Italian Hackathon League  · Leggi su La Stampa →
Guida

AI Act 2026: guida completa alla compliance per le aziende italiane

Scadenze, obblighi di trasparenza, sanzioni dell'articolo 99 e la roadmap in 7 azioni per arrivare preparato al 2 agosto 2026, con AI Omnibus e Legge 132/2025 incluse.

Aggiornata: Marzo 202615 min di lettura

1. AI Act 2026 in breve

Il 2 agosto 2026 l'AI Act, ovvero il Regolamento (UE) 2024/1689, diventa pienamente applicabile in tutta l'Unione Europea. Scattano gli obblighi di trasparenza dell'articolo 50, mentre divieti e AI literacy sono già in vigore dal 2 febbraio 2025. Le sanzioni arrivano fino a 35 milioni di euro o al 7% del fatturato mondiale. Questa guida spiega cosa fare, entro quando e con quali priorità.

2. Cos'è l'AI Act: il Regolamento (UE) 2024/1689 in breve

L'AI Act è il regolamento europeo sull'intelligenza artificiale, pubblicato in Gazzetta Ufficiale dell'Unione Europea il 12 luglio 2024 ed entrato in vigore il 1° agosto 2024, come riporta la Commissione Europea. Essendo un regolamento, si applica direttamente in Italia senza bisogno di recepimento. Riguarda chi sviluppa, distribuisce o utilizza sistemi di AI nel mercato europeo.

Il punto che molti CEO sottovalutano è proprio questo: l'AI Act vale anche per chi l'intelligenza artificiale la usa soltanto. Se la tua azienda impiega un chatbot per il customer care, un sistema di screening dei CV o un tool di analisi predittiva, sei un "deployer" e hai obblighi specifici. La normativa adotta un approccio basato sul rischio: più il sistema può incidere su diritti e sicurezza delle persone, più stringenti sono i requisiti.

In pratica il regolamento distingue tra pratiche vietate (articolo 5), sistemi ad alto rischio (con i casi d'uso elencati negli allegati, dalla biometria all'occupazione, dall'istruzione alle infrastrutture critiche, fino ai sistemi integrati in prodotti regolamentati come dispositivi medici, macchinari e veicoli), sistemi soggetti a obblighi di trasparenza (articolo 50) e modelli di AI per finalità generali, i cosiddetti GPAI come i grandi modelli linguistici.

Per un'azienda italiana il quadro si completa con la Legge n. 132/2025, la legge nazionale sull'intelligenza artificiale che vedremo più avanti, e con il regime sanzionatorio dell'articolo 99, che merita un capitolo a parte.

3. La timeline dell'AI Act: tutte le scadenze dal 2025 al 2028

L'AI Act si applica in modo graduale. I divieti e l'obbligo di AI literacy sono scattati il 2 febbraio 2025, le regole sui modelli GPAI il 2 agosto 2025, l'applicazione generale arriva il 2 agosto 2026. Per i sistemi ad alto rischio le scadenze sono state riviste dalla proposta AI Omnibus, con orizzonte fino al 2028.

Ecco il calendario completo, ricostruito sulla base delle fonti della Commissione Europea e dell'analisi di Vega Engineering. La lettura corretta è semplice: gran parte degli obblighi che riguardano una PMI italiana è già in vigore oppure scatta nel 2026. Chi aspetta la "piena operatività" del 2 agosto 2026 per iniziare a muoversi è già in ritardo su due fronti, divieti e formazione, attivi da febbraio 2025.

DataCosa scatta
2 febbraio 2025Divieto delle pratiche AI vietate (art. 5) e obbligo di AI literacy (art. 4)
2 agosto 2025Regole sui modelli GPAI, governance istituzionale, regime sanzionatorio
2 agosto 2026Applicazione generale del regolamento e obblighi di trasparenza (art. 50)
2 agosto 2027Termine del periodo di adeguamento per i modelli AI già sul mercato prima del 2 agosto 2025
2 agosto 2028Sistemi ad alto rischio integrati in prodotti regolamentati (Allegato I: dispositivi medici, macchinari, veicoli), per effetto della proroga AI Omnibus

4. Cosa cambia il 2 agosto 2026 per le aziende italiane

Il 2 agosto 2026 segna l'applicazione generale del Regolamento (UE) 2024/1689. Da quella data il quadro normativo è pienamente operativo e diventano applicabili gli obblighi di trasparenza dell'articolo 50, che riguardano da vicino chiunque usi chatbot, contenuti generati con AI o sistemi che interagiscono con le persone. Vediamo cosa significa nella pratica per un'azienda italiana di medie dimensioni.

Primo: la trasparenza. L'articolo 50 impone di informare le persone quando interagiscono con un sistema di intelligenza artificiale e quando i contenuti sono generati o manipolati artificialmente. Se il tuo sito ha un assistente virtuale, l'utente deve sapere che sta parlando con una macchina. Se pubblichi contenuti sintetici, servono indicazioni adeguate.

Secondo: la piena operatività del regolamento significa che da quel momento l'intero impianto, inclusi i poteri delle autorità di vigilanza, è attivo. In Italia, come vedremo, la vigilanza spetta all'ACN, con poteri ispettivi e sanzionatori.

Terzo: restano pienamente valide le scadenze già passate. I divieti dell'articolo 5 sono in vigore dal 2 febbraio 2025, insieme all'obbligo di AI literacy dell'articolo 4: il personale che usa sistemi di AI deve avere un livello adeguato di alfabetizzazione sull'intelligenza artificiale. Questo è un obbligo formativo che molte aziende italiane stanno ancora ignorando.

Un'avvertenza importante, segnalata anche da Agenda Digitale nell'analisi del Digital Omnibus: la proposta di semplificazione europea non tocca la data del 2 agosto 2026 per trasparenza, divieti e AI literacy. Quella scadenza rimane pienamente operativa. Gli slittamenti riguardano solo i sistemi ad alto rischio, come spieghiamo nella sezione dedicata all'AI Omnibus.

5. Le sanzioni dell'AI Act: l'articolo 99 e cosa rischia la tua azienda

L'articolo 99 del Regolamento (UE) 2024/1689 prevede tre livelli sanzionatori. Si va da 7,5 milioni di euro per informazioni false alle autorità fino a 35 milioni di euro, o al 7% del fatturato mondiale annuo, per le pratiche vietate. Per PMI e startup vale un principio di proporzionalità che riduce l'esposizione.

Ecco il dettaglio, come ricostruito dalle analisi di Vega Engineering e DAgostino Lex:

ViolazioneSanzione massima
Pratiche AI vietate (art. 5)35 milioni di euro o 7% del fatturato mondiale annuo, il maggiore dei due
Altri obblighi del regolamento15 milioni di euro o 3% del fatturato mondiale annuo, il maggiore dei due
Informazioni false o fuorvianti alle autorità7,5 milioni di euro o 1% del fatturato mondiale annuo, il maggiore dei due

6. Sanzioni e PMI: come funziona il principio di proporzionalità

C'è un elemento che ogni founder di PMI deve conoscere: per PMI e startup si applica il minore tra l'importo fisso e la percentuale sul fatturato. È il principio di proporzionalità previsto dal regolamento. Per un'azienda da qualche milione di fatturato l'esposizione massima si calcola quindi sulla percentuale, con cifre molto più contenute dei massimali assoluti.

Attenzione comunque a leggere questa mitigazione nel modo giusto. Anche il 3% del fatturato annuo, sommato al danno reputazionale e al blocco di un sistema su cui l'azienda ha costruito processi operativi, è un rischio che nessun consiglio di amministrazione può ignorare. La compliance conviene anche dal punto di vista puramente economico.

7. AI Omnibus: cosa slitta davvero e cosa resta confermato

L'AI Omnibus è la proposta di semplificazione adottata dalla Commissione Europea il 17 novembre 2025, su cui il Parlamento Europeo ha adottato la propria posizione negoziale nel corso della seconda sessione plenaria di marzo 2026 e su cui è stato raggiunto un accordo politico il 7 maggio 2026. Sposta in avanti solo le scadenze dei sistemi ad alto rischio.

Le nuove date previste dall'accordo, secondo le ricostruzioni di The Integrity Times e Agenda Digitale, sono due:

  • Allegato III (biometria, istruzione, occupazione, infrastrutture critiche e altri casi d'uso ad alto rischio): nuova scadenza al 2 dicembre 2027
  • Allegato I (sistemi AI integrati in prodotti regolamentati come dispositivi medici, macchinari e veicoli): nuova scadenza al 2 agosto 2028

8. Le due precisazioni da non perdere sull'AI Omnibus

La prima: al momento delle nostre verifiche il testo definitivo del regolamento di modifica non risulta ancora formalmente pubblicato in Gazzetta Ufficiale. L'accordo politico c'è, la pubblicazione formale va monitorata.

La seconda, ancora più importante: la data del 2 agosto 2026 rimane pienamente operativa per gli obblighi di trasparenza dell'articolo 50, per i divieti e per l'AI literacy. Chi interpreta l'AI Omnibus come un rinvio generale dell'AI Act commette un errore che può costare caro. Slittano solo gli obblighi sui sistemi ad alto rischio, tutto il resto procede secondo il calendario originale.

Perché la Commissione ha proposto la proroga? Una delle motivazioni ufficiali è il ritardo degli standard tecnici armonizzati. Gli standard elaborati da CEN-CENELEC JTC21, che dovrebbero guidare l'implementazione dei requisiti per l'alto rischio, sono indietro: il primo, il prEN 18286 sui sistemi di gestione della qualità correlati all'AI, ha chiuso la fase di inchiesta solo a gennaio 2026 e il pacchetto completo è atteso per il quarto trimestre 2026, come riportato da SendApp e Agenda Digitale. Senza standard armonizzati, dimostrare la conformità per i sistemi ad alto rischio è oggettivamente più complesso, e l'Europa ne ha preso atto.

9. La legge italiana sull'AI: cosa prevede la Legge 132/2025

L'Italia ha approvato la Legge n. 132 del 23 settembre 2025, in vigore dal 10 ottobre 2025. Secondo il Dipartimento per la Trasformazione Digitale è il primo quadro normativo nazionale in Europa allineato all'AI Act. Designa AgID e ACN come autorità competenti e attiva un programma di investimenti da 1 miliardo di euro.

Le autorità di riferimento sono definite. La legge assegna i ruoli a due agenzie: AgID, l'Agenzia per l'Italia Digitale, si occupa di promozione, notifiche e accreditamento degli organismi di valutazione della conformità; ACN, l'Agenzia per la Cybersicurezza Nazionale, ha invece compiti di vigilanza, poteri ispettivi e sanzionatori. Tradotto: quando l'AI Act sarà pienamente applicato, i controlli in Italia passeranno da ACN. Sapere chi vigila aiuta a capire come prepararsi.

Ci sono risorse per chi investe. La legge attiva un programma di investimenti da 1 miliardo di euro a favore di startup e PMI nei campi dell'intelligenza artificiale, della cybersicurezza e delle tecnologie emergenti, come comunicato dal Dipartimento per la Trasformazione Digitale. Per una PMI che sta valutando progetti AI, il messaggio del legislatore è chiaro: la compliance va accompagnata all'investimento, con strumenti pubblici a supporto.

Il quadro nazionale ed europeo vanno letti insieme. La legge italiana si muove dentro il perimetro dell'AI Act. Una strategia di compliance seria parte dal regolamento europeo e verifica poi gli aspetti nazionali, dalle autorità competenti alle opportunità di finanziamento, dentro un framework di AI governance strutturato.

10. Roadmap di compliance: le 7 azioni da completare prima del 2 agosto 2026

La preparazione all'AI Act si gioca su pochi passaggi essenziali: mappare i sistemi AI in uso, classificarli per rischio, eliminare le pratiche vietate, formare il personale, predisporre la trasparenza, assegnare responsabilità interne e presidiare l'evoluzione normativa. Ecco la sequenza che consigliamo ai CEO delle PMI italiane.

  • 1. Censisci tutti i sistemi di AI in azienda. Inclusi quelli "nascosti": il modulo AI del CRM, il tool di marketing automation, il plugin che scrive le email commerciali. Senza inventario non esiste compliance. È il passo zero e nella nostra esperienza è quello che riserva più sorprese.
  • 2. Classifica ogni sistema secondo le categorie del regolamento. Per ciascun sistema chiediti: rientra tra le pratiche vietate dell'articolo 5? È un caso d'uso ad alto rischio degli allegati? Ricade negli obblighi di trasparenza dell'articolo 50? La classificazione determina gli obblighi e le scadenze applicabili.
  • 3. Verifica subito l'assenza di pratiche vietate. Il divieto è in vigore dal 2 febbraio 2025 e comporta la fascia sanzionatoria più alta dell'articolo 99, fino a 35 milioni di euro o al 7% del fatturato mondiale. È la priorità assoluta.
  • 4. Attiva un programma di AI literacy. L'articolo 4 richiede un livello adeguato di alfabetizzazione AI per il personale che usa questi sistemi, ed è in vigore anch'esso dal 2 febbraio 2025. Una formazione documentata, con registri di partecipazione, è anche la prova della tua diligenza in caso di controlli.
  • 5. Prepara gli adempimenti di trasparenza per il 2 agosto 2026. Informative sui chatbot, etichettatura dei contenuti generati con AI, comunicazioni chiare agli utenti. È la scadenza centrale del 2026 e l'AI Omnibus non la sposta.
  • 6. Assegna ruoli e responsabilità interne. Serve un referente per la governance AI, anche in una PMI. Qualcuno deve mantenere l'inventario, presidiare i fornitori, aggiornare le valutazioni quando un sistema cambia, a partire da una AI policy aziendale scritta. La compliance AI è un processo continuo, una checklist compilata una volta sola non basta.
  • 7. Monitora gli sviluppi normativi e gli standard tecnici. La pubblicazione formale dell'AI Omnibus in Gazzetta Ufficiale, gli standard CEN-CENELEC attesi per il quarto trimestre 2026, le indicazioni operative di AgID e ACN. Se i tuoi sistemi rientrano nell'alto rischio, le nuove scadenze 2027 e 2028 ti danno tempo prezioso: usalo per adeguarti con metodo anziché rimandare.

11. Chi è coinvolto: provider, deployer e fornitori

L'AI Act distingue i ruoli lungo la catena del valore: chi sviluppa e immette sul mercato un sistema AI ha gli obblighi più ampi, mentre chi lo utilizza in ambito professionale ha comunque responsabilità proprie, dalla trasparenza alla formazione del personale. Nessuna azienda che usa AI può considerarsi fuori dal perimetro. Un consiglio trasversale: documenta tutto. Inventario, classificazioni, formazione erogata, informative pubblicate. In un eventuale controllo, la capacità di dimostrare un percorso strutturato fa la differenza tra un rilievo gestibile e una sanzione.

Per una PMI italiana il caso più frequente è quello del deployer: l'azienda compra o sottoscrive in abbonamento strumenti AI sviluppati da terzi. Anche in questo scenario gli obblighi esistono. L'AI literacy dell'articolo 4 riguarda il tuo personale, le informative di trasparenza dell'articolo 50 riguardano i tuoi clienti, il divieto delle pratiche dell'articolo 5 riguarda l'uso che fai degli strumenti, a prescindere da chi li ha sviluppati.

Questo sposta l'attenzione anche sulla gestione dei fornitori. Prima di adottare un nuovo tool AI conviene chiedere documentazione sulla conformità, capire in quale categoria di rischio ricade e prevedere clausole contrattuali adeguate. Un fornitore che oggi sa rispondere con precisione a domande sull'AI Act è un fornitore su cui costruire. Uno che minimizza il tema è un rischio che ti porti in casa.

Un ultimo punto sui modelli GPAI: le regole sui modelli per finalità generali sono in vigore dal 2 agosto 2025 e riguardano principalmente chi quei modelli li sviluppa. Per chi li integra nei propri prodotti o processi, la priorità è verificare come il fornitore del modello gestisce i propri obblighi e cosa questo significa per la catena di responsabilità.

12. Vuoi arrivare preparato al 2 agosto 2026?

Yellow Tech affianca le aziende italiane nel percorso di adeguamento all'AI Act: assessment dei sistemi in uso, classificazione del rischio, formazione AI literacy per il personale e governance continuativa. Ogni progetto parte da un'analisi della tua situazione e da un preventivo su misura. Contattaci per una prima consulenza e definiamo insieme la roadmap verso la conformità.

Domande frequenti

Cos'è l'AI Act in una frase?+

È il Regolamento (UE) 2024/1689 sull'intelligenza artificiale, pubblicato in Gazzetta Ufficiale UE il 12 luglio 2024 e in vigore dal 1° agosto 2024, che disciplina sviluppo e uso dei sistemi AI con un approccio basato sul rischio.

Quando entra pienamente in vigore l'AI Act?+

Il regolamento è già in vigore dal 1° agosto 2024 e si applica in modo graduale. L'applicazione generale scatta il 2 agosto 2026, mentre divieti e AI literacy sono operativi dal 2 febbraio 2025 e le regole sui GPAI dal 2 agosto 2025.

La scadenza del 2 agosto 2026 è stata rinviata dall'AI Omnibus?+

No. L'AI Omnibus sposta solo le scadenze dei sistemi ad alto rischio, al 2 dicembre 2027 per l'Allegato III e al 2 agosto 2028 per l'Allegato I. Trasparenza, divieti e AI literacy restano sul calendario originale.

L'EU AI Act si applica anche a chi usa solo ChatGPT o tool AI di terzi?+

Sì. Chi utilizza sistemi AI in ambito professionale è un deployer e ha obblighi propri, a partire dall'AI literacy del personale (art. 4) e dagli obblighi di trasparenza (art. 50) applicabili dal 2 agosto 2026.

Quali sono le sanzioni massime previste?+

L'articolo 99 prevede fino a 35 milioni di euro o il 7% del fatturato mondiale per le pratiche vietate, 15 milioni o il 3% per gli altri obblighi, 7,5 milioni o l'1% per informazioni false alle autorità.

Le PMI rischiano le stesse sanzioni delle grandi aziende?+

No. Per PMI e startup si applica il minore tra l'importo fisso e la percentuale sul fatturato, in base al principio di proporzionalità previsto dal regolamento.

Cosa prevede la legge italiana sull'intelligenza artificiale?+

La Legge 132/2025, in vigore dal 10 ottobre 2025, è il primo quadro nazionale in Europa allineato all'AI Act. Designa AgID e ACN come autorità competenti e attiva un programma di investimenti da 1 miliardo di euro per startup e PMI.

Chi controlla il rispetto dell'AI Act in Italia?+

La vigilanza, le ispezioni e i poteri sanzionatori spettano all'ACN, l'Agenzia per la Cybersicurezza Nazionale. AgID si occupa di promozione, notifiche e accreditamento degli organismi di valutazione della conformità.

Cos'è l'obbligo di AI literacy?+

L'articolo 4 del regolamento richiede che il personale che utilizza sistemi AI abbia un livello adeguato di alfabetizzazione sull'intelligenza artificiale. L'obbligo è in vigore dal 2 febbraio 2025.

Cosa sono i sistemi AI ad alto rischio?+

Sono i casi d'uso elencati negli allegati del regolamento: l'Allegato III copre ambiti come biometria, istruzione, occupazione e infrastrutture critiche, l'Allegato I i sistemi integrati in prodotti regolamentati come dispositivi medici, macchinari e veicoli.

Cosa sono i modelli GPAI?+

Sono i modelli di AI per finalità generali, come i grandi modelli linguistici. Le regole che li riguardano sono applicabili dal 2 agosto 2025, con un periodo di adeguamento fino al 2 agosto 2027 per i modelli già sul mercato prima del 2 agosto 2025.

Perché gli standard tecnici sono importanti per la compliance?+

Gli standard armonizzati CEN-CENELEC guideranno la dimostrazione di conformità per i sistemi ad alto rischio. Il primo, il prEN 18286, ha chiuso l'inchiesta a gennaio 2026 e il pacchetto completo è atteso per il quarto trimestre 2026. Il ritardo è tra le motivazioni ufficiali della proroga proposta dalla Commissione.

Da dove conviene iniziare il percorso di AI compliance?+

Dall'inventario dei sistemi AI in uso e dalla loro classificazione per rischio. Da lì discendono priorità, obblighi e scadenze applicabili alla tua azienda.

Yellow Tech

Vuoi capire come l'AI può aiutare la tua azienda?

Parliamo. 500+ organizzazioni italiane si sono già affidate a Yellow Tech per la trasformazione AI.

Richiedi una consulenzaScopri AI AdoptionScopri AI Agents

Guide correlate

AI Act: Guida Completa per Aziende ItalianeAI Governance e Compliance: Framework per AziendeClassificazione del Rischio AI secondo l'AI ActCome Scrivere una AI Policy Aziendale: Guida e TemplateGDPR e Intelligenza Artificiale: Guida alla ComplianceFormazione AI Aziendale: Come Preparare il Team all'Intelligenza Artificiale

Utilizziamo cookie tecnici necessari e, con il tuo consenso, cookie analitici e di marketing. Puoi scegliere quali categorie accettare. Leggi la Cookie Policy e la Privacy Policy.