L'AI Act (Reg. UE 2024/1689) classifica i sistemi AI per livello di rischio. Le PMI italiane che usano AI ad alto rischio — selezione del personale, credit scoring, sicurezza — hanno obblighi vincolanti dal 2 agosto 2026.
In questa guida
Cos'è l'AI Act e perché conta per la tua PMI
Il Regolamento UE 2024/1689 — comunemente chiamato AI Act — è la prima legge al mondo che regolamenta l'intelligenza artificiale in modo organico. È entrato in vigore il 1° agosto 2024 e si applica gradualmente, con scadenze specifiche per categoria di rischio, fino al 2027.
L'AI Act non proibisce l'uso dell'AI. Introduce una classificazione basata sul livello di rischio: sistemi vietati (come il social scoring), sistemi ad alto rischio, sistemi a rischio limitato, e sistemi a rischio minimo. Per le PMI italiane, la domanda rilevante non è "ci riguarda?", ma "quale categoria si applica ai sistemi che usiamo o stiamo valutando?"
Secondo l'Osservatorio AI del Politecnico di Milano 2026, solo il 12% delle PMI italiane ha progetti AI in fase avanzata, contro il 72% delle grandi imprese. Questo gap non è solo tecnologico: molte PMI adottano soluzioni AI di terzi — software HR, strumenti di credit scoring, piattaforme di sicurezza — senza sapere che quelle soluzioni potrebbero rientrare nella categoria ad alto rischio dell'AI Act. L'ignoranza della norma non è un'esimente.
La consulenza AI strategica parte sempre da un'analisi del perimetro normativo, prima di qualsiasi decisione tecnologica. Se non sai da dove iniziare, inizia dall'inventario dei sistemi AI già in uso in azienda.
Le scadenze critiche: agosto 2026
Il calendario dell'AI Act è strutturato per dare tempo alle aziende di adeguarsi, ma le scadenze sono vincolanti:
| Data | Cosa scatta | A chi si applica |
|---|
| 1° agosto 2024 | Entrata in vigore del Regolamento | Tutti |
| 2 febbraio 2025 | Divieto sistemi AI vietati (Capo II) | Tutti — già in vigore |
| 2 agosto 2025 | Obblighi per modelli AI per uso generale (GPAI) | Provider di LLM e modelli fondazionali |
| 2 agosto 2026 | Piena applicazione sistemi ad alto rischio (Allegato III) | PMI che sviluppano o usano sistemi HR, credit, sicurezza |
| 2 agosto 2027 | Estensione ai sistemi AI integrati in prodotti (Allegato I) | Produttori di dispositivi con AI embedded |
La scadenza del 2 agosto 2026 è quella più rilevante per la maggior parte delle PMI italiane. Da quel giorno, chi usa o commercializza sistemi AI classificati ad alto rischio deve essere pienamente conforme, o rischia sanzioni amministrative significative previste dal Capo VIII del Regolamento.
Le sanzioni per violazioni degli obblighi sui sistemi ad alto rischio arrivano fino a 15 milioni di euro o il 3% del fatturato annuo globale (l'importo maggiore tra i due). Per i sistemi AI vietati la soglia sale a 35 milioni o 7% del fatturato (art. 99, Reg. UE 2024/1689).
Quali sistemi AI sono ad alto rischio
L'Allegato III del Reg. UE 2024/1689 elenca le categorie di sistemi ad alto rischio. Per le PMI italiane, le tre categorie più rilevanti sono selezione del personale, credit scoring e sicurezza di persone e infrastrutture.
Selezione del personale e HR
Qualsiasi sistema AI usato per scremare curricula, valutare candidati, monitorare le performance dei dipendenti o influenzare decisioni di promozione e licenziamento rientra nella categoria ad alto rischio. Include:
- Piattaforme HR con AI per il ranking automatico dei candidati
- Software di monitoraggio produttività con scoring automatico
- Strumenti di analisi comportamentale durante colloqui video
- Sistemi di previsione turnover basati su pattern comportamentali
Se stai usando o valutando uno di questi strumenti, la scadenza di agosto 2026 ti riguarda direttamente. Non basta che il fornitore dichiari la conformità: tu, come azienda che usa il sistema, hai obblighi propri.
Credit scoring e accesso ai servizi
I sistemi AI usati per valutare la solvibilità di persone fisiche — o per decidere l'accesso a servizi essenziali come credito, assicurazioni, mutui — sono ad alto rischio. Questo riguarda in particolare:
- Fintech e finanziarie con modelli predittivi per la concessione di credito
- Agenti assicurativi con strumenti AI per la profilazione del rischio cliente
- Piattaforme e-commerce che usano AI per condizioni personalizzate di pagamento rateale
Sicurezza di persone e infrastrutture
Sistemi AI usati nella gestione di reti idriche, elettriche, gas, trasporti o sicurezza fisica. Meno comune nelle PMI tipiche, ma rilevante per chi opera in utility, logistica complessa, facility management o produce dispositivi con AI embedded.
Un elemento spesso trascurato: la categoria di rischio dipende dall'uso concreto del sistema, non dalla tecnologia. Un chatbot generativo per il customer service non è ad alto rischio. Lo stesso sistema usato per pre-selezionare candidati HR, sì.
Se usi AI di terzi: obblighi del deployer
La distinzione più importante dell'AI Act per le PMI è quella tra provider (chi sviluppa e mette sul mercato il sistema AI) e deployer (chi usa un sistema AI sviluppato da altri). La maggior parte delle PMI italiane è un deployer: usa software HR, CRM con funzionalità AI, o strumenti di analisi prodotti da terzi.
Gli obblighi del deployer per i sistemi ad alto rischio sono meno gravosi di quelli del provider, ma non trascurabili:
- Verifica del fornitore: il software che usi deve avere la dichiarazione di conformità EU e il marchio CE. Non usare sistemi ad alto rischio senza documentazione del fornitore.
- Supervisione umana: devi garantire che le decisioni rilevanti siano revisionabili da un essere umano prima di produrre effetti concreti su persone.
- Uso nei limiti previsti: non modificare il sistema oltre le istruzioni del provider e non usarlo per scopi diversi da quelli dichiarati nella documentazione.
- Informativa agli utenti: se il sistema interagisce con persone fisiche, devi informarle che stanno interagendo con un sistema AI.
- Segnalazione incidenti seri: malfunzionamenti con impatto significativo devono essere notificati al fornitore e alle autorità competenti. In Italia, il Garante Privacy è l'autorità di controllo designata per diversi casi.
- Conservazione log: se hai accesso ai log di sistema, devi conservarli per il periodo previsto dalla norma.
In pratica: se compri un software HR con AI, il tuo fornitore dovrebbe già fornirti documentazione di conformità. Se non lo fa, o non sa cosa sia l'AI Act, è un segnale di rischio che va gestito prima di agosto 2026.
Il nostro audit AI aziendale include una verifica del perimetro normativo dei sistemi già in uso — esattamente per evitare che ti trovi esposto senza saperlo. Il metodo di audit e integrazione AI di AGNTS parte sempre dall'analisi di governance, non dalla scelta della tecnologia.
Se sviluppi AI: obblighi del provider
Se la tua PMI sviluppa internamente sistemi AI, o commissiona a terzi lo sviluppo su misura, sei un provider e hai obblighi significativamente più stringenti rispetto al deployer:
- Sistema di gestione del rischio: documentato e aggiornato durante tutto il ciclo di vita del sistema.
- Governance dei dati: pratiche documentate di qualità dei dati di training, validazione e test.
- Documentazione tecnica: descrizione completa del sistema, delle sue funzioni e dei test effettuati — conservata per 10 anni.
- Logging automatico: il sistema deve registrare gli eventi rilevanti per garantire la tracciabilità delle decisioni.
- Trasparenza: istruzioni d'uso chiare e complete per i deployer che utilizzeranno il sistema.
- Supervisione umana by design: il sistema deve essere progettato ab initio per permettere l'intervento e la supervisione umana.
- Accuratezza e robustezza: performance certificate con metriche specifiche appropriate alla categoria di rischio.
- Dichiarazione di conformità EU e marchio CE: obbligatoria prima della messa in commercio.
- Registrazione nel database EU: i sistemi ad alto rischio devono essere registrati nel database centralizzato gestito dall'AI Office europeo prima di essere messi in commercio.
Per le PMI che sviluppano AI internamente, la soluzione AI on-premise conforme include un'architettura progettata per facilitare la documentazione tecnica richiesta dall'AI Act — un vantaggio concreto rispetto a soluzioni cloud opache che non forniscono la visibilità necessaria sui dati di training e sul comportamento del modello.
Cosa fare concretamente entro agosto 2026
Con meno di tre mesi alla scadenza, il tempo c'è ma non va sprecato. Ecco una checklist operativa ordinata per priorità:
-
Mappa i sistemi AI in uso (entro 2 settimane)
Fai un inventario di tutti i software aziendali che usano funzionalità AI: piattaforme HR, CRM, strumenti di marketing, sistemi di sicurezza, software di contabilità. Chiedi ai fornitori se il loro prodotto rientra nell'Allegato III dell'AI Act.
-
Classifica il rischio per ogni sistema (entro 4 settimane)
Per ogni sistema in uso, verifica se la categoria d'utilizzo corrisponde all'Allegato III. In caso di dubbio, consulta un esperto: il "non sapevo" non è una difesa valida davanti al Garante Privacy o alla Camera di Commercio.
-
Verifica la conformità dei fornitori (entro 6 settimane)
Per i sistemi ad alto rischio, richiedi ai tuoi fornitori la dichiarazione di conformità EU, il marchio CE e la documentazione tecnica. Se non possono fornirla entro agosto 2026, devi valutare alternative già conformi.
-
Implementa la supervisione umana (entro agosto 2026)
Per ogni sistema ad alto rischio in uso, definisci chi è responsabile della supervisione delle decisioni automatizzate e come vengono revisionate prima di produrre effetti concreti sulle persone.
-
Aggiorna le informative privacy (entro agosto 2026)
Se i tuoi sistemi AI trattano dati personali — quasi sempre lo fanno — aggiorna le informative per includere il riferimento all'uso di sistemi AI e al diritto degli interessati a non essere soggetti a decisioni puramente automatizzate.
-
Forma il team coinvolto (in parallelo)
Chi usa i sistemi AI in azienda deve conoscere i limiti d'uso previsti dal fornitore, capire quando una decisione automatica richiede revisione umana, e sapere come segnalare un malfunzionamento.
Per le PMI che sviluppano AI internamente, aggiungere a questa lista la documentazione tecnica, il registro degli eventi, la procedura di segnalazione incidenti e la registrazione nel database EU. Se valuti investimenti in AI con incentivi pubblici, verifica la compatibilità con Piano Transizione 5.0 (crediti d'imposta su investimenti tecnologici, dettagli aggiornati su mimit.gov.it).
Gli errori più comuni da evitare
Lavorando con PMI italiane su questi temi, emergono quattro errori ricorrenti che andrebbero evitati:
-
Pensare che la compliance sia responsabilità del solo fornitore. Il deployer ha obblighi propri, anche se usa software di terzi. Non basta avere il marchio CE sul software acquistato: devi implementare la supervisione umana e rispettare i limiti d'uso specifici.
-
Confondere "AI generativa" con "AI ad alto rischio". Un chatbot basato su un LLM per il customer service non è ad alto rischio. Un sistema AI che valuta le performance dei dipendenti, sì. La categoria di rischio dipende dall'uso concreto, non dalla tecnologia sottostante.
-
Rimandare la mappatura dei sistemi. Molte PMI non sanno quanti dei loro software usano funzionalità AI. Spesso la scoperta che un sistema è ad alto rischio arriva tardi, quando i tempi per l'adeguamento si riducono pericolosamente. Inizia adesso, anche solo con un foglio Excel.
-
Trattare l'AI Act come un problema IT. È un problema di governance aziendale che coinvolge HR, legale, operations e la direzione. Il responsabile IT non può e non deve gestirlo da solo. Serve un referente trasversale con mandato formale.
L'articolo sugli agenti AI per PMI italiane 2026 descrive un approccio pratico per strutturare la governance AI in aziende con risorse limitate.
Prossimi passi: da dove iniziare
Se sei arrivato fin qui con la sensazione che "forse ci riguarda", è il momento di passare all'azione concreta. Non è necessario avere già un progetto AI attivo: la mappatura dei sistemi in uso richiede meno di una settimana e fornisce subito un quadro chiaro dell'esposizione normativa.
Per le PMI che stanno valutando nuovi investimenti in AI, l'AI Act non è solo un vincolo da rispettare: è un framework che aiuta a scegliere fornitori seri, progettare sistemi sostenibili e costruire fiducia con clienti e dipendenti. Le aziende che si adeguano anticipatamente hanno un vantaggio competitivo rispetto a quelle che aspettano agosto 2026 e scoprono di essere esposte.
Se vuoi un punto di partenza strutturato prima di affrontare la compliance, l'articolo su AI per PMI strutturate italiane descrive come valutare la maturità AI della tua azienda e impostare una roadmap realistica.
Vuoi sapere dove la tua PMI è esposta rispetto all'AI Act?
La nostra AI Integration Review gratuita include un'analisi del perimetro normativo dei sistemi in uso: ricevi un quadro chiaro degli obblighi che ti riguardano e dei passi concreti per adeguarti entro agosto 2026, senza impegno e senza tecnicismi.
Richiedi una AI Integration Review