AI Act per e-commerce: cosa devono fare i negozi online nel 2026
Chi gestisce un e-commerce usa AI ogni giorno: motori di raccomandazione, chatbot, pricing dinamico, profilazione clienti, previsioni di domanda. L’AI Act porta obblighi concreti su trasparenza e rischio. Questa guida spiega cosa si applica al tuo negozio online.
✓ Aggiornata a marzo 2026 · ✓ Fonti: testo ufficiale AI Act UE · ✓ Non è consulenza legale
⚠️ La situazione per gli e-commerce: Recommender system e pricing dinamico ricadono generalmente nel rischio minimo o limitato. I chatbot hanno obblighi di trasparenza (art. 50) dal 2 agosto 2026, secondo il calendario di applicazione dell’AI Act (art. 113). Chi usa AI per scoring clienti, valutazione del rischio di frode o decisioni automatizzate con effetti significativi deve verificare se rientra nell’alto rischio.
Come gli e-commerce usano l’AI oggi — e il livello di rischio AI Act
I sei sistemi AI più diffusi negli e-commerce, con indicazione del livello di rischio secondo l’AI Act:
| Uso AI | Esempi concreti | Rischio AI Act |
|---|---|---|
| Motore di raccomandazione prodotti | “Potrebbe interessarti anche”, cross-selling, upselling automatico | 🟢 Minimo — resta fermo il GDPR se il recommender usa profilazione con effetti significativi sull’utente |
| Generazione di descrizioni prodotto | Testi, titoli, meta tag generati con AI | 🟢 Minimo |
| Previsione della domanda | AI per gestione magazzino, riordino automatico | 🟢 Minimo |
| Chatbot customer service | Assistente virtuale per ordini, resi, FAQ | 🟡 Limitato — obblighi trasparenza art. 50 |
| Pricing dinamico | Prezzi variabili in base a domanda, comportamento utente, concorrenza | 🟢/🟡 Da valutare — vedere nota sotto |
| Scoring clienti e antifrode | AI che valuta affidabilità, rischio frode, merito per acquisti a rate | 🔴 Potenzialmente alto rischio |
Nota sui livelli: “Rischio minimo” indica usi senza obblighi specifici AI Act oltre alle misure organizzative generali. “Rischio limitato” indica casi in cui scattano obblighi di trasparenza (art. 50) secondo il calendario di applicazione dell’AI Act (art. 113).
Nota sul pricing dinamico: Il pricing dinamico non rientra di per sé tra le categorie ad alto rischio dell’Allegato III. Se però è personalizzato su dati personali del cliente, va verificato il GDPR, incluso l’art. 22 nei casi di decisioni interamente automatizzate con effetti significativi.
Nota sullo scoring antifrode: “Potenzialmente alto rischio” va verificato nel caso concreto. Il rischio aumenta soprattutto quando il sistema incide su accesso a credito o servizi finanziari; non ogni sistema antifrode e-commerce rientra automaticamente nell’Allegato III.
Cosa si applica concretamente a un e-commerce
📋 AI Literacy — già obbligatoria
Dal 2 febbraio 2025 l’obbligo di AI literacy è in vigore (art. 4 AI Act), secondo il calendario di applicazione dell’AI Act (art. 113). È una delle prime disposizioni ad applicarsi: altri obblighi seguono un calendario successivo, con piena applicabilità dal 2 agosto 2026. Per un e-commerce significa che chi configura, usa o monitora sistemi AI deve avere una comprensione adeguata del loro funzionamento e dei loro limiti.
→ AI Literacy: cosa devono fare davvero le PMI →
💬 Chatbot — obbligo di trasparenza dal 2 agosto 2026
Se hai un chatbot o assistente virtuale sul tuo e-commerce, dal 2 agosto 2026 deve dichiarare di essere AI al primo contatto con l’utente (art. 50 AI Act), secondo il calendario di applicazione dell’art. 113. Non basta scriverlo nelle condizioni generali. Questo vale per chatbot propri e per widget di terze parti che gestisci sul sito.
💰 Pricing dinamico e GDPR
Il pricing dinamico non rientra di per sé tra le categorie ad alto rischio dell’Allegato III AI Act. Se però è personalizzato su dati personali del cliente, va verificato il GDPR, incluso l’art. 22 nei casi di decisioni interamente automatizzate con effetti significativi. In questi casi si applicano gli obblighi GDPR: base giuridica, informativa trasparente e diritti degli interessati.
→ Guida GDPR e AI →
⚠️ Scoring e antifrode — verificare il livello di rischio
I sistemi AI usati per valutare affidabilità clienti, prevenire frodi o decidere sull’accesso a pagamenti a rate possono rientrare nell’alto rischio AI Act (Allegato III, punto 5b). Il rischio aumenta soprattutto quando il sistema incide su accesso a credito o servizi finanziari; non ogni sistema antifrode e-commerce rientra automaticamente nell’Allegato III.
→ DPIA per strumenti AI: quando serve davvero →
🔒 GDPR — profilazione e DPA
Recommender system, personalizzazione e targeting usano dati personali. Ogni fornitore di piattaforma AI usato per trattare dati di clienti richiede: verifica del ruolo privacy, DPA quando necessario, aggiornamento dell’informativa. I dati dei clienti (comportamento di acquisto, cronologia, preferenze) sono dati personali a tutti gli effetti.
→ Contratti fornitori AI: le clausole da controllare →
Checklist: AI Act e GDPR per e-commerce
→ Clausole da verificare nei contratti AI
→ Quando serve la DPIA
Domande frequenti — AI Act e e-commerce
Sì. Qualsiasi e-commerce che usa sistemi AI nell’UE rientra nel perimetro in qualità di deployer/utilizzatore, secondo il calendario di applicazione dell’AI Act (art. 113). Gli obblighi dipendono dal tipo di sistema: per recommender e generazione di contenuti il rischio è generalmente minimo; per chatbot scattano obblighi di trasparenza; per scoring e antifrode va verificato il livello di rischio.
Sì, dal 2 agosto 2026 secondo il calendario di applicazione dell’art. 113 AI Act. Il sistema deve informare l’utente di interagire con un sistema AI al primo contatto, salvo che questo sia già evidente dal contesto. Non è sufficiente una nota nelle FAQ o nelle condizioni generali.
No, non è vietato né classificato ad alto rischio dall’AI Act. Il pricing dinamico non rientra di per sé tra le categorie ad alto rischio dell’Allegato III. Se però è personalizzato su dati personali del cliente, va verificato il GDPR, incluso l’art. 22 nei casi di decisioni interamente automatizzate con effetti significativi.
Dipende dall’uso specifico. Il rischio aumenta soprattutto quando il sistema incide su accesso a credito o servizi finanziari; non ogni sistema antifrode e-commerce rientra automaticamente nell’Allegato III. I sistemi AI usati per la valutazione del merito creditizio di persone fisiche rientrano nell’alto rischio (Allegato III, punto 5b). Se il sistema determina l’accesso a pagamenti a rate o altri servizi finanziari, va verificato se rientra in questa categoria.
L’AI Act non impone direttamente una modifica all’informativa privacy, ma il GDPR richiede trasparenza su profilazione, personalizzazione e trattamenti automatizzati. Se usi AI per profilare clienti, personalizzare l’esperienza o prendere decisioni automatizzate, l’informativa deve descrivere questi trattamenti, le basi giuridiche e i diritti degli interessati. → Guida GDPR e AI
Leggi anche
Guida GDPR e AI
Obblighi del titolare, DPA, checklist operativa per PMI.
Leggi la guida →
Confronto 25+ Tool AI
DPA, training, server EU: tutti i tool a confronto per PMI.
Vedi il comparatore →
AI Act per PMI
La guida hub completa: obblighi, scadenze, livelli di rischio.
Leggi la guida →
📌 Altre guide settoriali: AI Act per commercialisti → | AI Act per agenzie di marketing →
Vuoi sapere quali tool AI sono conformi per il tuo e-commerce?
Abbiamo analizzato 25+ tool AI su DPA, training, server e conformità GDPR.
Fonti e riferimenti ufficiali
- Regolamento (UE) 2024/1689 (AI Act), testo ufficiale — eur-lex.europa.eu — CELEX:32024R1689
- AI Act, art. 50 — Obblighi di trasparenza; art. 113 — Calendario di applicazione; Allegato III — Sistemi ad alto rischio — eur-lex.europa.eu — CELEX:32024R1689
- Regolamento (UE) 2016/679 (GDPR), testo consolidato — eur-lex.europa.eu — CELEX:32016R0679
- Garante Privacy, sezione Intelligenza Artificiale — garanteprivacy.it/temi/intelligenza-artificiale
Le informazioni contenute in questa guida hanno finalità informative e non costituiscono consulenza legale. Per casi specifici è opportuno verificare con un professionista.