Aggiornato: Aprile 2026

AI Act per PMI in Italia: cosa fare nel 2026

Il Regolamento UE 2024/1689, noto come AI Act, è la prima legge orizzontale al mondo sull'intelligenza artificiale. Si applica per fasi: divieti dal 2 febbraio 2025, modelli GPAI dal 2 agosto 2025, sistemi ad alto rischio dal 2 agosto 2026. Le PMI italiane che usano IA in prodotti o processi devono mappare i propri sistemi e prepararsi.

ℹ️

Tappa chiave

Dal 2 agosto 2026 entrano in piena applicazione gli obblighi sui sistemi ad alto rischio: documentazione tecnica, valutazione di conformità e marcatura CE.

Categorie di rischio e ambito

Rischio inaccettabile (vietato): social scoring, manipolazione subliminale, riconoscimento emotivo su lavoro/scuola, categorizzazione biometrica su tratti sensibili.
Alto rischio: IA in HR (selezione e valutazione), credito, dispositivi medici, infrastrutture critiche, istruzione, sicurezza dei prodotti. Richiede sistema di gestione del rischio, data governance, log e supervisione umana.
Rischio limitato: chatbot, generazione di contenuti sintetici. Si applicano gli obblighi di trasparenza dell'art. 50.
Rischio minimo: tutti gli altri usi (es. filtri antispam), nessun obbligo specifico.

Obblighi di trasparenza ex art. 50

Se utilizzi sistemi di IA nel rapporto con utenti finali, applica le regole dell'articolo 50 anche se il sistema non è classificato ad alto rischio:

Chatbot e assistenti virtuali: informa l'utente che sta interagendo con un'IA, salvo che sia ovvio dal contesto.
Deepfake e contenuti sintetici: etichetta in modo chiaro le immagini, video o audio manipolati o generati artificialmente.
Riconoscimento emotivo o biometrico: notifica alle persone esposte e basi di liceità GDPR adeguate.

Cosa fare se la tua PMI usa IA

Inventario AI: mappa tutti i sistemi di IA usati, interni e di terze parti (incluse funzioni AI nei SaaS).
Classifica ciascun sistema nelle categorie di rischio dell'AI Act.
Aggiorna informative privacy, contratti con i fornitori e procedure interne ai requisiti dell'art. 50.
Forma il personale sulla AI literacy obbligatoria ex art. 4 del Regolamento.

Domande frequenti

L'AI Act riguarda anche le piccole imprese?

Sì. Si applica a chiunque immetta sul mercato, metta in servizio o utilizzi sistemi di IA nell'UE, indipendentemente dalle dimensioni. Gli obblighi più stringenti riguardano sistemi ad alto rischio e GPAI; PMI e startup hanno facilitazioni (sandbox regolatorie, supporto AgID e EU AI Office).

Quali sono le scadenze chiave 2025-2026?

Il 2 febbraio 2025 sono entrati in vigore i divieti per pratiche di IA inaccettabili e gli obblighi di alfabetizzazione AI. Il 2 agosto 2025 si applicano le regole sui modelli GPAI e sulla governance. Il 2 agosto 2026 entra in piena applicazione la disciplina sui sistemi ad alto rischio.

Quali obblighi di trasparenza ex art. 50?

Chi usa chatbot deve informare l'utente che sta interagendo con un'IA, salvo evidenza contestuale. I contenuti generati o manipolati artificialmente (deepfake, testi, immagini) devono essere etichettati in modo leggibile, anche tramite watermark tecnico per modelli GPAI.

Quali sanzioni in caso di violazione?

Le sanzioni massime arrivano a 35 milioni di euro o al 7% del fatturato globale per le pratiche vietate; 15 milioni o 3% per altre violazioni; 7,5 milioni o 1% per informazioni inesatte alle autorità. Le PMI hanno tetti proporzionati al fatturato.

Fonti consultate

Verificate a aprile 2026. Le normative possono cambiare: consulta sempre la fonte ufficiale prima di agire.