AI Act 2026: cosa devono fare le PMI italiane entro agosto

L'AI Act è il primo regolamento al mondo che disciplina l'uso dell'intelligenza artificiale. Approvato dall'Unione Europea, è entrato in vigore gradualmente dal 2025 e raggiunge la piena applicazione il 2 agosto 2026.

Il punto chiave: non regola chi sviluppa AI, ma chi la usa. Se la tua azienda adotta un software che incorpora componenti di intelligenza artificiale — anche fornito da terzi — hai degli obblighi. Non importa che tu non abbia scritto una riga di codice: se lo usi nei tuoi processi aziendali, sei responsabile del suo utilizzo conforme.

Questo è il motivo per cui riguarda le PMI: non serve avere un reparto R&D con data scientist. Basta usare un CRM con scoring automatico, un sistema di selezione del personale con filtri AI, o un chatbot che interagisce con i clienti.

L'AI Act classifica i sistemi di intelligenza artificiale in quattro livelli, dal più critico al più leggero:

Rischio inaccettabile — vietato. Sistemi che manipolano il comportamento delle persone, punteggio sociale, riconoscimento facciale di massa. Se non stai facendo nulla di tutto questo (e quasi certamente non lo stai facendo), non ti riguarda.

Alto rischio — obblighi stringenti. Qui le cose si fanno serie. Rientrano i sistemi AI usati per:

• Selezione e valutazione del personale (filtri CV, scoring candidati)
• Valutazione del merito creditizio o scoring clienti
• Sistemi di sicurezza e controllo accessi biometrici
• Decisioni che impattano diritti fondamentali delle persone

Se usi un software HR che filtra automaticamente i CV o un sistema che assegna un punteggio ai clienti per decidere condizioni commerciali, sei in questa categoria.

Rischio trasparenza — obbligo di dichiarazione. Chatbot, assistenti virtuali, contenuti generati da AI: devi semplicemente informare l'utente che sta interagendo con un sistema automatizzato. Se hai un chatbot sul sito, basta che sia chiaro che non è un operatore umano.

Rischio minimo — nessun obbligo specifico. La maggior parte degli strumenti AI comuni: filtri antispam, suggerimenti di testo, ottimizzazione di campagne marketing. Puoi continuare a usarli senza adempimenti particolari.

Le sanzioni dell'AI Act sono proporzionate al fatturato — lo stesso modello del GDPR, che ha insegnato a tutti quanto costa ignorare una normativa europea:

• Uso di sistemi vietati: fino a 35 milioni di euro o il 7% del fatturato mondiale annuo
• Violazione degli obblighi per sistemi ad alto rischio: fino a 15 milioni di euro o il 3% del fatturato
• Informazioni false o incomplete: fino a 7,5 milioni di euro o l'1% del fatturato

Per le PMI si applica sempre l'importo più basso tra la cifra fissa e la percentuale sul fatturato. Quindi no, non rischi 35 milioni — ma anche l'1% del fatturato è una cifra che nessuna PMI può permettersi di ignorare.

Il rischio reale però non è solo la sanzione economica. È il danno reputazionale, la perdita di fiducia dei clienti e — soprattutto — l'interruzione forzata dell'uso di strumenti su cui hai costruito processi operativi. Se un sistema viene dichiarato non conforme, devi smettere di usarlo finché non lo metti in regola.

La buona notizia: per la maggior parte delle PMI, mettersi in regola non richiede stravolgimenti. Richiede metodo e consapevolezza. Ecco cosa fare:

1. Fai l'inventario dei sistemi AI che usi. Elenca tutti i software e servizi che incorporano componenti di intelligenza artificiale. Non solo quelli ovvi (chatbot, assistenti) ma anche quelli nascosti: il CRM che fa scoring automatico, il tool di marketing che ottimizza le campagne, il sistema HR che filtra i CV. Molti strumenti SaaS hanno integrato funzionalità AI senza che tu ne sia pienamente consapevole.

2. Classifica ogni sistema per livello di rischio. Per ogni strumento identificato, valuta in quale categoria rientra. La maggior parte sarà a rischio minimo o trasparenza. Quelli ad alto rischio — tipicamente HR, scoring creditizio, decisioni automatizzate su persone — richiedono attenzione specifica.

3. Verifica la compliance dei tuoi fornitori. Se usi sistemi AI forniti da terzi (SaaS, piattaforme cloud), chiedi al fornitore la documentazione di conformità all'AI Act. È un loro obbligo fornirla, ed è un tuo diritto richiederla. Se il fornitore non è in grado di dimostrare la conformità, valuta alternative.

4. Documenta i processi. Per i sistemi ad alto rischio, devi poter dimostrare: chi li supervisiona, come vengono gestiti i rischi, come garantisci la qualità dei dati, e come intervieni in caso di problemi. Non serve una certificazione ISO dal primo giorno — serve un processo documentato e una persona responsabile.

5. Forma il team. L'AI Act introduce l'obbligo di "AI literacy" — le persone che usano sistemi AI devono avere una formazione adeguata. Non significa diventare esperti di machine learning: significa capire cosa fa lo strumento, quali sono i suoi limiti, e quando serve l'intervento umano.

"Non mi riguarda, non faccio AI." L'errore più diffuso. Se usi un chatbot, un CRM con automazioni, un sistema di email marketing con segmentazione automatica, o qualsiasi software che prende decisioni basate su dati — stai usando AI. La normativa non fa distinzione tra chi la sviluppa e chi la adotta.

"Ce ne occuperemo quando arriveranno i controlli." Lo stesso approccio che molti hanno avuto con il GDPR nel 2018 — e che è costato caro. La conformità richiede tempo: inventario, classificazione, documentazione, formazione. Partire a luglio 2026 significa non arrivare pronti.

"È un problema del reparto IT / del legale." L'AI Act non è né un tema puramente tecnico né puramente legale. È un tema organizzativo che richiede il coinvolgimento di chi usa gli strumenti (operations, HR, commerciale), di chi li gestisce (IT) e di chi ne risponde (direzione). Trattarlo come un problema di un singolo reparto è la ricetta per la non-conformità.

C'è un modo diverso di guardare questa scadenza. Fare l'inventario dei sistemi AI che usi, classificarli e documentare i processi è anche un'occasione per:

• Capire davvero cosa fa la tecnologia che stai pagando. Molte PMI pagano licenze SaaS senza sapere esattamente quali funzionalità AI stanno usando e se stanno generando valore reale.
• Identificare inefficienze. L'inventario spesso rivela sovrapposizioni tra strumenti, funzionalità pagate e mai usate, o processi che potrebbero beneficiare di automazione.
• Costruire un vantaggio competitivo. Le aziende che si adeguano per prime possono usare la conformità come argomento commerciale — soprattutto nei rapporti B2B dove i clienti enterprise chiedono sempre più garanzie sulla gestione dei dati e sull'uso responsabile dell'AI.
• Prepararsi al futuro. L'AI Act è solo l'inizio. La regolamentazione dell'AI diventerà più stringente, non meno. Chi si muove ora costruisce le basi per gestire anche le evoluzioni normative future senza dover rincorrere.

Se stai valutando nuovi investimenti in software per la tua azienda, la conformità all'AI Act dovrebbe essere un criterio di scelta. Un gestionale su misura, progettato con i requisiti normativi in mente fin dall'inizio, non avrà mai il problema di doversi adeguare in corsa.