35 milioni di euro o il 7% del fatturato globale annuo. Quel numero compare in ogni articolo sull'AI Act, e ogni volta produce la stessa reazione: o terrore assoluto, o scrollata di spalle con la certezza che riguardi solo i big tech americani. Entrambe le reazioni sono sbagliate.
Le sanzioni dell'AI Act hanno una struttura precisa, si applicano a tre categorie di violazioni distinte, e sono calibrate tenendo conto delle dimensioni dell'azienda. Per una PMI italiana con 10 milioni di euro di fatturato, il rischio concreto non è 35 milioni. Ma non è nemmeno zero. E la differenza tra un'azienda che viene sanzionata e una che non lo viene non dipende quasi mai dalla tecnologia usata: dipende dalla documentazione e dalla governance.
Le tre fasce di sanzione: a cosa si applicano
L'AI Act non ha una sanzione unica. Ha tre livelli, calibrati sulla gravità della violazione. Conoscerli è il primo passo per capire dove si colloca realmente il tuo rischio.
- Fascia massima — 35M€ o 7% del fatturato globale (la cifra più alta prevale): si applica alle violazioni delle pratiche AI proibite (Art. 5). Sistemi di social scoring, manipolazione subliminale, identificazione biometrica in tempo reale non autorizzata, sfruttamento delle vulnerabilità di gruppi a rischio. Questa fascia riguarda chi usa sistemi già vietati dal 2 febbraio 2025.
- Fascia intermedia — 15M€ o 3% del fatturato globale: si applica alla non conformità ai requisiti per i sistemi ad alto rischio (Art. 10-15) o agli obblighi dei provider GPAI. Questa è la fascia più rilevante per la maggior parte delle PMI che usano AI in HR, credito o operations.
- Fascia minima — 7,5M€ o 1% del fatturato globale: si applica alle informazioni false o incomplete fornite alle autorità di controllo (Art. 78). Rilevante se, durante un'ispezione, la tua documentazione è inesatta o incompleta.
Chi decide l'entità della sanzione (e cosa pesa di più)
Le cifre massime sono i soffitti teorici. L'entità effettiva di una sanzione è determinata dalle autorità nazionali sulla base di una serie di criteri espliciti, elencati nell'Art. 99 dell'AI Act. I criteri che pesano di più in un contesto PMI.
- Dimensione dell'azienda: le autorità devono tenere conto delle dimensioni e del fatturato dell'operatore. Le PMI hanno esplicitamente un trattamento proporzionato. Il regolamento non dice che le PMI sono esenti — dice che la sanzione deve essere proporzionata.
- Gravità e durata della violazione: un sistema ad alto rischio usato senza supervisione per sei mesi è una violazione più grave di una lacuna documentale scoperta in fase di audit volontario.
- Cooperazione con le autorità: chi collabora attivamente con l'autorità di controllo, fornisce documentazione, e adotta misure correttive immediate riceve trattamento mitigato. Chi nega, minimizza o non risponde è la controparte peggiore davanti a un'autorità.
- Recidiva: le violazioni ripetute o continuate aggravano significativamente la sanzione. Un'azienda che ha già ricevuto un avvertimento e non ha corretto il comportamento rischia la fascia massima anche per violazioni di fascia intermedia.
- Impatto effettivo sulle persone: se la violazione ha causato danni concreti a lavoratori, clienti o candidati — discriminazione documentabile, perdita di opportunità, danni patrimoniali — la sanzione si orienta verso il massimo.
“La sanzione più comune nei primi anni di applicazione di una nuova normativa non è la multa massima. È la sanzione media applicata a chi non ha documentazione. Perché la documentazione è la prova della buona fede.”
La sovrapposizione con le sanzioni GDPR: il rischio moltiplicatore
Molte violazioni dell'AI Act si sovrappongono a violazioni del GDPR. Un sistema AI ad alto rischio che prende decisioni su dipendenti senza trasparenza viola sia l'AI Act (mancanza di supervisione e informazione) sia il GDPR (mancanza di base giuridica per il trattamento automatizzato, violazione degli obblighi di informativa, art. 22 GDPR sul diritto a non essere soggetti a decisioni automatizzate).
Le due autorità — quella AI e il Garante Privacy — coordinano le proprie attività, ma le sanzioni sono formalmente indipendenti. Non c'è un meccanismo di assorbimento automatico: puoi essere sanzionato per entrambe le violazioni, con due procedimenti distinti. Le nostre stime operative indicano che in almeno il 60% dei casi di non conformità AI Act nelle PMI esiste anche una violazione GDPR associata.
Rischio teorico vs rischio reale: l'esempio della PMI da 10M€
Consideriamo una PMI italiana con 10 milioni di euro di fatturato che usa un sistema di screening CV con algoritmo automatico, senza supervisione umana documentata, senza aver erogato AI Literacy al personale HR, e senza una policy AI interna. Non è un caso estremo: è la configurazione media che riscontriamo nei nostri assessment.
Scenario A — nessuna preparazione, ispezione da segnalazione: l'autorità riceve una segnalazione da un candidato scartato senza spiegazione. Avvia un'ispezione. Trova assenza di documentazione, mancanza di supervisione umana, nessuna AI literacy tracciata. Sanzione AI Act: fascia intermedia, applicata proporzionalmente — stima realistica 150.000-400.000€. Eventuale sanzione GDPR aggiuntiva per violazione art. 22: 50.000-150.000€. Costo della conformità retroattiva imposta dall'autorità: 80.000-200.000€. Totale stimato: 280.000-750.000€.
Scenario B — preparazione proattiva, stessa configurazione tecnologica: l'azienda ha condotto un AI Audit, ha implementato supervisione umana documentata, ha erogato AI Literacy al personale, ha una policy AI. La stessa segnalazione arriva, l'autorità avvia un'ispezione. Trova documentazione, processi, formazione tracciata. L'esito più probabile: avvertimento formale con prescrizioni, zero sanzione pecuniaria, 30 giorni per chiudere le lacune residue. Costo della conformità proattiva: 15.000-40.000€ una tantum.
Le sanzioni AI Act non sono disegnate per distruggere le PMI. Sono disegnate per creare un effetto deterrente proporzionato che spinga tutte le aziende — grandi e piccole — a prendere sul serio la governance dell'AI. Chi si mette in regola prima paga meno e rischia meno. Chi aspetta di essere ispezionato paga di più — in multa, in conformità retroattiva, e in reputazione. La matematica, in questo caso, è semplice.