Tutti gli articoli
Compliance AI13 min di lettura

AI Act: cosa devono fare le PMI italiane entro il 2 agosto 2026

Guida operativa aggiornata al 1 aprile 2026: scadenze reali dell'AI Act, obblighi che impattano le PMI e checklist pratica per arrivare pronti senza bloccare innovazione e crescita.

DP
Dylan Patriarchi1 aprile 2026

Se stai guidando una PMI e usi AI in marketing, vendite, customer care, operation o HR, la domanda non è più se l'AI Act ti riguarda. La domanda è: quanto ti riguarda oggi, e cosa devi fare entro il 2 agosto 2026.

Aggiornamento importante: siamo al 1 aprile 2026. Quindi non siamo in fase "futura". Siamo già nel tratto operativo in cui alcune parti dell'AI Act sono in vigore e altre stanno entrando nella fase più concreta per le imprese.

In questa guida trovi solo ciò che serve davvero a un team manageriale: scadenze, priorità e piano pratico.

Nota: questo articolo è informativo e non costituisce consulenza legale.

Timeline reale AI Act (date da tenere in agenda)

Secondo la timeline ufficiale UE:

  • 1 agosto 2024: entrata in vigore del regolamento;
  • 2 febbraio 2025: applicazione del divieto su pratiche AI proibite + avvio obbligo di AI literacy (Art. 4);
  • 2 agosto 2025: inizio applicazione di alcuni obblighi su modelli GPAI e regole di governance/sanzioni;
  • 2 agosto 2026: avvio applicazione di una parte centrale degli obblighi, inclusi vari requisiti per sistemi ad alto rischio (con eccezioni progressive);
  • 2 agosto 2027: ulteriore step per specifiche categorie ad alto rischio.

Per una PMI italiana il punto critico, oggi, è prepararsi in modo serio al passaggio 2026.

Cosa impatta subito una PMI (anche se non sviluppa modelli)

Molte aziende pensano: "Noi non addestriamo modelli, quindi non siamo toccati". È una semplificazione rischiosa.

L'AI Act distingue ruoli diversi (provider, deployer, importatore, distributore). Una PMI che usa strumenti di terzi è spesso deployer: e avere quel ruolo comporta comunque responsabilità.

Tre aree impattano quasi tutte le PMI:

1. AI literacy interna

Dal 2 febbraio 2025 l'UE richiede che chi usa sistemi AI in contesti professionali abbia un livello adeguato di competenze.

Tradotto: non basta "un webinar una tantum". Serve un minimo di percorso strutturato per ruoli.

2. Uso conforme nei processi aziendali

Se usi AI per processi che possono incidere su persone, decisioni economiche o accesso a servizi, devi gestire meglio tracciabilità, supervisione umana e controllo output.

3. Due diligence sui fornitori

Non puoi più limitarti a "il vendor dice che è compliant". Devi documentare almeno:

  • cosa usi;
  • per quale finalità;
  • quali dati entrano;
  • chi approva decisioni sensibili;
  • quali controlli esistono.

Le pratiche proibite: cosa evitare senza ambiguità

Le linee guida UE sulle pratiche proibite chiariscono aree ad alto rischio etico/giuridico (manipolazione, sfruttamento vulnerabilità, social scoring, certi usi biometrici, ecc.).

Per una PMI tipica, il rischio più comune non è "costruire un sistema proibito" volontariamente. È usare in modo superficiale strumenti che, combinati male, producono effetti problematici.

Esempi concreti da evitare:

  • automazioni persuasive aggressive verso categorie vulnerabili;
  • classificazioni automatiche di persone senza adeguata governance;
  • decisioni ad alto impatto prese senza supervisione umana reale.

Cosa cambia il 2 agosto 2026 per chi vuole scalare AI

Il 2 agosto 2026 non è una data simbolica. È il momento in cui molte aziende scopriranno se hanno costruito fondamenta solide o solo prototipi veloci.

Le PMI che hanno impostato governance minima entro Q2-Q3 2026 potranno scalare più serenamente. Le altre rischiano di rallentare su tre fronti:

  • blocco decisionale interno (legal vs business vs operation);
  • ritardi commerciali su clienti enterprise che chiedono evidenze di conformità;
  • aumento costo di controllo ex-post.

Checklist pratica per CEO e responsabili operations

Ecco una checklist pensata per team piccoli e medi.

Blocco A - Inventario AI (entro 2 settimane)

  • elenco strumenti AI in uso (anche "shadow AI");
  • mappa processi coinvolti;
  • classificazione per criticità (bassa/media/alta);
  • owner interno per ogni caso d'uso.

Blocco B - Regole minime di utilizzo (entro 3-4 settimane)

  • policy dati in input (cosa si può/non si può caricare);
  • policy output (cosa richiede review umana);
  • policy accessi e ruoli;
  • logging minimo delle decisioni rilevanti.

Blocco C - Competenze (entro 6 settimane)

  • percorso AI literacy per ruoli operativi;
  • percorso dedicato a manager che prendono decisioni su AI;
  • linee guida anti-allucinazioni e verifica fonti.

Blocco D - Vendor governance (entro 8 settimane)

  • raccolta documentazione compliance dai fornitori;
  • verifica contratti su uso dati e responsabilità;
  • checklist di sicurezza e auditabilità;
  • piano fallback in caso di disservizio o cambio policy vendor.

Blocco E - Controllo continuo (entro 90 giorni)

  • review mensile rischi/incidenti AI;
  • aggiornamento policy;
  • controllo KPI di qualità e impatto business.

Come non trasformare la compliance in burocrazia sterile

Il rischio opposto all'improvvisazione è l'iper-burocrazia.

Per evitare entrambi gli estremi:

  1. parti dai processi critici, non da tutto il perimetro;
  2. documenta in modo snello, con template unici;
  3. collega governance a KPI, non a checklist fini a sé stesse;
  4. aggiorna trimestralmente, non ogni giorno.

L'obiettivo non è compilare documenti: è continuare a innovare senza introdurre rischio ingestibile.

Casi tipici PMI: dove intervenire prima

Marketing e commerciale

  • contenuti AI generati senza policy brand/compliance;
  • scoring lead opaco;
  • automazioni di outreach poco controllate.

Intervento prioritario: regole output + supervisione su decisioni sensibili.

Customer care

  • risposte automatiche non allineate a policy interne;
  • escalation tardive su richieste critiche;
  • uso improprio di dati personali nei prompt.

Intervento prioritario: guardrail, livelli di escalation, redazione dati.

HR e recruiting

  • screening candidati non trasparente;
  • uso non strutturato di strumenti AI nella valutazione.

Intervento prioritario: procedure chiare + approvazione umana esplicita.

Finance e operation

  • automazioni documentali senza controlli di accuratezza;
  • approvazioni semi-automatiche poco tracciate.

Intervento prioritario: audit trail e doppio controllo su eccezioni.

Piano 30-60-90 giorni (versione esecutiva)

30 giorni

  • inventario AI completo;
  • policy minima dati/output;
  • owner per ogni use case;
  • quick training per ruoli chiave.

60 giorni

  • vendor review documentata;
  • introduzione logging e report incidenti;
  • setup controllo umano nei punti ad alto impatto.

90 giorni

  • governance stabile;
  • metriche qualità/rischio;
  • piano di scala su use case con rischio governato.

Conclusione

L'AI Act non deve essere letto come un freno. Per una PMI può diventare un vantaggio competitivo, se affrontato prima dei competitor:

  • migliori processi;
  • maggiore fiducia di clienti e partner;
  • meno rischio legale e reputazionale;
  • base più solida per scalare agenti e automazioni.

Se vuoi, possiamo aiutarti a fare una gap analysis rapida e trasformarla in roadmap operativa: scrivici qui.

Fonti ufficiali