AI Act: Cosa Cambia per le Aziende nel 2026

Aggiornato: Luglio 2026

I punti chiave

  • L'AI Act (Regolamento UE 2024/1689) è la prima legge organica al mondo sull'intelligenza artificiale, in vigore dal 1° agosto 2024.
  • Si applica a fasi: divieti da febbraio 2025, modelli generici da agosto 2025, alto rischio dal 2026-2027.
  • Classifica i sistemi AI in 4 livelli di rischio: inaccettabile, alto, limitato, minimo.
  • Riguarda anche la tua PMI se usi AI, non solo chi la sviluppa. Sanzioni fino a 35 mln € o 7% del fatturato.

Se la tua azienda usa o sta valutando l'intelligenza artificiale — un assistente che legge documenti, un sistema che valuta candidati, uno strumento che analizza clienti — l'AI Act ti riguarda. Non è solo roba per le big tech. Questa guida traduce in pratica cosa cambia per un'azienda italiana e cosa devi fare concretamente.

Nota: questa è una guida informativa, non consulenza legale. Per gli adempimenti specifici della tua azienda rivolgiti a un legale specializzato.

Cos'è l'AI Act e perché esiste

L'AI Act è il Regolamento (UE) 2024/1689, pubblicato in Gazzetta Ufficiale dell'Unione Europea il 12 luglio 2024 ed entrato in vigore il 1° agosto 2024. È un regolamento, non una direttiva: si applica direttamente in tutti gli Stati membri senza bisogno di leggi nazionali di recepimento. L'obiettivo dichiarato dalla Commissione Europea è rendere l'AI “affidabile”: tutelare diritti e sicurezza senza soffocare l'innovazione.

La logica di fondo è semplice e intelligente: più un sistema AI è rischioso, più obblighi ha. Un filtro antispam e un sistema che decide chi assumere non possono avere le stesse regole.

I 4 livelli di rischio (con esempi concreti)

Rischio inaccettabile — VIETATOdivieto totale
Alto rischioobblighi stringenti
Rischio limitatosolo trasparenza
Rischio minimonessun obbligo
  • Inaccettabile (vietato): social scoring governativo, manipolazione comportamentale, riconoscimento biometrico di massa in tempo reale, scraping non mirato di volti. Questi sistemi sono semplicemente illegali nell'UE.
  • Alto rischio: AI usata per selezione del personale, valutazione del merito creditizio, accesso a servizi essenziali, sistemi in ambito medico o di sicurezza. Permessi ma con obblighi pesanti: gestione del rischio, qualità dei dati, documentazione tecnica, sorveglianza umana, registrazione.
  • Rischio limitato: assistenti AI e sistemi che interagiscono con persone o generano contenuti. Obbligo principale: trasparenza (l'utente deve sapere che sta interagendo con un'AI; i contenuti generati vanno etichettati).
  • Rischio minimo: la stragrande maggioranza degli usi aziendali — filtri spam, suggerimenti, automazioni interne, analisi dati. Nessun obbligo specifico oltre alle buone pratiche.
La buona notizia: per la maggior parte delle PMI, gli usi concreti dell'AI (automazione back-office, analisi documenti interni, assistenza agli operatori) ricadono in rischio minimo o limitato. Gli obblighi pesanti scattano solo per casi d'uso ben precisi.

La timeline: cosa scatta e quando

DataCosa diventa applicabile
1 ago 2024Entrata in vigore del regolamento
2 feb 2025Divieti sui sistemi a rischio inaccettabile + obbligo di alfabetizzazione AI (formazione del personale)
2 ago 2025Regole sui modelli di AI generica (GPAI), governance e prime sanzioni
2 ago 2026Applicazione generale, inclusa gran parte degli obblighi sui sistemi ad alto rischio
2 ago 2027Obblighi per l'AI ad alto rischio integrata in prodotti già regolati

Il punto spesso trascurato: l'obbligo di alfabetizzazione AI (art. 4) è già in vigore da febbraio 2025. Chi sviluppa o usa sistemi AI deve garantire che il personale coinvolto abbia un livello adeguato di competenza. È un obbligo leggero ma reale, e riguarda quasi tutti.

Le sanzioni: quanto si rischia davvero

35M€o 7% del fatturato mondiale — uso di sistemi vietati
15M€o 3% del fatturato — violazione obblighi alto rischio
7,5M€o 1% — informazioni errate alle autorità

Si applica l'importo più alto tra cifra fissa e percentuale. Per le PMI sono previsti tetti proporzionati, ma il messaggio è chiaro: la compliance non è opzionale per chi opera in categorie a rischio.

Cosa deve fare concretamente la tua azienda

  1. Mappa i tuoi usi di AI. Fai un inventario: quali strumenti AI usi, per cosa, su quali dati. Senza questo non puoi classificare nulla.
  2. Classifica il rischio di ciascuno. Quasi tutti finiranno in “minimo”. Identifica quelli che toccano persone (assunzioni, credito, valutazioni) — quelli vanno guardati con attenzione.
  3. Forma il personale. L'obbligo di alfabetizzazione AI è già attivo. Anche solo una formazione interna documentata è un passo concreto.
  4. Garantisci trasparenza. Se usi AI che interagisce con clienti o genera contenuti, dichiaralo.
  5. Cura i dati e la privacy. L'AI Act si somma al GDPR. Dove finiscono i dati che dai in pasto all'AI? Vedi la nostra guida sull'AI privata e i dati aziendali.

AI Act come opportunità, non solo come vincolo

Adeguarsi bene è un vantaggio competitivo: significa poter dire ai tuoi clienti che la tua AI è trasparente, sicura e conforme. In un mercato dove la fiducia nei sistemi automatici è bassa, la compliance diventa un argomento di vendita. È lo stesso ragionamento che vale per la gestione privacy-first dei documenti aziendali.

FAQ

L'AI Act vale anche se uso solo ChatGPT in azienda?

Sì, ma in modo leggero. Usare un assistente generico per compiti interni ricade in rischio minimo/limitato: l'unico obbligo concreto è la trasparenza verso gli utenti e l'alfabetizzazione del personale. Diventa rilevante se lo usi per decisioni su persone (assunzioni, valutazioni).

Sono una PMI, mi conviene preoccuparmene ora?

Sì, ma senza panico. Parti dall'inventario dei tuoi usi e dalla formazione del personale (già obbligatoria). La maggior parte degli adempimenti pesanti riguarda casi d'uso ad alto rischio che probabilmente non hai.

Chi è responsabile, chi sviluppa l'AI o chi la usa?

Entrambi, con obblighi diversi. Il fornitore (chi sviluppa) ha gli obblighi più pesanti; l'utilizzatore (deployer) ha obblighi di uso corretto, sorveglianza umana e trasparenza. Se commissioni software AI custom, scegli un partner che progetti già in ottica compliance.

Dove trovo il testo ufficiale?

Il testo è su EUR-Lex in italiano, e la Commissione mantiene una pagina di sintesi sul framework normativo AI.

Vuoi usare l'AI in azienda senza rischi di compliance?

Progettiamo soluzioni AI conformi by design: trasparenti, sicure, con i dati al posto giusto. Raccontaci il tuo caso d'uso.

Prenota una call gratuita Apri il configuratore

Pronto a costruire il tuo SaaS?

Configura il tuo progetto in 2 minuti e ricevi una stima immediata.

Prenota una call gratuita