Compliance AI Act

Sanzioni AI Act 2026: cosa rischiano le aziende

Articolo 99: fino €35M o 7% fatturato globale, il maggiore dei due.

L'articolo 99 del Regolamento UE 2024/1689 stabilisce sanzioni con tre fasce di gravità. Importi assoluti fino €35M o percentuali fino al 7% del fatturato annuo globale, applicate dal 2 agosto 2026. ACN è l'autorità competente in Italia.

Vedi guida AI Act

Le tre fasce

Articolo 99: le tre fasce sanzionatorie.

Fascia 1 — Pratiche vietate (art. 5)

Fino €35M o 7% del fatturato globale annuo, il maggiore dei due.

Si applica a chi commercializza o usa sistemi AI vietati: manipolazione subliminale, sfruttamento di vulnerabilità, social scoring di pubbliche autorità, biometria in luoghi pubblici per law enforcement (con eccezioni), categorizzazione biometrica per dati sensibili, predizione reato basata su profilazione, scraping non mirato per database biometrici.

Fascia 2 — Sistemi alto rischio + GPAI (art. 6, 50)

Fino €15M o 3% del fatturato globale annuo, il maggiore dei due.

Si applica a violazioni sui sistemi alto rischio (allegato III: HR, credit, education, biometria, infrastrutture critiche) e GPAI con rischio sistemico. Include: mancanza di sistema di gestione qualità, mancanza di documentazione tecnica, sorveglianza umana inadeguata, mancanza di trasparenza output (art. 50).

Fascia 3 — Informazioni inesatte alle autorità

Fino €7,5M o 1% del fatturato globale annuo, il maggiore dei due.

Si applica a chi fornisce informazioni inesatte, incomplete o fuorvianti ad autorità competenti (ACN in Italia). Include rifiuto a collaborare in caso di audit, mancata risposta a richieste di documentazione, ostacolo all'attività ispettiva.

Calibrazione

Come ACN calibra la sanzione.

ACN non applica meccanicamente il massimo edittale. Calibra la sanzione in base a 7 fattori previsti dall'articolo 99(7):

Natura, gravità e durata della violazione
Sanzioni precedenti della stessa azienda
Dimensione e fatturato dell'azienda
Vantaggio finanziario ottenuto dalla violazione
Livello di collaborazione con l'autorità
Misure adottate per mitigare il danno
Buona fede dimostrata con evidenze documentali (fascicolo formativo art. 4, policy interna, audit trail)

Il modo concreto per ridurre l'esposizione: fascicolo formativo articolo 4 in regola, audit AI documentato, policy aziendale scritta. Buona fede dimostrabile riduce sanzioni del 50-80% rispetto al massimo edittale.

Casi reali

Primi casi pubblici e benchmark.

Al maggio 2026 non sono ancora pubblicati casi sanzionatori specifici dall'ACN sotto AI Act articolo 99 (gli articoli alto rischio sono in vigore solo dal 2 agosto 2026). Il benchmark più rilevante per stimare l'approccio italiano resta il regime GDPR del Garante Privacy: dal 2018 il Garante ha pubblicato 350+ provvedimenti sanzionatori, con sanzioni medie €25.000-200.000 per PMI e fino a €30M per grandi gruppi (caso TIM Mobile 2024).

A livello UE, il primo caso pubblico atteso 2027 sarà probabilmente legato a violazione articolo 5 (sistemi vietati) — già il Garante italiano ha bloccato temporaneamente ChatGPT nel marzo 2023, dimostrando attivismo regolatorio. Per il regime AI Act le aziende italiane dovrebbero aspettarsi un'ACN proattiva e attenta, simile al Garante Privacy.

FAQ Sanzioni AI Act

Le domande più frequenti.

Quando entrano in vigore le sanzioni?

Articolo 99 dell'AI Act è in vigore dal 2 agosto 2026. Le sanzioni si applicano a violazioni commesse da quella data in poi. Per violazioni anteriori si applica il regime sanzionatorio precedente (GDPR, normative settoriali). ACN è l'autorità di vigilanza in Italia.

Una PMI 50 dipendenti può ricevere sanzioni da €35M?

Tecnicamente sì. L'AI Act non distingue per dimensione aziendale: la sanzione è il maggiore tra l'importo fisso e la percentuale del fatturato globale. Per una PMI 50 dipendenti con €5M fatturato, il 7% è €350K — comunque significativo. La sanzione si calibra in base alla gravità della violazione, all'effettiva intenzionalità, alla collaborazione del soggetto.

L'articolo 4 (formazione AI) ha sanzione diretta?

No, articolo 4 non prevede sanzione pecuniaria diretta. Ma la mancata alfabetizzazione del personale è considerata aggravante in caso di altre violazioni AI Act, GDPR (fino €20M art. 83), o AI Act art. 99. È anche motivo di esclusione da gare enterprise che richiedono evidence di AI governance.

Posso negoziare sanzioni con ACN?

ACN ha potere di calibrazione della sanzione in funzione di: gravità della violazione, durata, livello di collaborazione, evidenze di good faith (fascicolo formativo presente, policy aziendale, intervento tempestivo post-rilevazione). Una azienda che dimostra buona fede tipicamente vede sanzioni del 10-30% rispetto al massimo possibile. Una azienda non collaborativa rischia il massimo edittale.

Sono pubblicate liste di aziende sanzionate?

Sì. ACN pubblica decisioni sanzionatorie sul proprio sito istituzionale (pattern simile al Garante Privacy per GDPR). Per il 2026 si attendono i primi casi pubblici tra Q4 2026 e Q1 2027, dato che gli articoli ad alto rischio sono in vigore solo dal 2 agosto 2026. Il danno reputazionale del listing pubblico è spesso peggiore della sanzione monetaria stessa.

Iniziamo da una conversazione di un'ora.

Una call di un'ora per capire le priorità della vostra azienda, valutare il livello di maturità AI e definire l'eventuale percorso. Costo: €240, compensato in caso di accettazione del preventivo successivo.

info@prompti.it

Tutte le call si svolgono in videoconferenza, in italiano, inglese o spagnolo.