Non riguarda solo chi costruisce AI: riguarda chi la usa
Quando si parla di AI Act, la reazione più comune degli imprenditori è: “ma io non sviluppo intelligenza artificiale, non mi riguarda.” In realtà è esattamente il contrario.
Il Regolamento UE 2024/1689, noto come AI Act, non si applica solo a chi costruisce sistemi di intelligenza artificiale. Si applica anche a chi li usa in contesto professionale. Nella terminologia della norma, chi usa sistemi AI si chiama deployer. E deployer è chiunque usi ChatGPT per produrre contenuti aziendali, un CRM con funzioni predittive, un chatbot sul sito, un software HR che valuta i candidati automaticamente.
Significa che la stragrande maggioranza delle aziende italiane è già soggetta all’AI Act. Secondo i dati ISTAT dicembre 2025, il 16,4% delle imprese italiane con almeno 10 addetti usa già almeno una tecnologia AI. Era l’8,2% nel 2024: un raddoppio in un anno. E molte di queste aziende non lo sanno ancora.
Le scadenze: cosa è già in vigore e cosa scatta ad agosto 2026
L’AI Act non è entrato in vigore tutto in una volta. Ha un calendario progressivo con scadenze precise. Alcune sono già scattate. La prossima è quella che conta di più per la maggior parte delle aziende.
| Data | Cosa scatta |
|---|---|
| 2 febbraio 2025 (già in vigore) | Divieti per sistemi AI a rischio inaccettabile + obbligo di formazione AI per i dipendenti |
| 2 agosto 2025 (già in vigore) | Obblighi per modelli AI general purpose (ChatGPT, Gemini, ecc.) |
| 2 agosto 2026 | Piena applicazione: obblighi per sistemi ad alto rischio, trasparenza, governance, documentazione |
| 2 agosto 2027 | Estensione ad alcuni sistemi ad alto rischio integrati in prodotti regolamentati |
La data da tenere a mente è il 2 agosto 2026: da quel giorno scattano gli obblighi per i sistemi AI classificati ad alto rischio, gli obblighi di trasparenza e tutta la governance documentale. Chi non è in regola a quella data è esposto alle sanzioni.
Da segnalare anche la Legge italiana 132/2025, in vigore dal 10 ottobre 2025, che integra l’AI Act a livello nazionale e affida la vigilanza all’AgID e all’Agenzia per la Cybersicurezza Nazionale. Non si sovrappone al regolamento europeo: lo completa.
L’AI Act si applica anche alle PMI italiane?
Sì. L’AI Act si applica a qualsiasi azienda che immette sistemi AI sul mercato europeo o li usa in contesto professionale, indipendentemente dalle dimensioni. Le PMI hanno però un trattamento di favore sulle sanzioni (si applica l’importo più basso tra percentuale e cifra assoluta) e accesso facilitato alle cosiddette regulatory sandbox per testare le soluzioni in modo controllato prima del lancio.
I 4 livelli di rischio: dove si colloca la tua azienda
L’AI Act non vieta l’intelligenza artificiale. La classifica in base al livello di rischio e assegna obblighi diversi a seconda della categoria. Capire dove rientrano i sistemi che usi è il primo passo concreto.
Rischio inaccettabile: vietati
Sistemi che manipolano il comportamento delle persone senza che ne siano consapevoli, social scoring da parte di governi, riconoscimento facciale in massa negli spazi pubblici. Nessuna azienda commerciale normale li usa o li dovrebbe usare. I divieti sono già in vigore dal febbraio 2025.
Rischio alto: obblighi stringenti
Qui rientra più di quello che si pensa. Sistemi AI usati in selezione del personale, valutazione dei dipendenti, accesso al credito, scoring assicurativo, sistemi usati nella sanità, nell’istruzione, nelle infrastrutture critiche. Molte PMI che usano software HR moderni o sistemi di scoring per i clienti rientrano in questa categoria senza saperlo. Per questi sistemi, entro il 2 agosto 2026, servono documentazione tecnica, supervisione umana, sistema di gestione del rischio e qualità dei dati dimostrata.
Rischio limitato: obblighi di trasparenza
Chatbot e assistenti virtuali che interagiscono con le persone devono dichiarare di essere AI. I contenuti generati da AI (testi, immagini, video) devono essere identificabili come tali. Semplice, ma obbligatorio.
Rischio minimo: nessun obbligo specifico
Filtri antispam, AI nei videogiochi, strumenti di produttività generica come i suggerimenti di testo. La maggior parte degli strumenti digitali comuni rientra qui.
Come capisco se il sistema AI che uso è ad alto rischio?
La domanda chiave è: questo sistema prende o influenza decisioni che riguardano persone (assunzioni, accesso a servizi, credito, valutazioni)? Se sì, probabilmente è ad alto rischio. Un software HR che filtra automaticamente i CV, un sistema di scoring dei clienti, uno strumento di valutazione delle performance dei dipendenti: tutti rientrano nella categoria ad alto rischio. Se non sei sicuro, il consiglio è mappare i sistemi AI in uso e fare una valutazione del rischio caso per caso.
Leggi anche: Agenti AI in azienda: cosa sono e come usarli senza sprecare budget – per capire come funzionano i sistemi AI che potrebbero essere soggetti all’AI Act.
Cosa fare concretamente: le 4 azioni prioritarie
Non serve essere un giurista per iniziare. Queste sono le azioni concrete, in ordine di priorità.
1. Mappare i sistemi AI in uso
Fai un inventario di tutti gli strumenti che usano AI nella tua azienda: CRM con funzioni predittive, chatbot, software HR, strumenti di marketing automation, sistemi di raccomandazione. Includi anche i software acquistati da terzi come SaaS: se il fornitore usa AI, sei comunque un deployer.
2. Classificare il livello di rischio
Per ogni sistema identificato, capire in quale categoria rientra. È la base per sapere cosa ti è richiesto e entro quando.
3. Formare i dipendenti (già obbligatorio)
L’obbligo di AI literacy è in vigore dal 2 febbraio 2025. Tutti i dipendenti che usano sistemi AI devono avere una competenza di base proporzionata al loro ruolo. Non serve un corso tecnico avanzato: serve consapevolezza su cosa è l’AI, come funziona e quali rischi comporta. È un obbligo già scattato: se non l’hai ancora fatto, sei in ritardo.
4. Verificare i contratti con i fornitori AI
L’AI Act distingue tra chi costruisce il sistema (provider) e chi lo usa (deployer). Le responsabilità sono diverse. Molti contratti SaaS attuali non chiariscono questi ruoli. Prima di agosto 2026 è il momento di allinearli.
Leggi anche: Agenti AI in azienda: cosa sono e come usarli senza sprecare budget
Le sanzioni: i numeri da conoscere
Le sanzioni previste dall’AI Act sono significative e seguono una logica a tre livelli.
– Violazione dei divieti (sistemi a rischio inaccettabile): fino a 35 milioni di euro o 7% del fatturato globale annuo. – Violazione degli obblighi per sistemi ad alto rischio: fino a 15 milioni o 3% del fatturato. – Informazioni false alle autorità: fino a 7,5 milioni o 1% del fatturato.
Per le PMI si applica sempre l’importo più basso tra la percentuale e la cifra assoluta. Il rischio però non è solo economico: le autorità possono ordinare il ritiro dal mercato o la sospensione del sistema. Per chi usa l’AI in processi core del business, questo può essere più dannoso della multa stessa.
C’è anche un lato positivo che vale la pena sottolineare. La conformità all’AI Act sta diventando un criterio di selezione da parte di clienti corporate e Pubblica Amministrazione. Chi può dimostrare di usare l’AI in modo responsabile e documentato ha un vantaggio competitivo concreto.
Leggi anche: Cybersecurity per PMI: perché sei già un bersaglio e come difenderti nel 2026 – AI Act e NIS2 si integrano: chi è conforme a uno ha una base di partenza per l’altro.
Adeguarsi all’AI Act non significa fermarsi: significa costruire una base solida
Usare l’AI in modo responsabile e documentato non è un freno all’innovazione. È il modo per usarla in modo sostenibile, credibile e protetto nel tempo. Chi inizia adesso ha un vantaggio su chi aspetterà l’ultimo momento.
In Brain Computing affianchiamo le aziende italiane nell’adozione e nella governance dell’intelligenza artificiale: dalla mappatura dei sistemi in uso alla loro classificazione, dall’implementazione di soluzioni conformi alla formazione dei team.
I servizi rilevanti per la conformità all’AI Act:
- Soluzioni AI: progettazione e implementazione di sistemi AI aziendali costruiti con governance e conformità integrate.
- Consulenza IT: analisi dell’infrastruttura esistente, mappatura dei sistemi AI in uso e valutazione del rischio.
- Check Up Digitale: punto di partenza per capire dove si è e cosa fare prima.
Non sai da dove iniziare? Prenota una chiamata con i nostri consulenti: in 30 minuti ti diciamo quali sistemi AI nella tua azienda richiedono attenzione e quali passi prioritizzare prima di agosto 2026.
Parla con un esperto Brain Computing
Domande frequenti sull’AI Act per le aziende italiane
L’AI Act si applica anche alle PMI italiane?
Sì. L’AI Act si applica a qualsiasi azienda che usa sistemi AI in contesto professionale, indipendentemente dalle dimensioni. Chi usa un CRM predittivo, un chatbot o un software HR con funzioni automatizzate è già soggetto alla normativa come deployer. Le PMI hanno un trattamento di favore sulle sanzioni (si applica sempre l’importo più basso) e accesso agevolato agli spazi di sperimentazione controllata.
Come capisco se il sistema AI che uso è ad alto rischio?
La domanda chiave è: questo sistema influenza decisioni che riguardano persone? Assunzioni, accesso al credito, valutazione delle performance, accesso a servizi pubblici, diagnosi mediche. Se sì, probabilmente è ad alto rischio e richiede documentazione, supervisione umana e sistema di gestione del rischio entro il 2 agosto 2026. Se usi strumenti di marketing automation o produttività generica, probabilmente rientri nelle categorie a rischio limitato o minimo.
Cosa rischio se non sono conforme all’AI Act entro agosto 2026?
Le sanzioni vanno da 7,5 milioni di euro (o 1% del fatturato) per informazioni false alle autorità, fino a 35 milioni di euro (o 7% del fatturato globale) per violazione dei divieti. Per le PMI si applica sempre l’importo più basso. Ma oltre alle sanzioni economiche, le autorità possono ordinare la sospensione o il ritiro dal mercato del sistema non conforme, con impatti operativi potenzialmente più gravi della multa stessa.
Devo formare i miei dipendenti sull’AI? È già obbligatorio?
Sì, è già obbligatorio dal 2 febbraio 2025. L’AI Act impone che tutti i dipendenti che usano sistemi AI abbiano un livello di AI literacy proporzionato al loro ruolo. Non si tratta di un corso tecnico avanzato: è un obbligo di consapevolezza. Chi non ha ancora fatto nulla su questo fronte è già in ritardo.
