AI Act 2026: cosa deve fare la tua PMI entro agosto

Il 2 agosto 2026 l'AI Act europeo entra in piena applicazione. Per le PMI italiane significa una cosa sola: e ora di capire cosa si deve fare, senza panico ma senza rimandare. Questa guida spiega gli obblighi in modo pratico, con una checklist operativa.

Cos'e l'AI Act

Il Regolamento (UE) 2024/1689 e il primo quadro giuridico al mondo dedicato all'intelligenza artificiale. Approvato nel 2024, introduce regole proporzionali al livello di rischio dei sistemi AI usati dalle imprese. Non vieta l'AI: la regola.

L'obiettivo e proteggere i diritti fondamentali dei cittadini europei, garantire trasparenza e costruire fiducia nell'uso dell'intelligenza artificiale. Per le PMI, significa sapere quali strumenti AI si usano e in quale categoria di rischio ricadono.

Le scadenze chiave

L'AI Act non entra in vigore tutto insieme. Le scadenze sono scaglionate:

• 2 febbraio 2025: divieto delle pratiche AI vietate (scoring sociale, manipolazione subliminale) e obbligo di formazione AI per il personale (AI literacy)
• 2 agosto 2025: obblighi per i modelli AI di uso generale (GPAI) e nomina delle autorita nazionali di vigilanza
• 2 agosto 2026: piena applicazione di tutti gli obblighi, inclusi quelli per i sistemi ad alto rischio. Questa e la data critica per le PMI

Mancano meno di 4 mesi. Chi non ha ancora iniziato a mappare i propri sistemi AI e in ritardo.

I livelli di rischio

L'AI Act classifica i sistemi di intelligenza artificiale in 4 livelli di rischio. La categoria determina gli obblighi:

Vietato

Sistemi AI che l'Europa considera inaccettabili. Non si possono usare, punto.

• Scoring sociale: un sistema che assegna un “punteggio” ai cittadini in base al loro comportamento (tipo il sistema cinese) e usa quel punteggio per limitare l'accesso a servizi
• Manipolazione subliminale: AI che sfrutta tecniche di persuasione occulta per influenzare le decisioni delle persone senza che ne siano consapevoli
• Riconoscimento biometrico di massa: scansione facciale in tempo reale in spazi pubblici (salvo eccezioni per forze dell'ordine)

Per le PMI italiane: praticamente nessuna di queste pratiche vi riguarda. Ma e utile sapere che esistono per capire lo spirito della normativa.

Alto rischio

Sistemi AI che prendono o influenzano decisioni importanti sulle persone. Richiedono documentazione, valutazione d'impatto, supervisione umana e registro.

• Selezione del personale: se usi un software AI per filtrare i CV, classificare i candidati o decidere chi chiamare a colloquio
• Valutazione del credito: AI che decide se concedere un finanziamento, un pagamento rateale o una linea di credito a un cliente
• Scoring candidati/clienti: qualsiasi sistema che assegna automaticamente un punteggio alle persone per prendere decisioni che le riguardano (es. priorita nelle liste d'attesa, accesso a servizi)
• Valutazione delle performance: AI che valuta automaticamente le prestazioni dei dipendenti e influenza decisioni su promozioni o licenziamenti

Se usi questi strumenti nella tua PMI, devi documentare come funzionano, tenere un registro e garantire che un essere umano supervisioni le decisioni finali.

Rischio limitato

Sistemi AI con cui le persone interagiscono direttamente. L'unico obbligo reale e la trasparenza: l'utente deve sapere che sta interagendo con un'AI.

• Chatbot: l'assistente virtuale sul sito che risponde alle domande dei clienti. Deve essere chiaro che non e una persona
• Generazione contenuti: testi, immagini o video creati con AI (es. post social, descrizioni prodotto, email marketing). Se c'e rischio che vengano scambiati per contenuti umani, va indicato
• Deepfake: video o audio generati con AI che riproducono una persona reale. Devono essere sempre etichettati

Questa e la categoria dove ricade la maggior parte delle PMI. Se hai un chatbot sul sito o usi AI per generare contenuti, ti basta un avviso chiaro.

Rischio minimo

La stragrande maggioranza degli strumenti AI. Nessun obbligo specifico, solo buone pratiche consigliate.

• Filtri spam: l'AI che filtra le email indesiderate nella casella di posta aziendale
• Raccomandazioni prodotti: il “potrebbe piacerti anche” nell'e-commerce, basato sugli acquisti precedenti
• Analisi dati interni: dashboard che analizzano vendite, previsioni, trend usando algoritmi di machine learning
• Automazioni email: flussi automatici di email basati sul comportamento degli utenti
• Ricerca intelligente: la barra di ricerca del sito che suggerisce risultati pertinenti

Se usi solo strumenti di questo tipo, l'AI Act non cambia praticamente nulla per te. Ma conviene comunque fare l'inventario.

Obblighi concreti per le PMI

Indipendentemente dal livello di rischio, tutte le imprese che usano o sviluppano sistemi AI devono rispettare alcuni obblighi di base:

1. AI literacy (gia in vigore)

Dal 2 febbraio 2025, chi usa sistemi AI deve garantire che il proprio personale abbia una formazione adeguata sull'uso dell'intelligenza artificiale. Non serve una laurea: basta che chi usa strumenti AI sappia cosa sta facendo e quali sono i limiti.

2. Trasparenza (sistemi a rischio limitato)

Se usi un chatbot sul sito, i clienti devono sapere che stanno parlando con un'AI. Se generi contenuti con AI (testi, immagini), devi indicarlo quando c'e rischio di confusione. In pratica: un avviso chiaro e sufficiente.

3. Documentazione (sistemi ad alto rischio)

Se usi AI per selezione del personale, valutazione delle performance, scoring clienti o decisioni che impattano diritti delle persone, servono: documentazione tecnica, valutazione d'impatto sui diritti fondamentali, registro d'uso e supervisione umana.

4. Registro dei sistemi AI

I sistemi ad alto rischio devono essere registrati nella banca dati europea prima della messa in servizio. Per i sistemi a rischio limitato non e obbligatorio, ma tenere un inventario interno e comunque una buona pratica.

Sanzioni

Le sanzioni previste dall'AI Act sono significative:

• Fino a 35 milioni di euro (o 7% del fatturato mondiale) per l'uso di pratiche vietate
• Fino a 15 milioni di euro (o 3% del fatturato) per violazione degli obblighi sui sistemi ad alto rischio
• Fino a 7,5 milioni di euro (o 1,5% del fatturato) per informazioni false o incomplete alle autorita

Per le PMI, le sanzioni sono proporzionali: si applica il massimale piu basso tra l'importo fisso e la percentuale del fatturato. Ma anche una sanzione “ridotta” puo essere pesante per una piccola impresa.

Tutele specifiche per le PMI

L'AI Act prevede misure esplicite a favore delle piccole e medie imprese:

• Iter burocratici semplificati: meno documentazione rispetto alle grandi imprese
• Sconti sulle tariffe di certificazione, proporzionali alla dimensione dell'azienda
• Accesso prioritario alle regulatory sandbox: ambienti controllati dove testare sistemi AI innovativi con la supervisione delle autorita
• Codici di condotta volontari: per i sistemi a rischio minimo, le PMI possono aderire a codici di buone pratiche invece di affrontare iter formali

Checklist pratica: cosa fare adesso

Ecco i passaggi concreti che una PMI dovrebbe completare entro agosto 2026:

1. Inventario AI: elenca tutti gli strumenti AI che usi (chatbot, automazioni email, CRM con AI, generazione contenuti, analisi predittive). Include anche tool di terze parti.
2. Classifica il rischio: per ogni strumento, identifica se e a rischio minimo, limitato o alto. In caso di dubbio, consulta un esperto.
3. Verifica la trasparenza: se hai un chatbot, assicurati che gli utenti sappiano che e un'AI. Se generi contenuti, valuta se serve un'indicazione.
4. Forma il team: organizza una sessione di formazione interna sull'uso responsabile dell'AI. L'obbligo di AI literacy e gia in vigore.
5. Documenta: crea un registro interno dei sistemi AI utilizzati, con fornitore, scopo, livello di rischio e responsabile.
6. Rivedi i contratti: verifica che i fornitori di soluzioni AI forniscano la documentazione tecnica necessaria.

La legge italiana sull'AI

Con la Legge 132/2025, entrata in vigore il 10 ottobre 2025, l'Italia ha introdotto il primo quadro normativo nazionale dedicato all'intelligenza artificiale, integrando il regolamento europeo.

La legge italiana aggiunge:

• AgID come autorita nazionale per la vigilanza e il coordinamento
• Regole specifiche per l'uso dell'AI nella pubblica amministrazione, sanita e giustizia
• Disposizioni sulla responsabilita civile per danni causati da sistemi AI
• Incentivi alla ricerca e innovazione in ambito AI, con attenzione alle PMI e startup

Per le PMI, il messaggio e: il quadro normativo c'e ed e chiaro. Non e piu una questione di “se” ma di “quando”. E il quando e adesso.

Domande frequenti

Se uso solo ChatGPT per scrivere email, devo preoccuparmi?

Probabilmente no. L'uso personale di strumenti AI generici ricade nel rischio minimo. Ma se lo usi per comunicazioni commerciali o contenuti pubblici, l'obbligo di trasparenza potrebbe applicarsi: indica che il contenuto e generato con AI quando necessario.

Ho un chatbot sul sito. Cosa devo fare?

Aggiungi un avviso chiaro che l'utente sta interagendo con un sistema di intelligenza artificiale. Un messaggio iniziale tipo “Questo assistente e basato su AI” e sufficiente.

Chi controlla? Ci saranno ispezioni?

In Italia l'autorita di vigilanza e l'AgID. Le modalita di controllo non sono ancora del tutto definite, ma le sanzioni sono previste dal regolamento europeo. Meglio mettersi in regola prima che dopo.

Devo assumere un DPO per l'AI?

No, l'AI Act non prevede una figura obbligatoria equivalente al DPO del GDPR. Tuttavia, identificare un referente interno per la gestione dei sistemi AI e una buona pratica.

Come Polaris puo aiutarti

Le soluzioni AI che Polaris sviluppa — chatbot, configuratori, agenti AI, applicativi su misura — sono progettate tenendo conto dei requisiti dell'AI Act. In pratica:

• I nostri chatbot includono gia l'avviso di trasparenza
• Forniamo documentazione tecnica dei sistemi sviluppati
• Progettiamo con supervisione umana integrata nel flusso