partire: l’unico errore davvero costoso e non iniziare.
Fonti ufficiali consultate: il testo integrale dell’articolo 99 e disponibile su EUR-Lex - Regolamento (UE) 2024/1689 e sulla pagina dedicata del AI Act Service Desk della Commissione Europea.
