1. AI Act compliance in breve
La AI Act compliance significa rendere i sistemi di intelligenza artificiale usati dalla tua azienda conformi al Regolamento (UE) 2024/1689, entrato in vigore il 1 agosto 2024. In pratica devi classificare i tuoi sistemi AI per livello di rischio, rispettare le scadenze previste e prepararti a obblighi di trasparenza e governance. Questa guida ti dà una checklist operativa in 10 passi e si collega alla nostra guida completa all'AI Act 2026.
2. Cos'è l'AI Act e perché riguarda anche la tua PMI
L'AI Act è il Regolamento (UE) 2024/1689, pubblicato in Gazzetta Ufficiale dell'Unione Europea il 12 luglio 2024 ed entrato in vigore il 1 agosto 2024, come riportano Cybersecurity360 e Digitalic. Non è una direttiva da recepire Stato per Stato. È un regolamento direttamente applicabile in tutti i 27 Paesi UE, con portata extraterritoriale: vale anche per chi vende prodotti AI nel mercato europeo dall'estero.
Questo punto cambia molto per le PMI italiane. Non serve aspettare una legge nazionale di recepimento. Il testo europeo si applica già oggi e le sue regole entrano in vigore in modo scaglionato, secondo un calendario preciso. Secondo Digitalic, la portata extraterritoriale estende gli obblighi anche ai fornitori extra-UE che immettono sistemi AI sul mercato europeo, quindi un'azienda italiana che integra strumenti di un vendor americano resta comunque nel perimetro della norma.
Molti imprenditori pensano che l'AI Act riguardi solo i grandi laboratori che sviluppano modelli. Non è così. La norma classifica i sistemi in base all'uso e al rischio, non in base alle dimensioni di chi li sviluppa. Una PMI che usa un software di screening dei curriculum, un sistema di credit scoring o un chatbot rivolto ai clienti rientra nel campo di applicazione. Per questo la prima domanda da farsi non è "siamo grandi abbastanza per essere coinvolti", ma "quali sistemi AI usiamo e in che categoria di rischio rientrano".
3. Le quattro categorie di rischio in breve
L'AI Act lavora su una logica a piramide. Più alto è il rischio per i diritti delle persone, più stringenti sono gli obblighi.
- Rischio inaccettabile: pratiche vietate (art. 5), come alcune forme di manipolazione o social scoring.
- Alto rischio: sistemi elencati negli Allegati del regolamento, ad esempio in ambito occupazione, credito, sanità.
- Rischio limitato: sistemi soggetti soprattutto a obblighi di trasparenza, come chatbot e contenuti generati.
- Rischio minimo: la maggior parte delle applicazioni comuni, senza obblighi specifici.
4. Le scadenze dell'AI Act aggiornate al 2026
Le scadenze dell'AI Act seguono il calendario dell'articolo 113 del Regolamento 2024/1689 e potrebbero essere in parte rinviate dal pacchetto Digital Omnibus, attualmente in corso di adozione definitiva. Alcuni obblighi sono già in vigore dal 2025, mentre quelli più pesanti sui sistemi ad alto rischio sarebbero posticipati tra fine 2027 e il 2028. Il rinvio non cancella nulla, sposta solo le date.
Ecco il quadro completo, basato sui dati di Vega Engineering e Cyberness, integrati con l'aggiornamento del Digital Omnibus riportato da AI4Business e Tom's Hardware Italia.
| Data | Obbligo |
|---|---|
| 2 febbraio 2025 | Divieto dei sistemi AI a rischio inaccettabile (art. 5), già in vigore |
| 2 agosto 2025 | Regole per i modelli GPAI, AI per uso generale, già in vigore |
| 2 agosto 2026 | Obblighi di trasparenza, governance nazionale e prime regole sui sistemi ad alto rischio |
| 2 dicembre 2027 | Sistemi ad alto rischio dell'Allegato III, rinvio previsto dal Digital Omnibus |
| 2 agosto 2028 | Sistemi ad alto rischio dell'Allegato I, prodotti soggetti a normative settoriali come dispositivi medici e veicoli |
5. Cosa è cambiato con il Digital Omnibus
Il 26 marzo 2026 il Parlamento Europeo ha approvato la propria posizione negoziale sul pacchetto Digital Omnibus con 569 voti favorevoli, 45 contrari e 23 astenuti, come documentano AI4Business e Tom's Hardware Italia. Al momento della redazione risulta un accordo provvisorio tra Parlamento e Consiglio del 7 maggio 2026, ma mancano ancora la revisione legale-linguistica, l'approvazione formale definitiva e la pubblicazione in Gazzetta Ufficiale UE: le nuove scadenze non sono quindi ancora formalmente vincolanti. Il provvedimento, una volta adottato in via definitiva, rinvierebbe le scadenze per i sistemi ad alto rischio: quelli dell'Allegato III slitterebbero al 2 dicembre 2027, quelli dell'Allegato I al 2 agosto 2028.
Il messaggio per le aziende è chiaro. Il rinvio dà più tempo per organizzarsi, ma non elimina gli obblighi. Chi interpreta lo slittamento come un via libera a rimandare ogni attività rischia di trovarsi impreparato quando le scadenze arriveranno. La preparazione di una documentazione tecnica seria, di un sistema di gestione del rischio e di una governance interna richiede mesi, non settimane. Conviene usare il tempo guadagnato per costruire, non per attendere.
6. Le sanzioni dell'AI Act: quanto si rischia davvero
Le sanzioni dell'AI Act sono tra le più alte del diritto europeo e seguono gli articoli 99 e 101 del Regolamento 2024/1689. Per le pratiche vietate si arriva fino a 35 milioni di euro o al 7% del fatturato mondiale annuo. Per le PMI e le startup, però, il regolamento prevede una tutela: si applica l'importo minore tra la cifra fissa e la percentuale.
Ecco il dettaglio degli importi massimi, secondo iSimply e INSIC.
| Tipo di violazione | Sanzione massima |
|---|---|
| Pratiche vietate (art. 5) | 35.000.000 € o 7% del fatturato mondiale annuo, il maggiore |
| Altri obblighi, inclusi i sistemi ad alto rischio | 15.000.000 € o 3% del fatturato mondiale annuo |
| Informazioni false alle autorità | 7.500.000 € o 1% del fatturato |
| PMI e startup | Si applica il minore tra importo fisso e percentuale |
7. La clausola di proporzionalità per le PMI
La clausola sulle PMI è importante. Per una piccola impresa con fatturato contenuto, il 3% del fatturato è quasi sempre inferiore ai 15 milioni di euro, quindi la sanzione viene calcolata sulla percentuale. Resta comunque una cifra che può mettere in difficoltà un'azienda. Il punto non è solo l'importo massimo teorico, ma il principio: l'AI Act prevede un regime sanzionatorio reale e applicabile, gestito dalle autorità nazionali. Trattarlo come una formalità è un errore di valutazione.
8. Checklist AI Act compliance: i 10 passi operativi
La checklist per la AI Act compliance parte dalla mappatura dei sistemi AI usati in azienda e arriva fino alla definizione della governance interna. L'obiettivo è sapere cosa usi, in che categoria di rischio rientra, quali obblighi ti competono e chi è responsabile di mantenerli nel tempo. Ecco i dieci passi essenziali da seguire in ordine.
- Inventario dei sistemi AI. Elenca ogni strumento di intelligenza artificiale usato in azienda, sviluppato internamente o acquistato da fornitori esterni. Includi chatbot, sistemi di scoring, strumenti di automazione, software di analisi predittiva.
- Classificazione del rischio. Per ogni sistema determina la categoria: inaccettabile, alto, limitato o minimo. Questo passaggio decide tutti gli obblighi successivi (vedi la nostra guida alla classificazione del rischio).
- Verifica dei divieti. Controlla che nessun sistema rientri nelle pratiche vietate dell'art. 5, già in vigore dal 2 febbraio 2025.
- Definizione del ruolo. Stabilisci se sei fornitore, operatore (deployer), importatore o distributore di ciascun sistema. Gli obblighi cambiano in base al ruolo.
- Documentazione tecnica. Per i sistemi ad alto rischio prepara la documentazione richiesta: descrizione del sistema, dati di addestramento, logica di funzionamento, misure di gestione del rischio.
- Trasparenza verso gli utenti. Per i sistemi a rischio limitato, come i chatbot, assicurati che gli utenti sappiano di interagire con un'AI e che i contenuti generati siano riconoscibili.
- Gestione dei modelli GPAI. Se usi modelli per uso generale, verifica la conformità alle regole in vigore dal 2 agosto 2025.
- Supervisione umana. Definisci come una persona può intervenire e controllare i sistemi ad alto rischio, in linea con i principi del regolamento.
- Governance interna. Nomina un responsabile, definisci procedure di monitoraggio e aggiornamento, forma il personale sull'uso corretto degli strumenti AI (vedi AI governance e compliance).
- Monitoraggio continuo. La compliance non è un evento singolo. Pianifica revisioni periodiche, soprattutto in vista delle scadenze del 2026, 2027 e 2028.
9. Errori frequenti da evitare
Nel lavoro quotidiano con le aziende vediamo ripetersi alcuni errori. Il primo è pensare che gli strumenti acquistati da fornitori esterni siano "problema del fornitore". Non è così: come operatore hai obblighi tuoi, ad esempio sulla trasparenza e sulla supervisione. Il secondo errore è ignorare gli strumenti adottati dai singoli reparti senza passare dall'IT, la cosiddetta shadow AI. Se il marketing usa un generatore di contenuti e le risorse umane uno strumento di screening, entrambi vanno mappati. Il terzo errore è rimandare tutto al 2027 per via del rinvio. Il tempo serve a costruire, e costruire bene richiede mesi.
10. Chi deve preoccuparsi di più: ruoli e responsabilità
L'AI Act assegna obblighi diversi a seconda del ruolo che l'azienda ricopre rispetto al sistema AI. Un'azienda può essere fornitore, operatore, importatore o distributore, e spesso ricopre più ruoli contemporaneamente. Capire la propria posizione è essenziale, perché determina quali adempimenti sono effettivamente a tuo carico e quali ricadono su altri attori della catena.
Facciamo qualche esempio pratico per le PMI italiane.
- Azienda che sviluppa un proprio sistema AI. È fornitore. Ha gli obblighi più estesi su documentazione, gestione del rischio e conformità.
- Azienda che usa un software AI di terzi. È operatore. Deve garantire un uso conforme, la supervisione umana e la trasparenza verso le persone interessate.
- Azienda che importa un sistema AI da fuori UE. È importatore. Deve verificare che il fornitore extra-UE abbia rispettato gli obblighi, ricordando la portata extraterritoriale del regolamento segnalata da Digitalic.
- Azienda che rivende sistemi AI. È distributore. Deve assicurarsi che i prodotti distribuiti siano conformi.
11. Come prepararsi alle scadenze del 2026 e oltre
Prepararsi all'AI Act significa partire ora dalla mappatura, anche se le scadenze più pesanti dovrebbero essere rinviate al 2027 e al 2028. Le regole su divieti, modelli GPAI e trasparenza sono già in vigore o lo saranno nel 2026. Costruire una base solida oggi riduce il lavoro e il rischio quando arriveranno gli obblighi sui sistemi ad alto rischio.
Un percorso ragionevole per una PMI si articola su tre orizzonti temporali.
Subito (entro il 2026). Completa l'inventario dei sistemi AI e la classificazione del rischio. Verifica che nessuno strumento rientri nelle pratiche vietate. Sistema la trasparenza dei chatbot e dei contenuti generati. Definisci un primo responsabile interno.
Medio termine (verso il 2 dicembre 2027). Prepara la documentazione tecnica per i sistemi ad alto rischio dell'Allegato III. Implementa i processi di gestione del rischio e supervisione umana. Forma il personale.
Lungo termine (verso il 2 agosto 2028). Affronta i sistemi ad alto rischio dell'Allegato I, quelli legati a prodotti soggetti a normative settoriali come dispositivi medici e veicoli. Integra la compliance AI con gli altri adempimenti di prodotto.
| Orizzonte | Priorità | Obiettivo |
|---|---|---|
| Subito | Inventario, classificazione, divieti, trasparenza | Sapere cosa usi ed eliminare i rischi immediati |
| Medio termine | Documentazione e governance per Allegato III | Arrivare pronti al 2 dicembre 2027 |
| Lungo termine | Sistemi Allegato I | Conformità prodotti settoriali entro il 2 agosto 2028 |
12. Parla con noi della tua compliance AI Act
Se vuoi capire dove si colloca la tua azienda rispetto all'AI Act e quali priorità affrontare per prime, il team di Yellow Tech offre una consulenza dedicata con preventivo su misura. Prenota una prima call per valutare insieme la tua situazione e costruire la tua roadmap di compliance.
Domande frequenti
Cos'è l'AI Act?+
È il Regolamento (UE) 2024/1689, pubblicato in Gazzetta Ufficiale UE il 12 luglio 2024 ed entrato in vigore il 1 agosto 2024. Disciplina lo sviluppo e l'uso dei sistemi di intelligenza artificiale nell'Unione Europea classificandoli per livello di rischio.
L'AI Act si applica alle PMI italiane?+
Sì. Il regolamento si applica in base all'uso e al rischio dei sistemi AI, non alle dimensioni dell'azienda. Una PMI che usa chatbot, sistemi di scoring o strumenti di screening rientra nel campo di applicazione.
Quando entrano in vigore gli obblighi più importanti?+
Il divieto delle pratiche a rischio inaccettabile è in vigore dal 2 febbraio 2025 e le regole sui modelli GPAI dal 2 agosto 2025. Gli obblighi sui sistemi ad alto rischio dovrebbero essere rinviati al 2 dicembre 2027 (Allegato III) e al 2 agosto 2028 (Allegato I), secondo il testo del Digital Omnibus ancora in corso di adozione definitiva.
Cos'è il Digital Omnibus?+
È il pacchetto su cui il Parlamento Europeo ha approvato la propria posizione negoziale il 26 marzo 2026 con 569 voti favorevoli, 45 contrari e 23 astenuti. Punta a rinviare le scadenze per i sistemi ad alto rischio. Al momento risulta un accordo provvisorio Parlamento-Consiglio del 7 maggio 2026, ma mancano ancora la revisione legale-linguistica, l'approvazione formale definitiva e la pubblicazione in Gazzetta Ufficiale UE: le nuove scadenze non sono quindi ancora formalmente vincolanti. Il rinvio, una volta adottato, posticiperebbe gli obblighi, senza eliminarli.
Quali sono le sanzioni per chi non rispetta l'AI Act?+
Fino a 35 milioni di euro o il 7% del fatturato mondiale annuo per le pratiche vietate, fino a 15 milioni o il 3% per altri obblighi, fino a 7,5 milioni o l'1% per informazioni false alle autorità, secondo iSimply e INSIC.
Le sanzioni per le PMI sono più basse?+
Il regolamento prevede che per PMI e startup si applichi l'importo minore tra la cifra fissa e la percentuale del fatturato. Resta comunque un regime sanzionatorio reale da non sottovalutare.
L'AI Act vale anche per aziende fuori dall'UE?+
Sì. Il regolamento ha portata extraterritoriale, come ricorda Digitalic. Si applica anche ai soggetti extra-UE che immettono sistemi AI sul mercato europeo.
Devo recepire l'AI Act con una legge nazionale?+
No. Non è una direttiva, è un regolamento direttamente applicabile in tutti i 27 Paesi UE. Le sue regole valgono già senza bisogno di una legge italiana di recepimento.
Cosa significa essere operatore (deployer) di un sistema AI?+
È il ruolo di chi usa un sistema AI sviluppato da altri. La maggior parte delle PMI italiane rientra qui. L'operatore deve garantire uso conforme, supervisione umana e trasparenza verso le persone interessate.
Cosa sono i modelli GPAI?+
Sono i modelli di AI per uso generale (general purpose AI). Le regole che li riguardano sono in vigore dal 2 agosto 2025 e impongono obblighi specifici a chi li sviluppa e li mette a disposizione.
Da dove conviene iniziare con la compliance?+
Dall'inventario dei sistemi AI usati in azienda e dalla loro classificazione per livello di rischio. Tutti gli obblighi successivi dipendono da questa mappatura iniziale.
Il rinvio al 2027 mi permette di aspettare?+
No. Diversi obblighi sono già in vigore e la preparazione della documentazione e della governance richiede mesi. Il tempo guadagnato serve a costruire una base solida, non a rimandare.
