Se hai sentito parlare di AI Act senza mai capire cosa riguardi davvero la tua azienda, sei in buona compagnia. La maggior parte dei CEO di PMI italiane ha letto titoli allarmistici su sanzioni multimilionarie, ma non ha ancora chiaro se quei numeri li riguardano, da quando, e cosa fare in concreto. Questo articolo risponde a quella domanda, senza legalese.
L'AI Act europeo è entrato in vigore il 1° agosto 2024. Da quel momento, una serie di scadenze progressive ha cominciato a decorrere. Alcune sono già passate. La più importante per la maggior parte delle PMI arriva ad agosto 2026: da quel momento, chi usa sistemi AI in contesti ad alto rischio deve essere pienamente conforme, e le sanzioni sono applicabili in pieno. Restano circa quattro mesi.
Cosa è già cambiato: le scadenze che hai (forse) mancato
Due date sono già trascorse, e la non conformità a queste non dipende più da quando entreranno in vigore le sanzioni complete: l'obbligo esiste già.
- 2 febbraio 2025: divieto assoluto su pratiche AI considerate inaccettabili (social scoring, manipolazione subliminale, identificazione biometrica in tempo reale in spazi pubblici). Se usi o stai valutando strumenti che rientrano in queste categorie, sei già fuori legge.
- 2 febbraio 2025: obbligo di AI Literacy (Art. 4). Chi nella tua azienda usa o supervisiona sistemi AI deve aver ricevuto formazione adeguata. L'obbligo riguarda il deployer — cioè te, non il fornitore del software.
- 2 agosto 2025: regole sui provider di GPAI (modelli di linguaggio ad uso generale). Riguarda chi sviluppa modelli AI, non chi li usa. Rilevante solo se stai costruendo prodotti AI da distribuire.
Agosto 2026: la scadenza che riguarda la tua PMI
Il 2 agosto 2026 entrano in vigore le regole complete per i sistemi AI ad alto rischio. Questa è la scadenza più rilevante per la grande maggioranza delle PMI italiane che usano AI in aree come risorse umane, credito, selezione fornitori, valutazione delle performance.
Da quella data, chi è classificato come deployer di un sistema ad alto rischio deve avere in piedi: un sistema di gestione del rischio, documentazione dei dataset usati per addestrare o alimentare il sistema, procedure di supervisione umana attiva, registri delle decisioni automatizzate prese dal sistema, e procedure di segnalazione degli incidenti. Non si tratta di adempimenti burocratici da demandare al legale: richiedono lavoro tecnico, policy interne, e formazione del personale.
“La conformità all'AI Act non è un evento. È un processo. Chi lo inizia quattro mesi prima della scadenza lo finisce in tempo. Chi lo inizia quattro mesi dopo ha già un problema.”
Sei un deployer o un provider? La distinzione che cambia tutto
L'AI Act distingue due figure fondamentali. Il provider è chi sviluppa e mette sul mercato un sistema AI. Il deployer è chi usa quel sistema AI nel proprio contesto operativo. Nella quasi totalità delle PMI italiane, la risposta è: sei un deployer. Usi ChatGPT, usi un CRM con AI integrata, usi uno strumento di screening CV acquistato da un vendor: sei il deployer.
Questa distinzione è importante perché provider e deployer hanno obblighi diversi. Il provider deve certificare il sistema, documentare l'architettura, superare valutazioni di conformità. Il deployer deve assicurarsi di usare il sistema in modo conforme, formare il personale, mantenere supervisione umana, e — punto spesso ignorato — non modificare lo scopo d'uso originale del sistema in modo da elevarne il profilo di rischio.
Cinque cose concrete da fare entro agosto 2026
Non serve un team legale di dieci persone. Serve un piano di quattro mesi con cinque azioni in sequenza. Ecco il framework che applichiamo nelle nostre sessioni di AI Audit.
- Censimento dei sistemi AI in uso: mappa tutti gli strumenti AI attivi in azienda, incluse le funzionalità AI embedded nei software gestionali. Molti deployer ignorano che il loro ERP ha già moduli di forecasting basati su machine learning.
- Classificazione del rischio: per ogni sistema censito, determina se rientra nella categoria alto rischio secondo gli allegati III e IV dell'AI Act. Le categorie chiave per PMI: selezione e valutazione del personale, scoring del credito, accesso a servizi essenziali, sicurezza di prodotti regolamentati.
- AI Literacy documentata: eroga e registra la formazione su AI per il personale che usa o supervisiona sistemi AI. Due ore di formazione tracciata chiudono l'obbligo Art. 4. Senza documentazione non vale.
- Policy AI interna: scrivi una policy di due pagine che definisca cosa è autorizzato, chi supervisiona le decisioni AI, come si gestisce un incidente. Non serve un documento da 40 pagine: serve qualcosa di reale che il personale legga.
- Registro delle decisioni AI: per i sistemi ad alto rischio, implementa un log delle decisioni significative prese con supporto AI. Non deve essere complesso: un foglio strutturato con data, sistema, output, supervisore umano copre il requisito di base.
Agosto 2027: la scadenza per prodotti regolamentati
Il 2 agosto 2027 è rilevante solo per un sottoinsieme specifico: le aziende che producono o distribuiscono prodotti già soggetti a normative di settore (medical device, macchinari industriali, dispositivi di sicurezza) in cui è integrata una componente AI. Se sei in questo segmento, devi allineare la conformità AI Act a quella delle direttive di prodotto già applicabili, con un effort significativamente maggiore.
L'AI Act non è pensato per bloccare le PMI. È pensato per creare un perimetro di fiducia entro cui l'AI può crescere senza erodere i diritti fondamentali. Le aziende che si adeguano per prime non subiscono solo il costo della compliance: acquisiscono un vantaggio competitivo misurabile — davanti ai clienti enterprise, alle banche, e agli enti pubblici che stanno iniziando a richiedere la conformità AI come prerequisito nei bandi. Agosto 2026 non è un termine da evitare. È una finestra da sfruttare.