Ledger ThingsLedger Things
Prenota una call
Imprenditore italiano che interagisce con un'interfaccia AI luminosa su sfondo blu con stelle dorate europee
Articoli·AI25 Giu 2026 · 6 min read

AI Act e PMI italiane: quello che devi sapere (e fare) adesso

Il Regolamento UE 2024/1689 sull'intelligenza artificiale è già in vigore. Ecco scadenze, obblighi e opportunità per le piccole e medie imprese italiane.

Il Regolamento UE 2024/1689, noto come AI Act, non è una questione del futuro lontano. Alcune obbligazioni sono già in vigore dal 2 febbraio 2025, e molte PMI italiane non sanno di essere già soggette a esse. Si tratta del primo quadro normativo organico sull’intelligenza artificiale al mondo: un insieme di regole che stabilisce cosa è vietato, cosa è consentito con precauzioni e cosa è libero, a seconda del rischio che un sistema AI comporta per le persone e la società.

Cos’è l’AI Act e chi riguarda

L’AI Act è entrato in vigore il 1° agosto 2024 e si applica a tutte le imprese che operano nel mercato europeo — indipendentemente dalle dimensioni. Non è una normativa riservata alle grandi multinazionali della tecnologia: riguarda anche la piccola impresa manifatturiera che usa un chatbot sul sito, lo studio professionale che impiega strumenti AI per la gestione documentale, o l’azienda che utilizza ChatGPT per produrre contenuti di marketing.

Il criterio è semplice: se la tua azienda opera nell’UE e utilizza sistemi di intelligenza artificiale — anche di terze parti — sei soggetto al regolamento. Questo include algoritmi di raccomandazione, strumenti di selezione del personale basati su AI, sistemi di scoring creditizio automatizzato, assistenti virtuali e qualsiasi software che utilizzi modelli di machine learning per prendere decisioni o generare contenuti.

I quattro livelli di rischio

L’AI Act classifica i sistemi AI in quattro categorie di rischio, con obblighi crescenti:

  • Rischio inaccettabile (vietato): Sistemi di social scoring, riconoscimento delle emozioni nei luoghi di lavoro e nelle scuole, manipolazione subliminale del comportamento umano. Questi sistemi sono vietati dal 2 febbraio 2025 e devono essere immediatamente dismessi.
  • Alto rischio: AI impiegata in ambito HR e recruiting, scoring creditizio, diagnostica medica, infrastrutture critiche e servizi essenziali. Richiede requisiti stringenti di trasparenza, documentazione e supervisione umana. Scadenza per la piena conformità: 2 agosto 2026.
  • Rischio limitato: Chatbot, generatori di contenuti, sistemi di raccomandazione. Sono soggetti principalmente a obblighi di trasparenza già in vigore: l’utente deve sapere che sta interagendo con un sistema AI.
  • Rischio minimo: Filtri antispam, strumenti di ottimizzazione interna, videogiochi con AI. Nessun obbligo specifico previsto dal regolamento.

La buona notizia per le PMI è che la maggior parte delle applicazioni AI tipicamente utilizzate ricade nelle categorie a rischio limitato o minimo. Tuttavia, questo non significa assenza di obblighi: la trasparenza è già obbligatoria.

Le scadenze chiave per le PMI

Il regolamento prevede un’entrata in vigore graduale. Ecco le date fondamentali:

  • 2 febbraio 2025 (già passata): I sistemi a rischio inaccettabile devono essere cessati. Entra in vigore l’obbligo di alfabetizzazione AI per il personale.
  • 2 agosto 2025: Il sistema di governance deve essere pienamente operativo; entrano in vigore le regole per i modelli GPAI (General Purpose AI, come i grandi modelli linguistici).
  • 2 febbraio 2026: Conformità richiesta per la maggior parte dei sistemi AI a rischio limitato.
  • 2 agosto 2026: Piena conformità richiesta per tutti i sistemi AI ad alto rischio.

Le PMI che non hanno ancora avviato un processo di mappatura e classificazione dei propri strumenti AI sono già in ritardo rispetto alle prime scadenze.

Gli obblighi immediati (già attivi)

Due obblighi sono già pienamente in vigore e non ammettono rinvii.

Il primo riguarda la cessazione dei sistemi vietati (Articolo 5). Se un’azienda utilizza — anche inconsapevolmente — sistemi che rientrano nella categoria a rischio inaccettabile, deve interromperne immediatamente l’uso. Questo include, ad esempio, software HR che analizzano le emozioni dei candidati durante i colloqui video.

Il secondo obbligo è l’alfabetizzazione AI (Articolo 4). Le imprese devono garantire che il personale che utilizza sistemi AI disponga di un livello adeguato di competenze. Non si tratta di formare ingegneri del machine learning: è sufficiente una consapevolezza di base su come funzionano gli strumenti in uso, quali rischi comportano e come farne un uso responsabile. La formazione deve essere documentata: non basta averla erogata, bisogna poterlo dimostrare.

A questi si aggiungono gli obblighi di trasparenza già operativi: i chatbot devono dichiarare di essere sistemi AI, e i contenuti generati artificialmente devono essere etichettati come tali.

Le sanzioni (che si applicano già)

Il sistema sanzionatorio dell’AI Act è articolato su tre livelli e si applica già per le violazioni delle norme entrate in vigore:

  • Massima gravità (sistemi vietati): fino a 35 milioni di euro o il 7% del fatturato annuo globale, se superiore.
  • Violazioni principali (inclusa la mancata alfabetizzazione AI): fino a 15 milioni di euro o il 3% del fatturato.
  • Violazioni procedurali (documentazione, notifiche): fino a 7,5 milioni di euro o l’1,5% del fatturato.

Per le PMI, il regolamento prevede che le sanzioni siano proporzionate alle dimensioni e al fatturato dell’impresa. Tuttavia, anche una percentuale apparentemente contenuta del fatturato può rappresentare un colpo devastante per una piccola impresa. La prevenzione è, in ogni caso, molto meno costosa della sanzione.

Il contesto italiano: la Legge 132/2025

L’Italia ha affiancato al quadro europeo una normativa nazionale complementare. Il DDL 1146/24, approvato dal Senato il 20 marzo 2025, è diventato Legge 132/2025 e introduce disposizioni specifiche per il contesto italiano.

Tra le principali novità: aggravanti penali per i reati commessi con il supporto dell’AI (diffamazione, frodi con deepfake, manipolazione dei mercati finanziari); protezioni rafforzate per i minori nell’interazione con sistemi AI; obblighi di trasparenza potenziati per la pubblica amministrazione nell’uso di strumenti automatizzati. Sul piano istituzionale, la governance è distribuita tra AgID (Agenzia per l’Italia Digitale), il Garante Privacy e l’ACN (Agenzia per la Cybersicurezza Nazionale). La legge prevede inoltre la possibilità di attivare sandbox regolatori per progetti innovativi che necessitano di sperimentazione in un ambiente controllato.

Da obbligo a opportunità

Sarebbe un errore leggere l’AI Act esclusivamente come un costo o un vincolo burocratico. Le imprese che si adeguano per prime hanno l’opportunità di trasformare la conformità in un vantaggio competitivo concreto.

Una PMI conforme può differenziarsi sul mercato con prodotti e servizi sviluppati secondo un approccio compliance by design; accedere più facilmente all’intero mercato unico europeo senza barriere normative; costruire fiducia con clienti e partner attraverso la trasparenza; e ridurre significativamente i rischi legali e reputazionali.

I primi passi pratici per una PMI sono relativamente semplici:

  • Mappare tutti i sistemi AI in uso, inclusi gli strumenti di terze parti con funzionalità AI integrate (CRM, piattaforme HR, strumenti di marketing automation).
  • Classificarli per livello di rischio secondo le categorie dell’AI Act.
  • Erogare una formazione base sull’AI literacy al personale coinvolto e documentarla.
  • Aggiungere avvisi di trasparenza ai chatbot e ai contenuti generati con AI.

L’AI Act non è un labirinto burocratico senza uscita: è una mappa stradale chiara. Sta alle imprese decidere se usarla per non perdersi — o per arrivare prima degli altri.

AI25 Giu 2026· Aggiornato 7 Lug 2026· 6 min read
Maurizio D'alesio

Maurizio D'alesio

CEO

Iniziamo a parlare

Hai un'idea? Costruiamola insieme.

Call di 30 minuti, senza impegno. Ci descrivi contesto e vincoli — rispondiamo con fattibilità e prossimo passo.