AI Act europeo: cosa cambia per le PMI che usano l'intelligenza artificiale nel 2026

L'AI Act, il regolamento europeo sull'intelligenza artificiale, è entrato in vigore nel 2024 e si applica per gradi. La data più importante per le imprese è il 2 agosto 2026, quando il regolamento diventa applicabile in via generale. Se la tua PMI usa strumenti di AI, da ChatGPT ai chatbot sul sito, fino ai software con funzioni di intelligenza artificiale, questa guida spiega in modo pratico cosa cambia e cosa fare, senza allarmismi. Una premessa doverosa: questo articolo è informativo e non sostituisce una consulenza legale.
Che cos'è l'AI Act
L'AI Act è il Regolamento (UE) 2024/1689, la prima legge organica al mondo sull'intelligenza artificiale. Essendo un regolamento europeo, si applica direttamente in tutti i Paesi dell'Unione, Italia compresa, senza bisogno di leggi nazionali di recepimento. L'obiettivo è rendere l'AI sicura e trasparente, proteggendo diritti e consumatori senza bloccare l'innovazione.
Il punto chiave da capire è che l'AI Act non regola "l'AI" in astratto: regola gli usi dell'AI, con obblighi proporzionati al rischio di ciascun uso.
Il calendario: le date da segnare
L'applicazione è scaglionata su più anni:
- 2 febbraio 2025: sono scattati i divieti sulle pratiche di AI inaccettabili (come la manipolazione dannosa o il social scoring) e gli obblighi di alfabetizzazione all'AI per chi la utilizza.
- 2 agosto 2025: sono entrate in applicazione le regole per i modelli di AI per finalità generali (GPAI), quelli alla base di strumenti come i grandi chatbot generativi. Gli obblighi ricadono sui fornitori dei modelli.
- 2 agosto 2026: il regolamento diventa applicabile in via generale, inclusa la gran parte delle regole sui sistemi ad alto rischio. È la data che interessa più da vicino le imprese.
- 2 agosto 2027: completamento dell'applicazione per i sistemi ad alto rischio integrati in prodotti già soggetti ad altre normative europee.
L'approccio basato sul rischio: i quattro livelli
L'AI Act classifica i sistemi di intelligenza artificiale in quattro categorie:
- Rischio inaccettabile: pratiche vietate del tutto, come i sistemi di manipolazione dannosa o il punteggio sociale. Nessuna impresa può usarle.
- Alto rischio: sistemi usati in ambiti sensibili come selezione del personale, accesso al credito, istruzione, dispositivi medici. Richiedono requisiti severi: gestione del rischio, qualità dei dati, supervisione umana, documentazione.
- Rischio limitato: sistemi che interagiscono con le persone o generano contenuti, come i chatbot. L'obbligo principale è la trasparenza: le persone devono sapere che stanno parlando con un'AI o che un contenuto è stato generato artificialmente.
- Rischio minimo: la stragrande maggioranza delle applicazioni, come filtri antispam o suggerimenti di prodotto. Nessun obbligo specifico.
La buona notizia per la maggior parte delle PMI è proprio qui: gli usi tipici dell'AI in una piccola impresa, come assistenti per scrivere testi, chatbot informativi e automazioni di processo, rientrano quasi sempre nel rischio minimo o limitato.
Utilizzatore o fornitore: qual è il tuo ruolo
Gli obblighi dipendono dal ruolo. Il fornitore è chi sviluppa e mette sul mercato un sistema di AI; il deployer (utilizzatore professionale) è chi lo usa nella propria attività. Una PMI che usa strumenti di AI di terze parti è quasi sempre un utilizzatore: gli obblighi più pesanti restano in capo ai fornitori, ma l'impresa resta responsabile di come usa lo strumento, dei dati che ci inserisce e della correttezza verso clienti e dipendenti.
Attenzione a un caso particolare: se personalizzi in modo sostanziale un sistema di AI o lo rivendi con il tuo marchio, puoi assumere responsabilità da fornitore. In questi casi conviene farsi affiancare da chi conosce la materia.
Gli obblighi concreti per una PMI
Tradotto in pratica, per la maggior parte delle piccole e medie imprese gli adempimenti si concentrano su tre fronti:
- Alfabetizzazione all'AI: chi in azienda usa strumenti di intelligenza artificiale deve avere una formazione adeguata sul loro funzionamento, i limiti e i rischi. Già in vigore da febbraio 2025.
- Trasparenza: se usi un chatbot con i clienti, deve essere chiaro che si tratta di un assistente virtuale. Se pubblichi contenuti generati o alterati dall'AI in modo significativo, come i deepfake, vanno dichiarati come tali.
- Censimento e buon senso: sapere quali strumenti di AI usa la tua azienda, per cosa, con quali dati. È la base per capire se qualcuno dei tuoi usi ricade in una categoria regolata.
Chatbot e contenuti generati: il dovere di trasparenza
È il punto che tocca più da vicino chi fa marketing e comunicazione. Se sul tuo sito c'è un chatbot AI, l'utente deve poter capire che sta interagendo con una macchina: basta dichiararlo nell'interfaccia. Chi realizza chatbot professionali, come facciamo noi con i chatbot AI, integra la trasparenza già nel design dell'assistente. Per i contenuti, l'obbligo riguarda i casi in cui l'AI genera o manipola contenuti che potrebbero sembrare reali: un'immagine fotorealistica sintetica va segnalata, un testo di supporto redatto con l'aiuto dell'AI e rivisto da una persona no.
Come prepararsi al 2 agosto 2026: una checklist ragionata
- Censisci gli strumenti: elenca dove l'AI è già in uso in azienda, inclusi gli strumenti usati dai singoli collaboratori.
- Classifica gli usi: per ciascuno, chiediti se interagisce con persone, se tratta dati personali, se incide su decisioni importanti (assunzioni, credito, salute). Nella maggior parte dei casi la risposta ti dirà che sei nel rischio minimo o limitato.
- Sistema la trasparenza: chatbot dichiarati, contenuti sintetici etichettati quando serve.
- Forma il team: anche una formazione interna breve e documentata sull'uso corretto degli strumenti è un passo nella direzione giusta.
- Scegli fornitori affidabili: per i sistemi che compri, verifica che il fornitore dichiari la conformità all'AI Act e al GDPR.
- Rivolgiti a un professionista per i casi dubbi, soprattutto se operi in ambiti sensibili come sanità, credito o selezione del personale.
Le sanzioni, senza allarmismi
Il regolamento prevede sanzioni importanti, fino a 35 milioni di euro o al 7% del fatturato globale annuo per le violazioni più gravi, cioè l'uso delle pratiche vietate. Per gli altri obblighi le sanzioni sono più contenute e il regolamento prevede espressamente proporzionalità verso le PMI. La strada giusta non è la paura: è usare l'AI con consapevolezza, documentando le scelte fatte.
Domande frequenti
L'AI Act si applica anche alle piccole imprese?
Sì, si applica a chiunque sviluppi o utilizzi sistemi di AI nell'Unione Europea, ma gli obblighi sono proporzionati al rischio dell'uso. La maggior parte degli strumenti usati dalle PMI rientra nelle categorie a rischio minimo o limitato, con adempimenti leggeri come la trasparenza dei chatbot.
Uso ChatGPT o strumenti simili in azienda: cosa devo fare?
Gli obblighi sui modelli generativi ricadono principalmente sui fornitori. Come impresa utilizzatrice devi usare gli strumenti in modo consapevole: formare chi li usa, non inserire dati riservati senza criterio e rivedere i contenuti prima di pubblicarli.
Il chatbot sul mio sito è a rischio?
Un chatbot informativo rientra tipicamente nel rischio limitato: l'obbligo principale è la trasparenza, cioè far capire all'utente che sta parlando con un assistente virtuale. Un chatbot ben progettato lo dichiara già nell'interfaccia.
Quali sanzioni rischia una PMI?
Le sanzioni massime, fino a 35 milioni di euro o al 7% del fatturato globale, riguardano le violazioni più gravi come l'uso di pratiche vietate. Per gli altri obblighi le sanzioni sono inferiori e il regolamento prevede proporzionalità verso le piccole e medie imprese.
Da quando devo essere in regola?
I divieti e gli obblighi di alfabetizzazione all'AI sono già in vigore dal 2 febbraio 2025, le regole sui modelli per finalità generali dal 2 agosto 2025. Il regolamento diventa applicabile in via generale dal 2 agosto 2026, con completamento nel 2027 per alcuni sistemi ad alto rischio.
L'AI Act sostituisce il GDPR?
No, si affiancano: il GDPR regola il trattamento dei dati personali, l'AI Act regola i sistemi di intelligenza artificiale. Un progetto AI ben fatto deve rispettarli entrambi.
Guide correlate
Vuoi usare l'AI in azienda in modo sicuro e utile?
Progettiamo chatbot, automazioni e integrazioni AI trasparenti e conformi, pensate per portare risultati concreti. Scopri i nostri servizi AI o richiedi una consulenza gratuita.
Richiedi una consulenza gratuita →