AI Act per PMI: la guida che ti dice cosa fare (e cosa NON fare) entro il 2 agosto 2026
Se sei un imprenditore o una PMI italiana e usi ChatGPT, Copilot, Claude o qualsiasi strumento di AI nel lavoro, questa guida ti riguarda. Non è un articolo legale. È quello che avremmo voluto leggere per capire subito la situazione.
Manca poco più di un mese. E no, l'AI Act non riguarda solo Google e OpenAI.
Riguarda anche la tua azienda. Se usi ChatGPT per scrivere email, se hai un chatbot sul sito, se fai screening di CV con un tool AI, se usi Copilot in ufficio. Il Regolamento UE 2024/1689 — AI Act — si applica a tutte le imprese che operano sul mercato europeo, indipendentemente dalla dimensione.
Dal 2 agosto 2026 scatta il regime sanzionatorio. Le multe possono arrivare fino a 35 milioni di euro o al 7% del fatturato globale annuo. Per una PMI da 5 milioni di fatturato, parliamo di 350.000 euro. Se ti sembra irreale, chiedi a chi ha già preso multe dal Garante Privacy per il GDPR.
La buona notizia: la conformità per una PMI media si fa in 6-8 settimane e costa meno di una multa. La cattiva notizia: molte aziende non hanno ancora iniziato.
Se non hai tempo di leggere tutto, parti dalla sezione "Cosa NON fare".
Ti evita gli errori più comuni che stanno già facendo altre PMI.
Self-assessment: in 2 minuti capisci la tua situazione
Rispondi a queste 5 domande. Alla fine hai un quadro chiaro di dove sei e cosa ti serve.
1. La tua azienda usa strumenti di AI? (ChatGPT, Copilot, Claude, Gemini, Midjourney, chatbot, automazioni, ecc.)
2. Usi AI per HR? (screening CV, valutazione performance, promozioni)
3. Hai un chatbot o assistente AI sul sito o sui canali clienti?
4. Hai formato il personale sull'uso dell'AI?
5. Hai una policy aziendale per l'uso dell'AI?
Il risultato più probabile per una PMI italiana: deployer a rischio limitato/basso con obblighi di trasparenza e AI literacy. Gestibile in poche settimane.
Cosa NON fare (errori che vediamo già in giro)
Questa sezione non la trovi da nessun'altra parte. Sono errori reali che stanno facendo altre PMI in questo momento. Ti evitiamo di perderci tempo e soldi.
Non comprare software "AI Act compliance" senza aver prima mappato i tuoi sistemi
Stanno spuntando decine di tool e piattaforme che promettono di renderti compliant in un click. Il 90% è fuffa. Prima di spendere un euro, devi sapere cosa usi in azienda. Un foglio Excel con l'elenco dei tool AI che usi vale più di qualsiasi abbonamento.
Non assumere uno studio legale per una PMI senza sistemi ad alto rischio
Se non fai HR scoring, credit scoring o biometria, non ti serve un parere legale da 10.000 euro. Ti serve qualcuno che ti aiuti a fare l'inventario e la policy interna. Poi, se serve, integri con un legale. Partire dal legale è come chiamare l'idraulico per cambiare una lampadina.
Non ignorare l'AI literacy pensando sia una formalità
L'articolo 4 è in vigore dal febbraio 2025. Se non hai formato il personale, sei già in violazione. Non serve un corso da 40 ore: bastano 2-3 ore di formazione documentata per tutti i dipendenti che usano tool AI. Un corso su Udemy o un workshop interno vanno benissimo. L'importante è che sia tracciabile (foglio firme, certificato, schermata).
Non copiare le policy di altri
La policy AI di una software house non va bene per un'impresa edile. Quella di uno studio commercialista non va bene per un'azienda manifatturiera. La compliance è cucita sul tuo contesto. Copiare policy altrui è il modo più veloce per beccarsi una sanzione quando arriva un controllo.
Non lasciare che ogni reparto usi AI per conto suo
La "Shadow AI" è il problema numero 1. Secondo gli studi COMPEL e PagerDuty del 2026, la maggior parte degli strumenti AI usati in azienda non sono dichiarati. Il marketing usa un tool, l'HR un altro, l'amministrazione un altro ancora. Senza una mappatura centralizzata, non puoi fare compliance. E se scoppia un problema, il responsabile sei tu.
I 6 passaggi per arrivare conformi al 2 agosto
Ecco la sequenza che funziona. Stimata in 6-8 settimane per una PMI 10-50 persone senza sistemi ad alto rischio. Con un dipendente dedicato part-time.
Mappa tutti i sistemi AI in azienda
Fai un inventario completo. ChatGPT Enterprise, Copilot, chatbot sul sito, tool di automazione, plugin AI nel CRM, sistemi di raccomandazione, analisi predittive, OCR intelligente, tool HR. Chiedi a ogni reparto cosa usa. Cerca abbonamenti e licenze. Trova la "Shadow AI". Un foglio di calcolo con nome tool, fornitore, reparto, finalità d'uso e dati trattati. Questo è il tuo punto di partenza.
Tempo stimato: 1 settimana
Classifica il rischio di ogni sistema
Usa l'Allegato III del Regolamento come riferimento. Per ogni tool decidi: rischio minimo (la maggior parte), rischio limitato (chatbot, contenuti AI-generated), alto rischio (HR, credito, biometria), vietato (pratiche art. 5). Documenta la classificazione con una riga di motivazione. Se hai dubbi su un caso, una consulenza di un'ora con un esperto (300-600 euro) ti toglie ogni dubbio.
Tempo stimato: 1 settimana
Forma il personale (AI literacy)
L'articolo 4 è già in vigore. Organizza una formazione di 2-3 ore per tutti i dipendenti che usano AI. Cosa deve coprire: come funziona l'AI generativa, limiti e rischi, dati che NON vanno inseriti (dati personali, informazioni riservate, segreti industriali), buone pratiche. Documenta tutto: chi ha partecipato, quando, contenuti. I corsi possono essere finanziati da fondi interprofessionali (FONDIMPRESA, FONDIR, ecc.). Su Udemy ci sono corsi validi a 20-30 euro a persona.
Tempo stimato: 2 settimane (organizzazione + erogazione)
Aggiungi trasparenza verso l'esterno (Art. 50)
Se hai un chatbot sul sito, dal 2 agosto 2026 deve dire chiaramente che è un'AI. Non "potrebbe essere", non "assistente virtuale": "Stai interagendo con un sistema di intelligenza artificiale". L'avviso deve comparire all'inizio della conversazione, non nel footer. Se pubblichi contenuti generati con AI (articoli, immagini, video), devono essere etichettati. Se usi AI per modificare foto o video (deepfake), devi dichiararlo. Questa è la scadenza più imminente e quella che colpisce più PMI.
Tempo stimato: 1 settimana
Scrivi una policy AI interna
Non un documento di 50 pagine. 2-3 pagine chiare che dicono: quali tool AI sono autorizzati, quali dati si possono inserire (e quali NO), chi è responsabile per ogni tool, come etichettare i contenuti AI-generated, procedura per richiedere un nuovo tool AI, regime sanzionatorio interno. Fai firmare la policy a tutti i dipendenti. Tienila aggiornata.
Tempo stimato: 1 settimana
Documenta e conserva tutto
La compliance è documentazione. Se arriva un controllo, devi mostrare: inventario dei sistemi AI, classificazione del rischio, formazione erogata (con firme), policy interna firmata, evidenze di trasparenza (screenshot del chatbot con avviso), log dei sistemi ad alto rischio (se applicabile). Crea una cartella "AI Act compliance" condivisa. Aggiornala ogni trimestre. Questo è il tuo scudo in caso di verifica.
Tempo stimato: 1 settimana + manutenzione trimestrale
Cosa cambia con i decreti attuativi italiani
Novità importante. Il 10 giugno 2026 il Consiglio dei Ministri ha approvato i decreti attuativi della Legge 132/2025. L'Italia è il primo Stato UE a dotarsi di un quadro normativo nazionale organico sull'AI. I decreti sono in esame preliminare (devono passare dalle Commissioni), ma l'architettura è chiara.
AgID e ACN sono le autorità di vigilanza
AgID è autorità di notifica. ACN è autorità di vigilanza del mercato e punto di contatto unico con l'UE. Banca d'Italia, CONSOB e IVASS vigilano sul settore finanziario.
Sanzioni proporzionate (con agevolazioni per PMI)
L'Italia ha esercitato la facoltà di introdurre massimali inferiori ai tetti europei per le PMI. Restano sanzioni significative, ma il principio è: paghi meno se collabori e sei in buona fede.
Nuovo reato penale: art. 437-bis del codice penale
Chi omette misure di sicurezza su sistemi AI ad alto rischio, causando pericolo per la vita o l'incolumità pubblica, commette reato. Riguarda principalmente chi opera in settori critici (infrastrutture, sanità, trasporti), non la PMI media.
Licenziamento basato solo su AI = nullo
Le decisioni che incidono sul rapporto di lavoro (licenziamenti, disciplinari) non possono essere basate esclusivamente su trattamento automatizzato. Deve sempre esserci una persona fisica con potere decisionale.
Formazione obbligatoria per professionisti
Avvocati, medici, ingegneri e professionisti regolamentati devono aggiornare la formazione sull'IA. Gli ordini professionali hanno 6 mesi per adeguare i regolamenti.
I decreti devono ancora passare al vaglio delle Commissioni parlamentari, della Conferenza delle Regioni e delle Authority. La versione definitiva potrebbe avere modifiche, ma la direzione è segnata. Chi inizia ora l'adeguamento sarà avvantaggiato.
Le domande che tutti si fanno (ma nessuno dice)
Le risposte sincere, senza giri di parole.
Ma noi usiamo solo ChatGPT, mica sviluppiamo AI. Siamo davvero coinvolti?+
Sì. Se usi ChatGPT, Copilot, Claude o qualsiasi tool AI per lavoro, sei un "deployer". L'AI Act distingue tra fornitori (chi sviluppa) e deployer (chi usa). I deployer hanno obblighi più leggeri, ma ci sono. Soprattutto AI literacy (art. 4) e trasparenza (art. 50).
Quanto costa davvero essere compliant?+
Per una PMI 10-50 dipendenti senza sistemi ad alto rischio: 5.000-15.000 euro una tantum (inventario + policy + formazione) più 2.000-5.000 euro/anno di manutenzione. Se hai sistemi ad alto rischio (HR, credito), il costo sale a 20.000-50.000 euro. Confrontalo con una multa da 350.000 euro. Il ROI della compliance è immediato.
Il Digital Omnibus ha rinviato tutto al 2027. Posso stare tranquillo?+
No. Il rinvio riguarda solo i sistemi ad alto rischio (Allegato III), spostati al 2 dicembre 2027. Ma gli obblighi di trasparenza (Art. 50) e l'AI literacy (Art. 4) NON sono stati rinviati. Il regime sanzionatorio completo scatta il 2 agosto 2026. Il watermarking dei contenuti è stato spostato al 2 dicembre 2026. In pratica: se hai un chatbot o generi contenuti con AI, la scadenza è sempre agosto 2026.
Il mio fornitore del tool AI è già compliant. Mi copre?+
Solo in parte. Il fornitore (OpenAI, Microsoft, Anthropic) ha i suoi obblighi come provider. Ma tu come deployer hai obblighi distinti: formazione del personale, uso conforme del tool, trasparenza verso i tuoi clienti, documentazione interna. La compliance non si delega. Un fornitore compliant ti aiuta, ma non ti sostituisce.
Se faccio tutto da solo, rischio sanzioni?+
Se fai le cose per bene (inventario, classificazione, formazione documentata, policy, trasparenza), sei a posto. Per una PMI senza sistemi ad alto rischio, il fai-da-te è perfettamente fattibile. Gli strumenti ci sono: AI Act Service Desk della Commissione Europea, guide ufficiali, template. Il consiglio è di farti seguire da un consulente almeno per la prima classificazione del rischio e per la policy. 2-3 ore di consulenza mirata ti evitano errori che poi paghi cari.
Cosa succede se non faccio niente?+
Dal 2 agosto 2026, se arriva un controllo dell'ACN (l'autorità di vigilanza italiana) e non hai nulla in ordine, le sanzioni partono. Per una PMI in buona fede, la prima sanzione sarà probabilmente una diffida con termine per adeguarsi. Ma se c'è danno a terzi o una violazione chiara (es. chatbot che si spaccia per umano), le multe arrivano subito. E c'è il danno reputazionale: le sanzioni sono pubbliche.
Dove trovo risorse ufficiali per partire?+
- • AI Act Service Desk — piattaforma ufficiale UE con FAQ, AI Act Explorer e guide per PMI
- • EU AI Act official page — testo del regolamento e aggiornamenti
- • AI Act Explorer — strumento interattivo per navigare il regolamento per articolo
- • Guide settoriali delle Camere di Commercio e dei Poli di Innovazione Digitale (EDIH)