Torna al blog
AIPMI
·12 min di lettura

AI Act 2026 per PMI italiane: cosa fare entro agosto

Il 2 agosto 2026 scattano gli obblighi AI Act sui sistemi high-risk: chi è coinvolto, cosa fare, sanzioni fino al 7% fatturato. Guida per PMI italiane.

AI Act 2026 per PMI italiane: cosa fare entro il 2 agosto 2026 sui sistemi alto rischio Allegato III
Il 2 agosto 2026 (75 giorni da oggi) scattano gli obblighi AI Act sui sistemi high-risk dell'Allegato III.

In questo articolo

  • 2 agosto 2026: scattano gli obblighi su sistemi AI high-risk Allegato III (HR, credito, biometria)
  • AI literacy obbligatoria dal 2 febbraio 2025 per tutto il personale che usa AI
  • Sanzioni fino a 35 milioni di euro o 7% fatturato per pratiche vietate · ridotte per PMI
  • Differenza provider vs deployer · maggior parte PMI è deployer (uso non sviluppo)
  • Self-check interattivo per capire se la tua PMI è impattata
  • 5 step pratici per arrivare conformi: mappatura, classificazione, training, policy, registro

Il 2 agosto 2026 (75 giorni da oggi) scattano gli obblighi più impegnativi del Regolamento (UE) 2024/1689 - AI Act- sui sistemi di intelligenza artificiale ad alto rischio. Per la PMI italiana media questa è la deadline da cerchiare in rosso sul calendario: molti casi d'uso comuni (HR automation, scoring credito clienti, alcuni tool di marketing automation) ricadono nell'Allegato III e diventano regolamentati con sanzioni potenziali fino al 7% del fatturato.

In questo articolo spiego cosa cambia concretamente, chi è realmente impattato (spoiler: forse meno PMI di quante si pensi, ma con margini stretti), quali sono gli obblighi minimi da soddisfare e come costruire una roadmap di adeguamento in 75 giorni. Tutti i riferimenti normativi sono dal testo ufficiale del EUR-Lex e dalla documentazione ufficiale della Commissione Europea.

In sintesi (risposta diretta): il 2 agosto 2026 scattano gli obblighi del Regolamento (UE) 2024/1689 (AI Act) sui sistemi di intelligenza artificiale ad alto rischio elencati nell'Allegato III (HR, credito, biometria, infrastrutture critiche, servizi essenziali). L'obbligo di AI literacy ex articolo 4 è già in vigore dal 2 febbraio 2025 per tutti gli usi professionali di AI. Sanzioni fino a 35 milioni di euro o 7% del fatturato mondiale per pratiche vietate, con riduzioni previste per PMI e startup. La maggior parte delle PMI italiane è deployer (chi usa AI di terzi), non provider, con obblighi più leggeri.


Risposta rapida in 30 secondi

Sotto i dettagli operativi: timeline completa, differenza provider/deployer, lista alto rischio Allegato III, AI literacy, sanzioni e i 5 step per prepararsi.


Timeline AI Act: dove siamo a maggio 2026

Il Regolamento (UE) 2024/1689 del 13 giugno 2024è entrato in vigore il 1 agosto 2024 con un'applicazione progressiva su quattro fasi distinte.

DataCosa entra in vigoreStatus
1 agosto 2024Entrata in vigore Regolamento (UE) 2024/1689✓ Attivo
2 febbraio 2025Divieti pratiche vietate (art. 5) + AI literacy obbligatoria (art. 4)✓ Attivo
2 agosto 2025Governance + AI Office + obblighi modelli GPAI✓ Attivo
2 agosto 2026Obblighi sistemi alto rischio Allegato III⏰ 75 giorni
2 agosto 2027Applicazione piena + sistemi pre-esistenti📅 Futura

A maggio 2026 siamo nella fase pre-Allegato III: tre tappe già operative (entrata in vigore, divieti, governance) e una imminente (alto rischio). La fase del 2 agosto 2027 chiuderà il cerchio includendo anche sistemi AI già in uso prima dell'entrata in vigore della normativa.

AI Act 2026: timeline applicazione progressiva per PMI italiane fino al 2027
L'AI Act è il primo regolamento al mondo che disciplina in modo orizzontale l'intelligenza artificiale.

Provider vs Deployer: dove ricade la tua PMI

La prima domanda da farsi è: sei provider o deployer? Gli obblighi sono molto diversi e la maggior parte delle PMI italiane è deployer, non provider.

Provider

Il provider è chi sviluppa o immette sul mercato europeo un sistema AI con il proprio nome o marchio. Esempi: OpenAI per ChatGPT, Anthropic per Claude, una software house italiana che vende un sistema di credit scoring AI, una startup che lancia un tool di screening CV con AI proprietaria. Il provider ha gli obblighi più pesanti: documentazione tecnica completa, conformity assessment (per sistemi high-risk), marcatura CE, sistema qualità, monitoraggio post-market.

Deployer

Il deployer è chi utilizza un sistema AI sotto la propria autorità nell'ambito di un'attività professionale. La PMI italiana che usa ChatGPT in ambito lavorativo, che adotta un tool AI di screening CV di terzi, che implementa uno scoring credito clienti basato su AI di un fornitore esterno è deployer. Secondo l'articolo 26 dell'AI Act, i deployer hanno cinque obblighi principali per i sistemi high-risk.

I 5 obblighi del deployer su sistemi high-risk

  • Uso conforme alle istruzioni: utilizzare il sistema secondo le istruzioni fornite dal provider e per i casi d'uso dichiarati.
  • Sorveglianza umana: affidare la supervisione a persone competenti, formate e con autorità sufficiente a intervenire o bloccare l'output.
  • Registrazione e log: conservare per almeno 6 mesi i log automatici generati dal sistema.
  • Trasparenza verso interessati: informare le persone fisiche quando interagiscono con un sistema AI high-risk che produce effetti su di loro.
  • Segnalazione incidenti: comunicare al provider e all'autorità di vigilanza eventuali incidenti rilevanti causati dal sistema.

Allegato III: chi finisce nel perimetro alto rischio

L'Allegato III è il cuore operativo dell'AI Act per le PMI. Elenca i settori e i casi d'uso che rendono un sistema AI "alto rischio" e quindi soggetto al regime più stringente. Secondo la guida di Agenda Digitale all'Allegato III, otto categorie identificano sistemi high-risk.

Le 8 categorie Allegato III

  • Biometria: riconoscimento facciale, riconoscimento emozioni, categorizzazione biometrica basata su attributi sensibili.
  • Infrastrutture critiche: gestione di traffico stradale, fornitura di acqua, gas, elettricità, riscaldamento, infrastrutture digitali critiche.
  • Istruzione e formazione: ammissione a istituti, valutazione studenti, assegnazione di esami, rilevazione comportamenti vietati.
  • Lavoro e gestione lavoratori: screening CV, valutazione candidati, decisioni su promozioni e licenziamenti, monitoraggio performance, allocazione task.
  • Accesso a servizi essenziali: scoring credito, valutazione assicurazioni vita e salute, prioritizzazione servizi di emergenza, eleggibilità a prestazioni pubbliche.
  • Applicazione della legge: profilazione, valutazione affidabilità prove, valutazione rischio recidiva.
  • Migrazione, asilo e controllo frontiere: valutazione rischi migratori, verifica documenti, decisioni su domande di asilo.
  • Amministrazione della giustizia e processi democratici: assistenza a decisioni giudiziarie, sistemi per influenzare esito elezioni e referendum.

I 2 casi più frequenti per PMI italiane

Per la PMI italiana media, le due categorie davvero rilevanti sono lavoro e gestione lavoratori (HR) e accesso a servizi essenziali(scoring credito clienti). Tutto il resto è rilevante solo per specifici settori (utilities, scuole, forze dell'ordine, ecc.).

HR ad alto rischioinclude: screening CV automatico, classificazione candidati, sistemi di valutazione delle performance basati su AI, tool di people analytics che producono decisioni materiali (promozioni, formazione, licenziamenti). Non rientra l'uso di AI generica per scrivere job description o annunci di lavoro.

Credito ad alto rischioinclude: sistemi AI che decidono o assistono decisioni sull'accesso a finanziamenti (credito al consumo, prestiti commerciali B2B), assicurazioni vita e salute. Non rientra invece la fatturazione automatica o la gestione contabile.


AI literacy: l'obbligo già in vigore dal febbraio 2025

L'articolo 4 dell'AI Act introduce un obbligo che si applica a TUTTE le aziende che usano AI, non solo a quelle con sistemi high-risk: garantire un livello sufficiente di alfabetizzazione AIal personale che lavora con questi sistemi. L'obbligo è in vigore dal 2 febbraio 2025, quindi se la tua PMI usa anche solo ChatGPT in modo professionale, sei già nel perimetro.

Cosa deve coprire il training AI literacy

  • Funzionamento base dell'AI: cosa è un LLM, cosa è il prompt, cosa sono le allucinazioni, come si valuta un output AI.
  • Limiti e bias: rischi di bias dei modelli, contesti dove l'AI può sbagliare, casi in cui la verifica umana è obbligatoria.
  • Privacy e GDPR: cosa NON inserire nei prompt (dati sensibili, segreti aziendali), regole sull'output AI in contesti regolamentati.
  • Casi d'uso ammessi: lista chiara di task AI consentiti e vietati dall'azienda.
  • Procedure di sicurezza: cosa fare in caso di output errato, sospetto, o che genera danno a terzi.

Il costo tipico per una PMI italiana è 30-90 minuti di training per dipendente, documentato con attestato e firma di partecipazione. Per un team di 20 persone si parla di 2-4 giorni di lavoro complessivi tra preparazione, erogazione e tracciamento. La formazione può essere asincrona (e-learning) o sincrona, l'importante è documentarla.

💡 Non hai ancora fatto il training AI literacy?

Possiamo preparare insieme un modulo di formazione AI literacy custom sulla tua PMI: 60 minuti video + quiz finale + attestato per ogni dipendente. Prenota call gratuita →


Sanzioni: tre fasce, con riduzioni per PMI

Le sanzioni dell'AI Act sono articolate su tre fasce in base alla gravità della violazione. Importante: l'AI Act prevede espressamente che, nel determinare l'ammontare della sanzione, le autorità nazionali tengano conto della dimensione dell'impresa, con riduzioni concrete per PMI e startup. Tuttavia, le soglie massime restano potenzialmente devastanti per un bilancio aziendale di medie dimensioni.

FasciaTipo violazioneSanzione massima
1Pratiche vietate (art. 5)35 M€ o 7% fatturato mondiale (il maggiore)
2Non conformità sistemi alto rischio (Allegato III)15 M€ o 3% fatturato (il maggiore)
3Informazioni non corrette ad autorità7,5 M€ o 1% fatturato (il maggiore)

Per una PMI con fatturato di 5 milioni di euro, una sanzione potenziale del 3% sarebbe 150.000 euro - cifra che nella pratica con le riduzioni per PMI viene ridotta significativamente, ma comunque sufficiente a giustificare l'investimento in compliance preventiva. La logica è la stessa del GDPR: le sanzioni teoriche sono volutamente alte come deterrente, le sanzioni reali applicate alle PMI in caso di violazioni in buona fede tendono a essere proporzionate alla capacità contributiva e alla gravità.


Self-check: la mia PMI è impattata?

Cinque domande in un minuto per capire il livello di esposizione della tua PMI all'AI Act. Risultato qualitativo (non sostituisce la consulenza legale formale).

Self-check

Domanda 1 di 5

La tua PMI usa AI per HR? (screening CV, valutazione performance, scelte promozioni o licenziamenti)

Se preferisci integrare il checker nei tuoi tool, ho rilasciato la stessa logica come libreria open source TypeScript con test completi: github.com/samma1997/ai-act-pmi-checker (license MIT).


5 step per arrivare conformi al 2 agosto 2026

Una roadmap operativa testata su PMI italiane di 10-100 dipendenti. I tempi indicati sono medie realistiche: aziende già strutturate sulla compliance GDPR ci mettono meno; PMI partite da zero ci mettono il doppio.

Step 1 · Mappatura sistemi AI in uso (1-2 settimane)

Censimento di TUTTI i sistemi AI usati in azienda, inclusi tool SaaS, plugin browser, integrazioni di terzi nei gestionali (es. Microsoft Copilot in M365, AI integrate in HubSpot o Salesforce, automazioni Zapier con AI). Per ogni sistema annotare: fornitore, scopo d'uso, dipartimento che lo usa, dati trattati. Output: registro sistemi AI in formato spreadsheet.

Step 2 · Classificazione del rischio (1 settimana)

Per ogni sistema del registro, classificare il rischio: vietato (art. 5), alto rischio (Allegato III), rischio limitato (es. chatbot, deepfake), rischio minimo (la maggior parte dei tool di produttività). Per i sistemi alto rischio: verificare provider, marcatura CE, conformity assessment, presenza di istruzioni d'uso conformi.

Step 3 · Implementazione misure tecniche e organizzative (2-4 settimane)

Per i sistemi alto rischio: definizione sorveglianza umana documentata, conservazione log per almeno 6 mesi, procedure di trasparenza verso gli interessati, processo di segnalazione incidenti. Per i sistemi a rischio limitato (chatbot, deepfake): aggiungere disclaimer di trasparenza output AI quando rilevante per terzi.

Step 4 · Training AI literacy (1-2 settimane)

Erogazione del training a tutto il personale che usa AI, con quiz finale e attestato di partecipazione. Conservazione documentale degli attestati (utile in caso di ispezione). Aggiornamento annuale del training su nuovi sistemi e nuovi rischi emergenti.

Step 5 · Policy, contratti, governance (1-2 settimane)

Adozione di una AI Policy aziendale che disciplina uso ammesso, casi vietati, procedure di approvazione di nuovi sistemi AI. Revisione contratti con fornitori AI per includere clausole AI Act. Designazione di un AI compliance owner (può coincidere con DPO GDPR per PMI piccole).

Costo tipico complessivo per una PMI italiana di 20-50 dipendenti: 3.000-15.000 EUR tra consulenza, formazione e adeguamento documentale. Le PMI più strutturate (con GDPR già implementato) stanno tipicamente nella fascia bassa; quelle che partono da zero su compliance digitale si avvicinano alla fascia alta.


Esempi concreti su PMI italiane tipo

Tre profili di PMI italiane diversi, per capire come si applica l'AI Act caso per caso. Tutti gli esempi sono stilizzati e non si riferiscono a clienti specifici.

Esempio 1 · Studio commercialisti 15 dipendenti

Usa ChatGPT Plus e Microsoft Copilot in M365 per drafting documenti, analisi normative, supporto ai colleghi nella ricerca giurisprudenza. Nessun sistema alto rischio. Obblighi reali: solo AI literacy (art. 4) per tutto il personale + AI Policy aziendale che disciplina uso ammesso. Costo stimato: 2.000-4.000 EUR una tantum.

Esempio 2 · PMI manifatturiera 80 dipendenti

Usa AI integrata nel gestionale (riconciliazione bancaria, contabilità) + un tool di screening CV automatico fornito da una HR-tech italiana. Il tool screening CV ricade nell'Allegato III categoria "lavoro". Obblighi reali: AI literacy generale + tutta la procedura alto rischio sul tool HR (sorveglianza umana documentata, log 6 mesi, trasparenza verso candidati, contratto con il fornitore aggiornato). Costo stimato: 8.000-15.000 EUR.

Esempio 3 · Software house 25 dipendenti

Sviluppa un sistema AI di scoring credito per banche italiane. È provider di un sistema Allegato III alto rischio. Obblighi reali: documentazione tecnica completa, conformity assessment, marcatura CE, sistema qualità, monitoraggio post-market, registrazione sistema nel database UE. Il regime provider è molto più complesso e richiede consulenza specialistica. Costo stimato: 30.000-80.000 EUR una tantum + presidio continuativo.


Domande frequenti

L'AI Act sostituisce il GDPR?

No, l'AI Act si applica IN AGGIUNTA al GDPR. Quando un sistema AI tratta dati personali, vanno rispettati entrambi i regolamenti. Il GDPR disciplina il trattamento dei dati personali (raccolta, conservazione, sicurezza), l'AI Act disciplina il sistema AI in sé (qualità, trasparenza, supervisione, sicurezza tecnica). Per una PMI italiana significa che la AI Policy va integrata nelle policy GDPR esistenti, non sostituirle.

Chi è l'autorità competente in Italia?

L'Italia ha designato l'Agenzia per l'Italia Digitale (AgID) e l'Agenzia per la Cybersicurezza Nazionale (ACN) come autorità competenti per l'AI Act, con il Garante per la Protezione dei Dati Personali per i sistemi che trattano dati personali. La governance definitiva può evolvere nei prossimi mesi: vale la pena monitorare le comunicazioni AgID e Garante Privacy per aggiornamenti operativi.

Possiamo "aspettare e vedere" o serve agire ora?

Almeno l'AI literacy va attivata subito, perché è in vigore dal 2 febbraio 2025 e ogni mese di ritardo è una violazione in essere. Per il resto del cantiere (mappatura, classificazione, alto rischio) i 75 giorni alla deadline del 2 agosto 2026 sono il tempo realistico per arrivare pronti. Iniziare a luglio significa quasi certamente non farcela bene.

Microsoft Copilot e ChatGPT "coprono" l'AI Act?

OpenAI, Microsoft, Anthropic e Google stanno aggiornando le condizioni di servizio per recepire l'AI Act lato provider. Ma il deployer (cioè la tua PMI che li usa) mantiene comunque i propri obblighi sull'uso conforme, sulla supervisione umana, sulla AI literacy del personale e sulla classificazione del caso d'uso. Non puoi delegare la compliance al fornitore: ti aiuta sui suoi obblighi, ma i tuoi restano tuoi.

Cosa succede ai sistemi AI già in uso prima del 2026?

Il regime AI Act sui sistemi alto rischio già in commercio prima del 2 agosto 2026 si applica con flessibilità maggiore: la piena conformità è richiesta entro il 2 agosto 2027, e solo se il sistema subisce "modifiche significative" nel frattempo (interpretazione che la Commissione UE sta affinando). Per i nuovi sistemi alto rischio messi in commercio dopo il 2 agosto 2026 vale invece la conformità piena immediata.

L'AI Act ha sanzioni penali?

No, le sanzioni dirette dell'AI Act sono amministrative (multe pecuniarie). Ma una violazione AI Act che coinvolga dati personali può attivare sanzioni GDPR concorrenti, e una violazione che generi danni a terzi può attivare responsabilità civile o, in casi gravi, ipotesi di reato comune (truffa, falso, danno) attraverso il sistema di responsabilità ordinario. L'AI Act in sé è un regime amministrativo, non penale.


L'AI Act è il primo regolamento al mondo che disciplina in modo orizzontale l'intelligenza artificiale e l'Italia, come tutti gli Stati membri UE, si trova nei prossimi 75 giorni a dover preparare il proprio tessuto produttivo all'applicazione delle regole su sistemi alto rischio. Per la maggior parte delle PMI italiane gli obblighi reali sono gestibili con un investimento moderato di consulenza e formazione, ma richiedono un'azione concreta e non procrastinabile. Chi parte ora arriva pronto al 2 agosto 2026; chi parte a luglio quasi certamente no.

Approfondimenti correlati

Tutti i contenuti normativi citati sono verificati su fonti ufficiali (EUR-Lex, Commissione Europea, Agenda Digitale, AI Act Service Desk UE) a maggio 2026. Aggiornamenti rilevanti su designazione autorità italiane, linee guida AgID e nuove interpretazioni della Commissione saranno integrati in revisioni successive di questo articolo.

Torna al blog
Luca Sammarco

Scritto da

Luca Sammarco

Software house italiana indipendente da Milano. Costruisco piattaforme corsi proprietarie, dashboard custom, automazioni AI e siti web professionali per chi vende formazione, servizi B2B o prodotti digitali.

Parliamo della tua piattaforma →

Vuoi capire se i tuoi sistemi AI sono conformi all'AI Act?

Call gratuita di 30 minuti. Facciamo insieme la mappatura iniziale dei sistemi AI in uso nella tua PMI, capiamo quali rientrano nell'Allegato III alto rischio e quali no, e costruiamo una roadmap pratica per arrivare conformi al 2 agosto 2026. Niente fluff legale.

Prenota la call gratuita
Prossimo passo

Se ti riconosci in quello che hai appena letto, parliamone.

Non faccio presentazioni standard. Se il tuo progetto rientra nelle aree dove posso davvero darti valore, parliamo di come partire e di cosa ti serve. Risposta entro 24 ore.

Rispondo io, non un assistente
2-3 progetti nuovi l'anno, selezione ristretta
Risposta entro 24h, niente venditori