AI Generale
AI Act PMI Italia 2026: cosa fare entro agosto
Roadmap operativa PMI italiane: cosa serve entro 3 agosto 2026 per essere AI Act compliant. Articolo 4 in vigore, prossime scadenze, sanzioni.
Le PMI italiane che usano sistemi di intelligenza artificiale nei propri workflow operativi hanno tre mesi e mezzo per allinearsi alle nuove obbligazioni dell’AI Act che entrano in vigore il 3 agosto 2026. La data segna l’attivazione del regime sanzionatorio per fornitori e deployer di modelli GPAI (General Purpose AI) e l’estensione completa delle obbligazioni di trasparenza. Concretamente, una PMI italiana 30-200 dipendenti che ha integrato ChatGPT Enterprise, Microsoft Copilot 365 o Claude Team nei flussi documentali è già deployer di sistema AI e già soggetta a obblighi precisi. Qui mappiamo cosa fare, in che ordine, con quali tempi.
Stato dell’arte: cosa è già in vigore
L’AI Act è entrato in vigore il 2 agosto 2024 con applicazione scaglionata. Tre obbligazioni sono già operative al 2026:
Dal 2 febbraio 2025 — Articolo 4 (AI Literacy). Fornitori e deployer di sistemi AI devono assicurare un livello sufficiente di alfabetizzazione AI nel personale che interagisce con questi sistemi. Non è una raccomandazione: è un obbligo positivo che richiede formazione documentata. Approfondimento Articolo 4.
Dal 2 febbraio 2025 — Articolo 5 (Pratiche vietate). Otto categorie di sistemi AI sono completamente vietate sul territorio UE: manipolazione subliminale, sfruttamento di vulnerabilità, social scoring, riconoscimento emotivo sul lavoro, e altri. Le sanzioni per violazioni Articolo 5 arrivano fino a €35 milioni o 7% del fatturato mondiale.
Dal 2 agosto 2025 — Obbligazioni GPAI. Fornitori di modelli General Purpose AI (foundation models come GPT-5, Claude Sonnet 4.6, Gemini 2.5, Llama 4) hanno obbligazioni di trasparenza, documentazione, copyright, valutazione del rischio sistemico. Tocca i provider, ma indirettamente i deployer che li integrano.
Timeline 2024-2027
| Data | Obbligazione | Chi è coinvolto |
|---|---|---|
| 2 agosto 2024 | Entrata in vigore generale | Tutti |
| 2 febbraio 2025 | Articolo 4 (AI Literacy) + Articolo 5 (pratiche vietate) | Tutti |
| 2 agosto 2025 | Obbligazioni GPAI + Autorità di vigilanza | Fornitori GPAI + Stati Membri |
| 2 agosto 2026 | Sistemi ad alto rischio (Allegato III) + Governance | Fornitori e deployer high-risk |
| 2 agosto 2027 | Sistemi ad alto rischio inclusi in legislazione settoriale | Provider settoriali |
Per le PMI italiane non-high-risk, la scadenza critica del 2026 è l’attivazione completa del regime sanzionatorio Articolo 99 e l’obbligo di mantenere documentazione completa per tutti i sistemi AI già in produzione.
Cosa significa “deployer” per una PMI italiana
L’AI Act distingue due ruoli principali. Il fornitore sviluppa o immette sul mercato un sistema AI (OpenAI, Anthropic, Microsoft per i loro modelli). Il deployer usa un sistema AI fornito da terzi nell’ambito di un’attività professionale.
Una PMI italiana che integra ChatGPT, Claude, Gemini, o Copilot nei propri workflow è deployer. Lo è anche se “usa solo l’abbonamento Team”: l’AI Act non distingue tra integrazione API e uso applicativo per gli obblighi del deployer.
Gli obblighi specifici del deployer (non-high-risk) sono concentrati su:
- Articolo 4: formazione AI documentata del personale
- Articolo 50 (trasparenza): se interagite con utenti finali via AI, devono saperlo (chatbot AI sul sito = obbligo di disclosure)
- Articolo 50 (deepfake): contenuti AI-generated devono essere etichettati come tali
Per deployer di sistemi ad alto rischio (Allegato III: HR per screening CV, scoring credito, valutazione assicurativa, accesso istruzione, biometria) gli obblighi sono molto più estesi: registro, valutazione impatto, monitoraggio post-deployment, supervisione umana qualificata.
Roadmap operativa 6 mesi
La roadmap che applichiamo con i nostri clienti PMI italiane si struttura in 5 fasi.
Mese 1 — Discovery. Mappatura sistemi AI in uso (esplicito + shadow IT). Tipicamente una PMI 50-150 dipendenti scopre 3-8 sistemi AI in uso quando inizia il discovery: ChatGPT Enterprise, Copilot 365, Notion AI, abbonamenti Claude individuali, plugin AI di tool SaaS terze parti, sistemi RAG custom su CRM. Il discovery richiede 2-3 settimane di interviste e audit IT.
Mese 2 — Classification. Per ogni sistema mappato, classificazione del rischio AI Act: vietato (Articolo 5), high-risk (Allegato III), trasparenza (Articolo 50), nessun obbligo specifico. Output: matrice rischio sistema × obbligo applicabile.
Mese 3 — Gap analysis. Per ogni sistema con obblighi applicabili, mappatura cosa è già in essere vs cosa manca. Output: piano di remediation prioritizzato con scadenze e responsabili.
Mese 4 — Remediation. Implementazione delle azioni di gap closing. Tipicamente: definizione policy interna, registro AI aziendale, materiale formativo, processo di onboarding nuovi sistemi AI, contratti con fornitori aggiornati con clausole AI Act.
Mese 5 — Training. Erogazione della formazione AI Act al personale (4-8 ore base, più approfondimenti per ruoli critici). Documentazione partecipanti e contenuti. Test finale per verificare apprendimento.
Mese 6 — Audit interno. Verifica che ogni sistema mappato sia documentato, ogni obbligo coperto, ogni dipendente formato. Output: report di compliance che diventa base per qualsiasi ispezione futura ACN.
Articolo 4: formazione personale come obbligo
L’Articolo 4 è l’obbligazione più sottovalutata dalle PMI italiane. La formula è sintetica: “fornitori e deployer adottano misure per garantire, nella misura del possibile, un livello sufficiente di alfabetizzazione in materia di IA del loro personale”. Sintetica non significa vaga.
Operativamente, “alfabetizzazione sufficiente” richiede:
- Identificazione del personale che interagisce con sistemi AI
- Definizione del livello minimo di competenze per ruolo
- Erogazione di formazione mirata
- Documentazione della formazione (chi, quando, contenuti, output di apprendimento)
- Aggiornamento periodico
Per le PMI italiane, la nostra raccomandazione operativa: percorso 5 mezze giornate (20 ore complessive) con test iniziale e finale, rilascio di European Digital Credential con sigillo eIDAS a chi supera il test. Il nostro servizio dedicato è formazione AI Act per aziende.
Matrice sanzionatoria Articolo 99
L’Articolo 99 dell’AI Act struttura le sanzioni in tre fasce.
| Violazione | Sanzione massima |
|---|---|
| Articolo 5 (pratiche vietate) | €35M o 7% fatturato mondiale (quello maggiore) |
| Articolo 6 (sistemi ad alto rischio) | €15M o 3% fatturato mondiale |
| Altri articoli (incluso Articolo 50 trasparenza) | €7.5M o 1% fatturato mondiale |
| Informazioni false alle autorità | €7.5M o 1% fatturato mondiale |
Per le PMI, l’Articolo 99 prevede che le sanzioni siano “proporzionate” tenendo conto di “interessi delle PMI e startup”. Significa che difficilmente una PMI italiana subirà il massimo edittale, ma le sanzioni potenziali rimangono significative. Una PMI con €5M di fatturato che viola l’Articolo 5 può ricevere fino a €350K di multa (7% del fatturato), che è cifra esistenziale per molte realtà.
Dettaglio completo della matrice sanzioni AI Act.
Ruolo ACN come autorità di vigilanza
In Italia, l’Agenzia per la Cybersicurezza Nazionale (ACN) è designata come autorità di vigilanza per molteplici aspetti dell’AI Act, in particolare per i sistemi ad alto rischio in settori connessi con la sicurezza nazionale e per gli aspetti cybersecurity dei sistemi AI.
L’ACN ha pubblicato linee guida operative per i deployer dal Q3 2025 e sta consolidando il proprio framework di vigilanza nel 2026. È prevedibile che le prime ispezioni significative su deployer PMI partano dal Q4 2026, principalmente su settori sensibili (HR tech, fintech, healthtech).
AESIA equivalente italiano: cenni
A livello UE, l’AI Office presso la Commissione Europea è l’autorità che coordina l’applicazione delle norme su modelli GPAI. A livello italiano, il dibattito su un equivalente nazionale dedicato AI (sul modello dell’AESIA spagnola) è in corso ma non finalizzato al 2026. Per le PMI italiane il riferimento operativo resta ACN + Garante Privacy per le intersezioni con GDPR.
L’associazione professionale di riferimento per la professionalizzazione dei profili AI in Italia è AIPIA — associazione italiana professionisti IA, che rilascia credenziali europee EDC con sigillo eIDAS per i professionisti che superano percorsi formativi qualificati. È un riferimento istituzionale a cui guardare per chi vuole investire sul professionalismo interno dei propri team AI.
Cosa cambia per i fornitori di software italiani
Una specifica importante per chiarezza: la maggior parte delle PMI italiane sono deployer di sistemi AI di terzi, non fornitori. Ma c’è una nicchia di PMI italiane che sviluppa SaaS con componenti AI integrati. Queste hanno obblighi aggiuntivi.
Se la PMI sviluppa software che include funzioni AI rivolte a clienti (chatbot, assistant, sistemi di scoring, recommender), assume il ruolo di fornitore dell’output AI verso i propri clienti. Gli obblighi aggiuntivi:
- Articolo 13 (trasparenza verso deployer): la documentazione tecnica del sistema AI integrato deve essere trasferita ai deployer che lo usano
- Articolo 16-27 (obblighi del fornitore): include sistema di gestione qualità, valutazione conformità, dichiarazione di conformità UE, marcatura CE per sistemi high-risk
- Articolo 50 (etichettatura): contenuti generati dal sistema devono essere etichettati come AI-generated
Per le PMI italiane software che integrano LLM di terzi (OpenAI, Anthropic) nei propri prodotti, la classificazione non è “fornitore di sistema AI” tout court, ma il regime applicabile dipende dalla natura specifica dell’integrazione. Audit specializzato consigliato per chiarire la posizione.
Documenti aziendali minimi richiesti
Per dimostrare compliance AI Act in caso di ispezione, l’azienda deve poter produrre un fascicolo minimo documentale. Il contenuto consigliato:
Policy interna AI (2-5 pagine):
- Sistemi AI autorizzati per uso aziendale (white-list)
- Cosa NON inserire nei prompt (dati personali, segreti aziendali, proprietà intellettuale di terzi)
- Procedura di onboarding per nuovi sistemi AI
- Responsabili interni e referenti
- Frequenza refresh formativo
Registro AI aziendale (foglio tabellare):
- Elenco sistemi AI in uso
- Owner aziendale per ogni sistema
- Finalità d’uso
- Data di onboarding
- Calendar refresh formativo
- Eventuali deployment in produzione (per fornitori)
Evidenze formazione personale:
- Materiale didattico
- Elenco partecipanti per sessione
- Esiti test apprendimento
- Eventuali credenziali rilasciate (es. European Digital Credential)
Contratti aggiornati con fornitori AI:
- DPA (Data Processing Agreement) firmati
- Verifica clausole su Data Residency, retention, sub-processor
Contratti aggiornati con clienti:
- Clausole di disclosure uso AI nel servizio
- Etichettatura output AI-generated
Questo fascicolo, costruito una volta, si mantiene con effort 15-30 ore/anno per refresh. È l’investimento documentale più efficiente per minimizzare esposizione sanzionatoria.
Errori frequenti delle PMI italiane
Vediamo ricorrere cinque errori operativi nei nostri audit su PMI italiane.
Errore 1 — “Noi non usiamo AI”. L’errore più comune. La PMI dichiara di non usare AI, l’audit di traffico rivela 5-15 sistemi AI in uso (ChatGPT Enterprise, Copilot 365, plugin AI di tool SaaS, abbonamenti individuali del personale). Il discovery iniziale è sempre il primo step utile.
Errore 2 — “Basta una mail al personale”. Comunicare via email “da oggi rispettiamo AI Act” non integra l’obbligo Articolo 4. Serve formazione strutturata documentata, materiale didattico, evidenze di partecipazione, test finale.
Errore 3 — “Aspettiamo che sia chiaro”. La normativa è già chiara su Articolo 4 (in vigore dal 2/2/2025), Articolo 5 (in vigore dal 2/2/2025), Articolo 50 (parzialmente in vigore). Aspettare ulteriori chiarimenti significa accumulare debito di compliance.
Errore 4 — “Solo IT se ne deve occupare”. AI Act compliance non è progetto IT. Coinvolge HR (formazione personale), Legal (contratti), Operations (procedure), Marketing (etichettatura contenuti). Project structure cross-functional obbligatoria.
Errore 5 — “Lo facciamo l’anno prossimo”. Le aziende che rimandano accumulano shadow IT, complicano l’audit successivo, espongono maggiormente la propria posizione sanzionatoria. La nostra raccomandazione: avviare almeno la discovery entro Q3 2026.
Domande frequenti
La mia PMI usa ChatGPT in modo informale: sono deployer? Sì, anche l’uso informale di sistemi AI da parte del personale per attività professionali aziendali configura la PMI come deployer. La normativa non distingue tra uso “ufficiale” e “shadow IT”: se i vostri dipendenti usano ChatGPT per lavoro, l’azienda è deployer e ha gli obblighi conseguenti. La risposta operativa non è vietare, ma strutturare: definire policy, formare il personale, documentare.
Non ho budget per consulenza esterna: cosa posso fare in autonomia? La discovery iniziale e il gap analysis di base sono fattibili in autonomia con buona disciplina. Suggeriamo: download del testo del Regolamento UE 2024/1689 da EUR-Lex, lettura focus su Articolo 4 + Articolo 5 + Articolo 50, mappatura interna sistemi AI in uso, draft di policy interna minima (1-2 pagine), erogazione formazione interna 4 ore al personale interessato. La nostra checklist gratuita è il punto di partenza più rapido.
ChatGPT integrato in workflow vale come “sistema AI” ai sensi della normativa? Sì. La definizione di sistema AI all’Articolo 3 dell’AI Act è ampia e copre esplicitamente i modelli generativi come ChatGPT, Claude, Gemini. L’uso di questi sistemi in ambito professionale configura il vostro perimetro come deployer indipendentemente dal canale di accesso (interfaccia web, API, integrazione in app aziendale).
Devo tenere un registro AI obbligatorio? Il registro AI in senso tecnico (Articolo 12 dell’AI Act) è obbligatorio per sistemi ad alto rischio. Per sistemi non-high-risk il registro non è obbligo formale ma è raccomandazione operativa fortissima per dimostrare compliance Articolo 4 (formazione AI sul “personale che interagisce con sistemi AI” presuppone sapere quali sistemi AI sono in uso). La nostra raccomandazione: registro AI semplice tabellare con elenco sistemi, owner aziendale, finalità d’uso, data di onboarding, rinnovo formazione personale associato.
Il personale ha bisogno di una certificazione specifica? La normativa non richiede una certificazione specifica, richiede “livello sufficiente di alfabetizzazione”. Tuttavia, in caso di ispezione, una certificazione riconosciuta è la prova documentale più forte. La European Digital Credential (EDC) con sigillo eIDAS rilasciata al termine di percorsi formativi qualificati è oggi lo standard più solido a livello UE. Le aziende che hanno formato il personale con percorsi che rilasciano EDC sono protette in modo molto più robusto rispetto a chi ha solo “letto qualche slide”.
Quale è il primo step operativo da fare adesso? La sequenza che consigliamo a chi parte da zero: (1) inventory sistemi AI in uso in azienda, (2) lettura focus Articolo 4 + Articolo 5 + Articolo 50, (3) definizione policy interna minima con elenco sistemi autorizzati e regole d’uso, (4) erogazione formazione AI Act al personale entro Q3 2026, (5) avvio audit interno completo entro fine 2026. Una prima consulenza di un’ora aiuta a tarare la priorità in base al vostro contesto specifico.
E i sistemi ad alto rischio? Come capisco se ne ho? I sistemi ad alto rischio sono elencati all’Allegato III del Regolamento. Le categorie più rilevanti per PMI italiane: HR (screening CV, valutazione performance), scoring credito, valutazione idoneità assicurativa, accesso a servizi essenziali, biometria. Se la vostra azienda usa AI in uno di questi ambiti, il regime applicabile è molto più stringente: serve audit specializzato. Il nostro servizio audit AI Act parte tipicamente da €3.500 per PMI con 1-3 sistemi high-risk in scope.