Intelligenza Artigianale

Dal blog

AI Act scadenze 2026 PMI: calendario completo e azioni

AI Act scadenze 2026 PMI: calendario completo, date articolo 113, obblighi al 2 agosto 2026 e checklist operativa per arrivare pronti in regola.

di Roberto Buonanno
pubblicato il 10 aprile 2026 aggiornato il 14 aprile 2026 10 min lettura
AI Act scadenze 2026 PMI: calendario completo e azioni — illustrazione editoriale

Le AI Act scadenze 2026 PMI ruotano attorno a una data sola: 2 agosto 2026. Da quel giorno l’articolo 113 del Regolamento UE 2024/1689 rende pienamente applicabili gli obblighi per i sistemi ad alto rischio, la trasparenza e la governance documentale. Le autorità italiane AgID e ACN potranno avviare ispezioni e sanzionare le PMI non conformi.

Se gestisci una piccola o media impresa e hai rimandato la questione, restano meno di quattro mesi per mettere in ordine registro strumenti, formazione, policy e owner dei casi d’uso. In questa guida trovi il calendario completo con le date precise, gli articoli del Regolamento coinvolti e le azioni concrete da chiudere entro ogni scadenza.

Per il quadro degli adempimenti generali leggi prima la guida sugli obblighi AI Act per le PMI; per capire cosa resta fuori, consulta le esenzioni PMI dell’AI Act.

Timeline completa dell’AI Act: articolo 113 alla mano

L’AI Act non scatta in un giorno solo. L’articolo 113 del Regolamento UE 2024/1689 scaglia l’applicazione su tre anni, con cinque date chiave. Secondo la Commissione UE, il 2 agosto 2026 è il punto di piena applicabilità per la maggior parte delle disposizioni.

Tabella calendario AI Act per le PMI

DataArticoli Reg. 2024/1689Chi è coinvoltoAzione PMI
1 ago 2024Art. 113 (entrata in vigore)TuttiMonitoraggio normativo attivo
2 feb 2025Art. 5 (divieti), Art. 4 (AI literacy)Qualsiasi PMI che usa AIStop pratiche vietate, formazione documentata
2 ago 2025Art. 51-56 (GPAI), Art. 70 (autorità)Provider GPAI, tutte le PMI deployerNomina referente, verifica fornitori GPAI
10 ott 2025Legge 132/2025 (Italia)PMI italianeRecepire AgID e ACN come autorità nazionali
2 ago 2026Art. 6, 16-27, 43, 49, 50, 99PMI con sistemi alto rischio o trasparenzaConformità, registro UE, documentazione tecnica
2 ago 2027Art. 111 (sistemi legacy)Sistemi alto rischio pre-agosto 2024Conformità sistemi già in uso

Il cuore della compliance PMI è concentrato sulla riga del 2 agosto 2026. È da quel giorno che un ispettore può chiederti registro, formazione, owner e documentazione tecnica.

2 febbraio 2025: divieti e AI literacy, già in vigore

Questa data è alle spalle ma resta la più sottovalutata. L’articolo 5 del Regolamento vieta le pratiche AI a rischio inaccettabile: scoring sociale, manipolazione comportamentale, categorizzazione biometrica per dedurre opinioni politiche o orientamento sessuale, riconoscimento facciale in tempo reale in spazi pubblici (salvo eccezioni di law enforcement).

L’articolo 4 impone invece l’AI literacy a chiunque operi con sistemi AI in nome dell’azienda: dipendenti, collaboratori, fornitori che usano strumenti per conto tuo. Non è un suggerimento, è un obbligo già attivo. Se una PMI non ha documentato la formazione del personale che usa ChatGPT, Copilot o Gemini, è già in violazione da oltre un anno.

La prova richiesta non è un diploma, ma una traccia: data della sessione, nome dei partecipanti, argomenti coperti, durata. Basta un foglio firmato e archiviato.

2 agosto 2025: GPAI e autorità nazionali

Dal 2 agosto 2025 sono scattati gli obblighi sui modelli di AI a scopo generale (GPAI) previsti dagli articoli 51-56: trasparenza sui dati di addestramento, rispetto del diritto d’autore, documentazione tecnica per provider come OpenAI, Anthropic, Google, Mistral. Per i modelli a rischio sistemico (oltre 10^25 FLOP di potenza di calcolo) scattano obblighi aggiuntivi di valutazione, mitigazione e reporting degli incidenti.

Per una PMI deployer l’obbligo è indiretto ma reale: devi verificare che il fornitore del modello che stai usando sia conforme. Nei contratti con vendor AI controlla clausole su DPA, localizzazione dati, trasparenza sui dataset e logging. Dalla stessa data sono operative le autorità nazionali: in Italia la Legge 132/2025 (entrata in vigore il 10 ottobre 2025) ha designato AgID come autorità di notifica e ACN come autorità di vigilanza del mercato.

2 agosto 2026: obblighi sistemi alto rischio e HR

Questa è la data che cambia tutto. Articoli centrali: 6 (classificazione alto rischio), 16-27 (obblighi provider), 26 (obblighi deployer), 43 (valutazione di conformità), 49 (registrazione nel database UE), 50 (trasparenza per rischio limitato), 99 (sanzioni).

Se la tua PMI usa software che l’Allegato III classifica come alto rischio, da agosto 2026 devi poter dimostrare conformità. I casi più comuni nelle PMI:

  • Software HR con screening automatico dei CV o valutazione del personale
  • Sistemi di credit scoring e valutazione affidabilità clienti B2B
  • Sistemi biometrici per il controllo accessi aziendali
  • Tool di determinazione prezzi assicurativi vita o salute
  • AI per gestione infrastrutture critiche (energia, acqua, trasporti)

Obblighi deployer (il caso tipico PMI)

La maggior parte delle PMI non sviluppa sistemi alto rischio, li usa come deployer (articolo 26). Gli obblighi sono:

  1. Usare il sistema secondo le istruzioni d’uso del provider
  2. Garantire supervisione umana con personale formato (articolo 26 comma 2)
  3. Monitorare il funzionamento e segnalare incidenti gravi (articolo 73)
  4. Conservare i log per almeno 6 mesi
  5. Informare lavoratori e rappresentanze sindacali prima dell’uso su luogo di lavoro
  6. Svolgere valutazione d’impatto sui diritti fondamentali (FRIA, articolo 27) per deployer pubblici o servizi essenziali

Obblighi trasparenza per rischio limitato

L’articolo 50 impone trasparenza sui sistemi a rischio limitato, pienamente applicabile dal 2 agosto 2026:

  • Chi interagisce con un chatbot deve sapere che sta parlando con una AI
  • I contenuti generati da AI devono essere marcati in formato leggibile da macchina
  • I deepfake devono essere dichiarati come contenuto artificiale
  • I testi pubblicati per informare il pubblico su questioni di interesse generale vanno etichettati

Per una PMI con chatbot sul sito o newsletter generate con AI, tradotto: una dicitura chiara e una policy sul watermarking. Per dimensionare il rischio vai alla classificazione del rischio AI Act per PMI.

Cosa fare entro il 2 agosto 2026: checklist operativa

Questa checklist copre gli obblighi minimi per una PMI deployer. Ogni riga è un deliverable documentabile.

  • Registro strumenti AI in uso (nome, versione, owner, dati trattati, livello di rischio)
  • Classificazione del rischio per ciascun sistema (inaccettabile / alto / limitato / minimo)
  • Formazione AI literacy svolta, firmata e archiviata per tutto il personale coinvolto
  • Policy AI aziendale scritta, approvata e distribuita
  • Owner operativo assegnato per ogni caso d’uso (persona, non team)
  • Procedura di supervisione umana sugli output a impatto esterno
  • Informativa su chatbot e contenuti generati implementata
  • Log dei sistemi alto rischio archiviati per almeno 6 mesi
  • Contratti con vendor AI aggiornati con clausole di conformità
  • Procedura di segnalazione incidenti gravi pronta
  • Verbale di informazione a lavoratori o RSU per sistemi usati sul posto di lavoro
  • Simulazione di richiesta ispettiva svolta internamente

Esempio concreto: una PMI metalmeccanica da 35 dipendenti in provincia di Brescia usa un software HR con filtro automatico dei CV (alto rischio) e ChatGPT Enterprise per documenti commerciali (rischio minimo). Entro il 2 agosto deve chiedere al vendor HR la documentazione di conformità art. 16-27, registrare il sistema nel database UE art. 49, formare la responsabile del personale sugli obblighi di supervisione art. 26 e informare il rappresentante sindacale.

Secondo caso: una PMI di servizi professionali da 12 persone a Torino usa solo chatbot sul sito e copywriting AI (rischio limitato). Qui la compliance si risolve in due mosse: dicitura “assistente virtuale basato su AI” nel widget del sito e disclaimer “contenuto generato con AI” nei post del blog, più formazione di 3 ore per il team e policy di una pagina.

2 agosto 2027: sistemi legacy e manutenzione continua

L’articolo 111 concede un anno in più ai sistemi ad alto rischio già immessi sul mercato o messi in servizio prima del 2 agosto 2026: la conformità è dovuta entro il 2 agosto 2027. Attenzione: basta un aggiornamento sostanziale del sistema per perdere il regime transitorio.

Oltre la scadenza, l’AI Act richiede manutenzione costante: aggiornamento del registro a ogni nuovo tool, revisione trimestrale della policy, audit mensile degli output dei sistemi critici, monitoraggio delle linee guida che AgID e ACN pubblicheranno nel secondo semestre 2026.

Sandbox regolatorie e agevolazioni per le PMI

L’articolo 57 obbliga ogni Stato membro a istituire almeno una sandbox regolatoria AI entro il 2 agosto 2026. Le sandbox sono spazi controllati dove le PMI possono testare sistemi AI innovativi sotto la supervisione dell’autorità, senza rischiare sanzioni durante la fase di sperimentazione. Il considerando 143 del Regolamento precisa che l’accesso deve essere gratuito per le PMI e le startup.

In Italia la sandbox sarà gestita da AgID in coordinamento con ACN. Le misure di supporto per le PMI comprendono anche:

  • Procedure di valutazione di conformità semplificate (considerando 146)
  • Sconti proporzionali al fatturato sulle tariffe delle valutazioni
  • Applicazione del principio di proporzionalità sulle sanzioni: la PMI paga sempre l’importo più basso tra cifra fissa e percentuale sul fatturato

Per il dettaglio delle sanzioni vai alla guida sulle sanzioni AI Act e costi della non conformità.

Domande frequenti

Qual è la scadenza chiave dell’AI Act per le PMI nel 2026?

La data centrale è il 2 agosto 2026. Da quel giorno l’articolo 113 rende pienamente applicabili gli obblighi per i sistemi ad alto rischio (articoli 6, 16-27), la trasparenza sul rischio limitato (art. 50), la valutazione di conformità (art. 43) e la registrazione nel database UE (art. 49). AgID e ACN possono avviare ispezioni e applicare le sanzioni dell’articolo 99.

La mia PMI usa solo ChatGPT, devo fare qualcosa entro agosto 2026?

Sì. Anche con solo ChatGPT o Copilot devi avere un registro dello strumento, una policy scritta, la formazione AI literacy documentata (obbligo già in vigore dal 2 febbraio 2025 per art. 4), un owner del caso d’uso e l’informativa agli utenti finali se l’output viene pubblicato. Sono adempimenti leggeri ma obbligatori.

Cosa succede se al 2 agosto 2026 non sono in regola?

Scattano i poteri sanzionatori. L’articolo 99 prevede fino a 35 milioni di euro o il 7% del fatturato globale per i divieti, fino a 15 milioni o 3% per gli obblighi sui sistemi alto rischio, fino a 7,5 milioni o 1% per informazioni false. Per le PMI vale il principio di proporzionalità: si applica sempre l’importo più basso tra cifra fissa e percentuale.

I sistemi AI che uso da anni devono adeguarsi subito?

Dipende. I sistemi alto rischio già in servizio prima del 2 agosto 2026 hanno tempo fino al 2 agosto 2027 per conformarsi (articolo 111). Ma se modifichi sostanzialmente il sistema dopo agosto 2026, esci dal regime transitorio e devi adeguarti immediatamente.

Come accedo alla sandbox regolatoria italiana?

La sandbox nazionale sarà operativa entro il 2 agosto 2026, gestita da AgID secondo l’articolo 57. L’accesso per le PMI e le startup deve essere gratuito. Le modalità di candidatura saranno pubblicate sul sito istituzionale AgID nel corso del 2026: conviene monitorare direttamente le comunicazioni dell’Agenzia per l’Italia Digitale.

Devo registrare i sistemi in un database UE?

Solo se sei provider o deployer di sistemi alto rischio elencati nell’Allegato III. L’articolo 49 impone la registrazione nel database UE gestito dalla Commissione prima di immettere sul mercato o mettere in servizio il sistema. I deployer pubblici e alcuni deployer privati (servizi essenziali) devono anch’essi registrarsi.

Da dove partire se sei in ritardo

Quattro mesi bastano se ti concentri sulle cose che contano. La sequenza pratica è: mappa gli strumenti in uso (inclusa la shadow AI), classifica ogni sistema, forma il personale, scrivi una policy di una pagina, assegna owner, prepara la documentazione dei sistemi alto rischio. Il resto arriva dopo.

Il libro Intelligenza Artigianale guida le PMI italiane in questo percorso con template operativi pronti e checklist mese per mese. Il 2 agosto 2026 non è la fine del lavoro: è il momento in cui la tua azienda diventa verificabile. Arrivarci con i documenti in ordine vale molto più di qualunque corsa dell’ultimo minuto.

Fonti normative ufficiali:

Approfondisci questo tema

Questi topic hub collegano gli articoli più rilevanti sullo stesso argomento.

Topic hub

AI PMI

146 articoli collegati

Topic hub

AI Act

18 articoli collegati

Topic hub

Governance AI

15 articoli collegati

Approfondimenti

Continua da qui

Il libro

Se vuoi trasformare questi articoli in un percorso operativo, vai al libro.

Questa pagina resta un approfondimento singolo. Nell’ebook trovi il metodo completo (solo digitale).

Vai al libro