L'AI Act europeo è pienamente operativo. Ecco cosa scatta il 2 agosto 2026 e cosa invece è stato rinviato al 2027-2028 dal Digital Omnibus.
L'impatto dell'AI Act sulle PMI italiane dipende da una distinzione semplice: la quasi totalità delle piccole e medie imprese usa strumenti AI di terzi, non li sviluppa. Questo le posiziona come "deployer" — un ruolo con obblighi reali ma gestibili, molto diversi da quelli di chi costruisce sistemi AI da zero.
La data concreta da segnare in agenda è il 2 agosto 2026: da quel giorno entrano in vigore gli obblighi di trasparenza dell'Articolo 50, che riguardano chiunque usi un chatbot rivolto ai clienti o pubblichi contenuti generati dall'AI. Gli obblighi più pesanti per i sistemi ad alto rischio — selezione del personale, scoring creditizio, accesso a servizi essenziali — sono stati rinviati al 2027-2028 dal Digital Omnibus, approvato dal Consiglio UE il 29 giugno 2026.
Il regolamento UE 2024/1689, noto come AI Act, è entrato in vigore il 1° agosto 2024. Non è un atto una tantum: prevede un'applicazione progressiva per fasce di rischio, con scadenze scaglionate fino al 2028.
Il regolamento stabilisce chi è responsabile di cosa in base al ruolo nella catena:
Per una PMI italiana che usa ChatGPT per il marketing, Copilot per i report interni e un chatbot per l'assistenza clienti, il ruolo è quasi sempre quello di deployer. E il deployer ha obblighi precisi, ma diversi e meno onerosi rispetto al provider.
L'AI Act suddivide ogni sistema AI in quattro categorie. La categoria determina gli obblighi.
| Categoria | Esempi concreti | Cosa succede |
|---|---|---|
| Rischio inaccettabile | Manipolazione comportamentale inconscia, social scoring generalizzato, biometria real-time in spazi pubblici | Vietati dal 2 febbraio 2025. Nessuna deroga. |
| Alto rischio | AI nella selezione del personale, nel credito, nella sicurezza di infrastrutture, nell'istruzione, nell'accesso a servizi pubblici | Obblighi stringenti — rinviati al 2027-2028 |
| Rischio limitato | Chatbot rivolti agli utenti, contenuti generati dall'AI, immagini sintetiche | Obblighi di trasparenza — dal 2 agosto 2026 |
| Rischio minimo | Filtro spam, autocomplete, raccomandazioni playlist, traduzione automatica | Nessun obbligo specifico |
La terza riga è quella che riguarda la maggior parte delle PMI oggi. Se hai un chatbot sul sito o usi AI per produrre testi e immagini da pubblicare, gli obblighi di trasparenza dell'Articolo 50 entrano in gioco il 2 agosto 2026.
L'Articolo 50 dell'AI Act introduce tre obblighi di trasparenza. Ecco cosa significano nella pratica.
Il chatbot deve dichiararsi. Se hai un assistente AI sul sito o sull'app — anche acquistato da un fornitore — deve informare l'utente che sta interagendo con un sistema AI. "Chatta con noi" non è sufficiente. La comunicazione deve essere esplicita, anche se concisa: basta un messaggio visibile nell'interfaccia.
I contenuti sintetici vanno marcati. Testi, immagini, audio e video generati o modificati in modo rilevante dall'AI devono essere identificabili come tali. La marcatura può avvenire con metadati leggibili da macchina (watermarking digitale) oppure con un'indicazione visibile per l'utente finale. Il 10 giugno 2026 la Commissione europea ha pubblicato la versione definitiva del Codice di buone pratiche sulla trasparenza AI: chi lo adotta segue un percorso già riconosciuto dalle autorità; chi non lo adotta deve costruire un approccio alternativo e documentarne l'equivalenza.
I deepfake su temi di interesse pubblico devono essere etichettati. Contenuti che ritraggono persone reali in contesti falsi — audio, video, immagini — su temi di interesse pubblico devono essere chiaramente identificati come artificiali. Per la maggior parte delle PMI è un obbligo perlopiù teorico, ma vale la pena conoscerlo.
Il pacchetto Digital Omnibus ha riposizionato le scadenze per i sistemi classificati ad alto rischio. Il Parlamento europeo lo ha approvato il 16 giugno 2026, il Consiglio UE ha dato il via libera definitivo il 29 giugno. Il testo è atteso in Gazzetta Ufficiale UE prima del 2 agosto 2026.
| Tipo di sistema | Scadenza precedente | Nuova scadenza |
|---|---|---|
| Sistemi ad alto rischio — Allegato III (autonomi) | 2 agosto 2026 | 2 dicembre 2027 |
| Sistemi ad alto rischio — Allegato I (integrati in prodotti regolamentati) | 2 agosto 2026 | 2 agosto 2028 |
| Obblighi di trasparenza — Articolo 50 | 2 agosto 2026 | 2 agosto 2026 (invariati) |
Cosa ricade nell'Allegato III? I sistemi AI usati in: selezione e gestione del personale, valutazione del merito creditizio, accesso a servizi pubblici essenziali, processi educativi e formativi, sicurezza di infrastrutture critiche, biometria remota, amministrazione della giustizia, processi democratici (elezioni, voto, campagne politiche).
Il rinvio al 2027 dà respiro, ma non è un'amnistia. Chi ha in programma di introdurre AI nel ciclo di selezione del personale — anche solo per ordinare automaticamente i CV — ha 17 mesi per strutturare la documentazione e la supervisione umana richieste. Partire adesso è più efficiente che aspettare l'estate del 2027.
Queste sono le azioni concrete per una PMI che usa AI di terzi — ordinate per urgenza reale, non per lunghezza.
Prima del 2 agosto 2026:
Entro il 2027, se usi AI in processi ad alto rischio:
Un'impresa che vende abbigliamento sia in negozio sia online ha introdotto nell'ultimo anno tre strumenti AI: un chatbot per l'assistenza clienti, un sistema di raccomandazione prodotti basato sullo storico acquisti, e un tool per generare le descrizioni prodotto e i testi del blog.
Classificazione di rischio:
Cosa deve fare entro il 2 agosto 2026:
Stima realistica del lavoro: due o tre giornate operative totali, senza bisogno di consulenza legale specializzata. Se l'azienda dovesse decidere di usare l'AI anche per lo screening dei candidati durante le prossime assunzioni, quel processo diventerebbe alto rischio e richiederebbe una governance più strutturata — ma in questo scenario non è ancora rilevante.
Il Digital Omnibus ha ampliato la platea delle aziende che beneficiano delle semplificazioni. La soglia originale copriva le PMI tradizionali (fino a 250 dipendenti). Con le modifiche approvate, le semplificazioni si estendono alle imprese fino a 500 dipendenti.
Le agevolazioni concrete:
Se stai pianificando un progetto AI più strutturato — un agente che gestisce processi HR, accede ai dati di dipendenti o clienti, oppure supporta decisioni di credito interno — è utile capire preventivamente la classificazione del rischio prima di svilupparlo. Un audit AI a 90 giorni include la mappatura dei sistemi attuali, la classificazione del rischio per ogni processo e un piano di conformità proporzionato alla dimensione dell'azienda.
Le sanzioni dell'AI Act sono proporzionate alla violazione e al fatturato:
| Violazione | Sanzione massima |
|---|---|
| Uso di sistemi vietati (rischio inaccettabile) | 35 milioni € o 7% del fatturato globale |
| Non conformità obblighi alto rischio | 15 milioni € o 3% del fatturato globale |
| Violazione obblighi di trasparenza | 7,5 milioni € o 1,5% del fatturato globale |
| Informazioni false alle autorità | 7,5 milioni € o 1,5% del fatturato globale |
Per una PMI con 3 milioni di fatturato, la sanzione massima per un chatbot senza disclaimer è di 45.000 euro — teoricamente. L'enforcement iniziale è atteso soprattutto sui grandi provider, non sulle PMI che agiscono in buona fede. Ma questo non è una garanzia stabile: le autorità di vigilanza hanno poteri di ispezione, e la non conformità può diventare un problema nei rapporti con clienti enterprise che richiedono evidenze di compliance.
In Italia, l'autorità competente per l'enforcement sull'AI è l'AGID (Agenzia per l'Italia Digitale), con il supporto del Garante Privacy per i profili di trattamento dei dati personali.
Cosa cambia per la mia PMI con l'AI Act dal 2 agosto 2026? Dal 2 agosto 2026 scattano gli obblighi di trasparenza dell'Articolo 50: se usi un chatbot rivolto ai clienti, deve dichiararsi come sistema AI; se pubblichi contenuti generati dall'AI, devono essere marcati. Gli obblighi più stringenti per i sistemi ad alto rischio (selezione personale, credito, sicurezza infrastrutture) sono stati rinviati al 2 dicembre 2027 grazie al Digital Omnibus approvato il 29 giugno 2026.
Usiamo ChatGPT internamente per scrivere email e report: dobbiamo fare qualcosa? Se i contenuti rimangono interni, o vengono riveduti e firmati da un essere umano prima di essere pubblicati all'esterno, l'obbligo di marcatura non scatta. Se pubblichi testi generati dall'AI rivolti a clienti o al pubblico generale senza revisione sostanziale, sì, devono essere marcati. Vale la pena aggiornare la policy interna per definire chiaramente questa distinzione.
Cosa sono i sistemi ad alto rischio dell'Allegato III? Sono sistemi AI usati in contesti specifici: selezione del personale e gestione dei lavoratori, concessione di credito, accesso a servizi pubblici essenziali, processi educativi e formativi, identificazione biometrica, sicurezza di infrastrutture critiche, amministrazione della giustizia. Se la tua PMI usa AI in uno di questi contesti, gli obblighi più stringenti scattano dal 2 dicembre 2027.
Ci sono vantaggi nell'essere in regola prima delle scadenze? Sì, due concreti. Il primo è commerciale: i clienti enterprise chiedono sempre più spesso evidenze di compliance AI nella due diligence dei fornitori. Il secondo è operativo: costruire la governance AI adesso è più efficiente di doverla ricostruire in fretta sotto pressione normativa nel 2027.
Come faccio a capire se i sistemi AI che uso sono ad alto rischio? La classificazione dipende dal contesto di utilizzo, non solo dallo strumento. Lo stesso modello LLM può essere rischio minimo per scrivere testi marketing e alto rischio se usato per filtrare automaticamente candidature di lavoro. La mappatura va fatta processo per processo, non strumento per strumento.