L'AI Act è entrato in vigore il 1° agosto 2024. Da quel momento il regolamento europeo sull'intelligenza artificiale ha iniziato il suo percorso di applicazione progressiva, con scadenze scaglionate fino al 2027. Molti imprenditori e responsabili marketing che conosco hanno ancora la sensazione che sia "roba da grandi aziende" o da avvocati. Non è così.
Se la tua PMI usa strumenti AI nei processi interni, nelle campagne pubblicitarie, nella selezione del personale o nell'interazione con i clienti, alcune regole ti riguardano già adesso o ti riguarderanno entro pochi mesi. Vediamo cosa è effettivamente applicabile nel 2026, chi è coinvolto e cosa fare in concreto.
Cosa è già in vigore e cosa scatta nel 2026
Il regolamento prevede una struttura a fasi. Le prime disposizioni operative sono scattate il 2 febbraio 2025: da quella data sono vietati i sistemi AI classificati come "inaccettabili", tra cui i sistemi di social scoring, il riconoscimento biometrico in tempo reale negli spazi pubblici per finalità di contrasto al crimine (con eccezioni), e i sistemi di manipolazione subliminale.
Dal 2 agosto 2025 sono entrate in vigore le regole per i modelli di AI general purpose, cioè quei modelli fondazionali come GPT o Claude che vengono integrati in altri prodotti. Se sei un fornitore che costruisce un'applicazione sopra questi modelli, hai obblighi di trasparenza verso i tuoi clienti.
La scadenza più rilevante per la maggior parte delle PMI italiane è il 2 agosto 2026. Da quella data diventano applicabili le norme sui sistemi AI ad alto rischio. È lì che si concentra la parte più sostanziale degli obblighi pratici.
Quali categorie di PMI sono effettivamente coinvolte
Il regolamento distingue tre figure principali: il fornitore (chi sviluppa o immette sul mercato un sistema AI), il deployer (chi usa un sistema AI in un contesto professionale) e l'importatore o distributore. La maggior parte delle PMI italiane rientra nella categoria deployer, non fornitore.
Essere deployer non significa essere esenti. Significa avere obblighi diversi, generalmente meno gravosi rispetto a chi sviluppa il sistema, ma comunque presenti.
Le categorie di PMI più coinvolte sono:
- Aziende che usano AI per la selezione e valutazione del personale (recruiting automatizzato, screening di CV)
- Aziende che operano in ambito creditizio o assicurativo e usano scoring automatico
- Aziende sanitarie o nel benessere che usano AI per supporto diagnostico o raccomandazioni mediche
- Aziende che gestiscono infrastrutture critiche (energia, trasporti, acqua)
- Aziende che erogano servizi pubblici in convenzione o che usano AI in contesti educativi e formativi
Se la tua azienda usa AI solo per generare testi di marketing, ottimizzare campagne Meta Ads o analizzare i dati di vendita interni, probabilmente non rientra nei sistemi ad alto rischio. Probabilmente. Perché la classificazione dipende dall'uso specifico, non dallo strumento in sé.
Il punto dolente: la classificazione del rischio
Questo è il nodo pratico che quasi nessuna PMI ha ancora affrontato. L'AI Act classifica i sistemi AI in quattro livelli di rischio: inaccettabile (vietato), alto rischio (obblighi stringenti), rischio limitato (obblighi di trasparenza), rischio minimo (nessun obbligo specifico).
Il problema è che la classificazione non è automatica. Dipende dal contesto d'uso. Un sistema di analisi del comportamento utente su un e-commerce è rischio minimo. Lo stesso sistema usato per valutare l'affidabilità di un dipendente diventa alto rischio.
Molte PMI non sanno in quale categoria rientrano i tool che già usano. ChatGPT integrato in un chatbot di assistenza clienti è rischio limitato (con obbligo di informare l'utente che sta parlando con un AI). Lo stesso modello usato per generare valutazioni automatiche delle performance dei dipendenti è un'altra storia.
La mappatura degli strumenti AI in uso non è un esercizio burocratico. È il primo passo obbligato per capire se hai esposizioni normative reali.
Le tre azioni minime da mettere a registro oggi
Non sto suggerendo di ingaggiare subito uno studio legale specializzato in AI compliance (anche se, se usi AI in contesti ad alto rischio, dovrai farlo). Sto indicando tre azioni concrete che qualsiasi PMI può e deve fare adesso.
Prima azione: censimento degli strumenti AI in uso. Fai una lista di tutti i software, plugin, integrazioni e strumenti che contengono componenti di intelligenza artificiale. Include i CRM con scoring automatico, i tool di recruiting, i chatbot, le piattaforme di analisi predittiva, gli strumenti di generazione contenuti. Molti di questi vengono usati senza che nessuno in azienda li abbia mai classificati come "AI". Questo censimento va documentato.
Seconda azione: verifica degli obblighi di trasparenza verso gli utenti. Se la tua azienda usa chatbot o sistemi automatizzati che interagiscono con clienti, fornitori o dipendenti, hai già l'obbligo di informarli che stanno interagendo con un sistema AI. Questa norma è in vigore. Controlla che i tuoi sistemi abbiano le informative aggiornate.
Terza azione: nomina un referente interno AI. Non serve un AI Officer dedicato a tempo pieno (le PMI non hanno questa struttura). Serve però una persona che diventi il punto di riferimento interno per le questioni legate all'uso dell'AI: chi decide quali strumenti adottare, chi monitora gli aggiornamenti normativi, chi gestisce eventuali incidenti o reclami legati all'uso di sistemi automatizzati. Questa figura va identificata e il suo ruolo va messo per iscritto.
Il rischio vero per chi non si muove
Le sanzioni previste dall'AI Act per le violazioni più gravi arrivano fino a 35 milioni di euro o al 7% del fatturato globale annuo. Per i sistemi ad alto rischio, le violazioni degli obblighi specifici possono costare fino a 15 milioni o il 3% del fatturato.
Per una PMI, anche la fascia bassa di queste sanzioni è potenzialmente letale. Ma c'è un rischio più immediato e concreto: i tuoi clienti grandi, le imprese con cui hai rapporti di fornitura, stanno già iniziando a chiedere dichiarazioni di conformità AI nei contratti. Se non sei in grado di rispondere, rischi di perdere contratti prima ancora che arrivi un'ispezione.
L'Autorità italiana competente per l'enforcement dell'AI Act non è ancora stata definitivamente designata al momento in cui scrivo: il processo di designazione delle autorità nazionali è in corso in tutta Europa. Ma questo non è un alibi per aspettare.
La mossa concreta per domani mattina
Domani mattina, prima di fare altro, apri un documento condiviso e inizia il censimento. Scrivi il nome di ogni tool digitale che la tua azienda usa, metti una colonna "contiene AI?" e una colonna "in quale processo viene usato?". Bastano trenta minuti per avere una prima bozza. Quella bozza è il punto di partenza per qualsiasi valutazione successiva. Senza di essa, non sai nemmeno da dove cominciare.