Tutti gli articoli
Guida8 min di lettura

AI Act 2026: cosa cambia davvero per le PMI italiane

L'AI Act europeo è pienamente operativo. Ecco cosa scatta il 2 agosto 2026 e cosa invece è stato rinviato al 2027-2028 dal Digital Omnibus.

L'impatto dell'AI Act sulle PMI italiane dipende da una distinzione semplice: la quasi totalità delle piccole e medie imprese usa strumenti AI di terzi, non li sviluppa. Questo le posiziona come "deployer" — un ruolo con obblighi reali ma gestibili, molto diversi da quelli di chi costruisce sistemi AI da zero.

La data concreta da segnare in agenda è il 2 agosto 2026: da quel giorno entrano in vigore gli obblighi di trasparenza dell'Articolo 50, che riguardano chiunque usi un chatbot rivolto ai clienti o pubblichi contenuti generati dall'AI. Gli obblighi più pesanti per i sistemi ad alto rischio — selezione del personale, scoring creditizio, accesso a servizi essenziali — sono stati rinviati al 2027-2028 dal Digital Omnibus, approvato dal Consiglio UE il 29 giugno 2026.


Il regolamento AI europeo in dieci righe: l'essenziale per un imprenditore

Il regolamento UE 2024/1689, noto come AI Act, è entrato in vigore il 1° agosto 2024. Non è un atto una tantum: prevede un'applicazione progressiva per fasce di rischio, con scadenze scaglionate fino al 2028.

Il regolamento stabilisce chi è responsabile di cosa in base al ruolo nella catena:

  • Provider: chi sviluppa e commercializza il sistema AI (OpenAI, Microsoft, Google e così via)
  • Deployer: chi usa un sistema AI in un processo aziendale (la maggior parte delle PMI)
  • Importatori e distributori: chi porta in Europa sistemi sviluppati fuori UE

Per una PMI italiana che usa ChatGPT per il marketing, Copilot per i report interni e un chatbot per l'assistenza clienti, il ruolo è quasi sempre quello di deployer. E il deployer ha obblighi precisi, ma diversi e meno onerosi rispetto al provider.


Le categorie di rischio: cosa ti riguarda davvero

L'AI Act suddivide ogni sistema AI in quattro categorie. La categoria determina gli obblighi.

CategoriaEsempi concretiCosa succede
Rischio inaccettabileManipolazione comportamentale inconscia, social scoring generalizzato, biometria real-time in spazi pubbliciVietati dal 2 febbraio 2025. Nessuna deroga.
Alto rischioAI nella selezione del personale, nel credito, nella sicurezza di infrastrutture, nell'istruzione, nell'accesso a servizi pubbliciObblighi stringenti — rinviati al 2027-2028
Rischio limitatoChatbot rivolti agli utenti, contenuti generati dall'AI, immagini sinteticheObblighi di trasparenza — dal 2 agosto 2026
Rischio minimoFiltro spam, autocomplete, raccomandazioni playlist, traduzione automaticaNessun obbligo specifico

La terza riga è quella che riguarda la maggior parte delle PMI oggi. Se hai un chatbot sul sito o usi AI per produrre testi e immagini da pubblicare, gli obblighi di trasparenza dell'Articolo 50 entrano in gioco il 2 agosto 2026.


Cosa scatta il 2 agosto 2026: l'Articolo 50 spiegato senza linguaggio normativo

L'Articolo 50 dell'AI Act introduce tre obblighi di trasparenza. Ecco cosa significano nella pratica.

Il chatbot deve dichiararsi. Se hai un assistente AI sul sito o sull'app — anche acquistato da un fornitore — deve informare l'utente che sta interagendo con un sistema AI. "Chatta con noi" non è sufficiente. La comunicazione deve essere esplicita, anche se concisa: basta un messaggio visibile nell'interfaccia.

I contenuti sintetici vanno marcati. Testi, immagini, audio e video generati o modificati in modo rilevante dall'AI devono essere identificabili come tali. La marcatura può avvenire con metadati leggibili da macchina (watermarking digitale) oppure con un'indicazione visibile per l'utente finale. Il 10 giugno 2026 la Commissione europea ha pubblicato la versione definitiva del Codice di buone pratiche sulla trasparenza AI: chi lo adotta segue un percorso già riconosciuto dalle autorità; chi non lo adotta deve costruire un approccio alternativo e documentarne l'equivalenza.

I deepfake su temi di interesse pubblico devono essere etichettati. Contenuti che ritraggono persone reali in contesti falsi — audio, video, immagini — su temi di interesse pubblico devono essere chiaramente identificati come artificiali. Per la maggior parte delle PMI è un obbligo perlopiù teorico, ma vale la pena conoscerlo.


Il Digital Omnibus: cosa è stato rinviato e perché cambia i piani

Il pacchetto Digital Omnibus ha riposizionato le scadenze per i sistemi classificati ad alto rischio. Il Parlamento europeo lo ha approvato il 16 giugno 2026, il Consiglio UE ha dato il via libera definitivo il 29 giugno. Il testo è atteso in Gazzetta Ufficiale UE prima del 2 agosto 2026.

Tipo di sistemaScadenza precedenteNuova scadenza
Sistemi ad alto rischio — Allegato III (autonomi)2 agosto 20262 dicembre 2027
Sistemi ad alto rischio — Allegato I (integrati in prodotti regolamentati)2 agosto 20262 agosto 2028
Obblighi di trasparenza — Articolo 502 agosto 20262 agosto 2026 (invariati)

Cosa ricade nell'Allegato III? I sistemi AI usati in: selezione e gestione del personale, valutazione del merito creditizio, accesso a servizi pubblici essenziali, processi educativi e formativi, sicurezza di infrastrutture critiche, biometria remota, amministrazione della giustizia, processi democratici (elezioni, voto, campagne politiche).

Il rinvio al 2027 dà respiro, ma non è un'amnistia. Chi ha in programma di introdurre AI nel ciclo di selezione del personale — anche solo per ordinare automaticamente i CV — ha 17 mesi per strutturare la documentazione e la supervisione umana richieste. Partire adesso è più efficiente che aspettare l'estate del 2027.


Cosa deve fare concretamente un deployer entro agosto 2026

Queste sono le azioni concrete per una PMI che usa AI di terzi — ordinate per urgenza reale, non per lunghezza.

Prima del 2 agosto 2026:

  • Verifica se hai un chatbot rivolto ai clienti: deve dichiarare di essere un sistema AI.
  • Controlla se pubblichi contenuti generati dall'AI (testi, immagini, video): devono essere marcati come tali.
  • Aggiorna l'informativa privacy per includere l'uso di AI nel trattamento dei dati.
  • Redigi una policy interna sull'uso degli strumenti AI — anche un documento snello di due pagine è sufficiente per iniziare.

Entro il 2027, se usi AI in processi ad alto rischio:

  • Mappa i sistemi AI attivi e classifica il livello di rischio per ogni processo.
  • Predisponi la supervisione umana documentata per le decisioni critiche.
  • Conserva i log di utilizzo dei sistemi ad alto rischio per almeno sei mesi.
  • Verifica che i fornitori dei tuoi strumenti AI abbiano aggiornato la propria documentazione di conformità.

Un esempio concreto: un'azienda retail con 45 dipendenti

Un'impresa che vende abbigliamento sia in negozio sia online ha introdotto nell'ultimo anno tre strumenti AI: un chatbot per l'assistenza clienti, un sistema di raccomandazione prodotti basato sullo storico acquisti, e un tool per generare le descrizioni prodotto e i testi del blog.

Classificazione di rischio:

  • Chatbot assistenza clienti → rischio limitato
  • Raccomandazione prodotti → rischio minimo
  • Generazione testi marketing → rischio limitato

Cosa deve fare entro il 2 agosto 2026:

  1. Aggiungere nell'interfaccia del chatbot un messaggio visibile che indica che l'utente sta interagendo con un sistema AI.
  2. Inserire una marcatura nei testi del blog generati dall'AI — anche solo "contenuto generato con AI" in fondo all'articolo, o nei metadati della pagina.
  3. Aggiornare la privacy policy con un paragrafo che descrive l'uso di AI nella comunicazione con i clienti.

Stima realistica del lavoro: due o tre giornate operative totali, senza bisogno di consulenza legale specializzata. Se l'azienda dovesse decidere di usare l'AI anche per lo screening dei candidati durante le prossime assunzioni, quel processo diventerebbe alto rischio e richiederebbe una governance più strutturata — ma in questo scenario non è ancora rilevante.


Le semplificazioni per le PMI: cosa ha cambiato il Digital Omnibus

Il Digital Omnibus ha ampliato la platea delle aziende che beneficiano delle semplificazioni. La soglia originale copriva le PMI tradizionali (fino a 250 dipendenti). Con le modifiche approvate, le semplificazioni si estendono alle imprese fino a 500 dipendenti.

Le agevolazioni concrete:

  • Documentazione tecnica semplificata per i sistemi ad alto rischio sviluppati internamente
  • Accesso prioritario ai regulatory sandbox — ambienti di test controllati in cui si possono sperimentare sistemi AI con supervisione delle autorità, senza il rischio di sanzioni immediate (gli Stati membri devono istituirli entro agosto 2027)
  • Per le microimprese (meno di 10 dipendenti, fatturato sotto 2 milioni di euro): gli obblighi organizzativi si assolvono in forma ulteriormente semplificata, seguendo le linee guida della Commissione

Se stai pianificando un progetto AI più strutturato — un agente che gestisce processi HR, accede ai dati di dipendenti o clienti, oppure supporta decisioni di credito interno — è utile capire preventivamente la classificazione del rischio prima di svilupparlo. Un audit AI a 90 giorni include la mappatura dei sistemi attuali, la classificazione del rischio per ogni processo e un piano di conformità proporzionato alla dimensione dell'azienda.


Sanzioni: l'ordine di grandezza reale per una PMI

Le sanzioni dell'AI Act sono proporzionate alla violazione e al fatturato:

ViolazioneSanzione massima
Uso di sistemi vietati (rischio inaccettabile)35 milioni € o 7% del fatturato globale
Non conformità obblighi alto rischio15 milioni € o 3% del fatturato globale
Violazione obblighi di trasparenza7,5 milioni € o 1,5% del fatturato globale
Informazioni false alle autorità7,5 milioni € o 1,5% del fatturato globale

Per una PMI con 3 milioni di fatturato, la sanzione massima per un chatbot senza disclaimer è di 45.000 euro — teoricamente. L'enforcement iniziale è atteso soprattutto sui grandi provider, non sulle PMI che agiscono in buona fede. Ma questo non è una garanzia stabile: le autorità di vigilanza hanno poteri di ispezione, e la non conformità può diventare un problema nei rapporti con clienti enterprise che richiedono evidenze di compliance.

In Italia, l'autorità competente per l'enforcement sull'AI è l'AGID (Agenzia per l'Italia Digitale), con il supporto del Garante Privacy per i profili di trattamento dei dati personali.


FAQ

Cosa cambia per la mia PMI con l'AI Act dal 2 agosto 2026? Dal 2 agosto 2026 scattano gli obblighi di trasparenza dell'Articolo 50: se usi un chatbot rivolto ai clienti, deve dichiararsi come sistema AI; se pubblichi contenuti generati dall'AI, devono essere marcati. Gli obblighi più stringenti per i sistemi ad alto rischio (selezione personale, credito, sicurezza infrastrutture) sono stati rinviati al 2 dicembre 2027 grazie al Digital Omnibus approvato il 29 giugno 2026.

Usiamo ChatGPT internamente per scrivere email e report: dobbiamo fare qualcosa? Se i contenuti rimangono interni, o vengono riveduti e firmati da un essere umano prima di essere pubblicati all'esterno, l'obbligo di marcatura non scatta. Se pubblichi testi generati dall'AI rivolti a clienti o al pubblico generale senza revisione sostanziale, sì, devono essere marcati. Vale la pena aggiornare la policy interna per definire chiaramente questa distinzione.

Cosa sono i sistemi ad alto rischio dell'Allegato III? Sono sistemi AI usati in contesti specifici: selezione del personale e gestione dei lavoratori, concessione di credito, accesso a servizi pubblici essenziali, processi educativi e formativi, identificazione biometrica, sicurezza di infrastrutture critiche, amministrazione della giustizia. Se la tua PMI usa AI in uno di questi contesti, gli obblighi più stringenti scattano dal 2 dicembre 2027.

Ci sono vantaggi nell'essere in regola prima delle scadenze? Sì, due concreti. Il primo è commerciale: i clienti enterprise chiedono sempre più spesso evidenze di compliance AI nella due diligence dei fornitori. Il secondo è operativo: costruire la governance AI adesso è più efficiente di doverla ricostruire in fretta sotto pressione normativa nel 2027.

Come faccio a capire se i sistemi AI che uso sono ad alto rischio? La classificazione dipende dal contesto di utilizzo, non solo dallo strumento. Lo stesso modello LLM può essere rischio minimo per scrivere testi marketing e alto rischio se usato per filtrare automaticamente candidature di lavoro. La mappatura va fatta processo per processo, non strumento per strumento.