AI Act per PMI: cosa devi sapere nel 2026

L’AI Act è già in vigore. Se usi tool AI nella tua PMI – anche solo ChatGPT o un chatbot sul sito – qui trovi gli obblighi reali, le scadenze e cosa fare concretamente.

✓ Aggiornato a marzo 2026 · ✓ Fonti: testo ufficiale AI Act + Legge 132/2025 · ✓ Non è consulenza legale

📌 Guide settoriali AI Act: Commercialisti →  |  Agenzie di marketing →  |  E-commerce →

Cosa trovi in questa guida

Scadenze

Le date che contano per la tua PMI

Livelli di rischio

In quale categoria ricade il tuo uso dell’AI

Obblighi concreti

Cosa devi fare in pratica per ogni livello

Checklist

Verifica la tua situazione in 5 minuti

Le scadenze dell’AI Act per PMI: cosa è già in vigore

L’AI Act (Regolamento UE 2024/1689) si applica in modo progressivo dal 2025 al 2027. Ecco le scadenze chiave per le PMI italiane.

GIÀ IN VIGORE
2 febbraio 2025

Vietate le pratiche AI a rischio inaccettabile (social scoring, manipolazione subliminale). In vigore l’obbligo di AI literacy per tutti gli operatori di sistemi AI, incluse le PMI (art. 4). Le modalità concrete di formazione saranno dettagliate da linee guida UE e nazionali; l’obbligo di garantire competenze adeguate al personale è però già applicabile.

→ AI Literacy obbligatoria: cosa devono fare le PMI
GIÀ IN VIGORE
2 agosto 2025

Applicabili gli obblighi per i modelli di AI di uso generale (GPAI) e le regole di governance e autorità competenti a livello UE.

GIÀ IN VIGORE
10 ottobre 2025

In vigore la Legge italiana n. 132/2025 sull’intelligenza artificiale, che integra il quadro nazionale. La legge designa tra l’altro AgID e ACN con ruoli di riferimento nell’ambito dell’AI. La disciplina italiana di attuazione è in evoluzione: i decreti attuativi potranno precisare ulteriormente ruoli e modalità operative. Questa pagina sarà aggiornata in caso di modifiche rilevanti.

→ Legge AI Italia 2025: guida pratica per PMI
2027
2 agosto 2027

Entrata in applicazione dell’art. 6, par. 1 e relative disposizioni: estensione degli obblighi ad alcuni sistemi AI ad alto rischio già esistenti e a quelli integrati in prodotti regolati da normative settoriali UE.

Se aspetti l’ultimo momento, arrivi tardi. L’obbligo di AI literacy è già applicabile e la formazione del personale è il primo passo concreto.

In quale livello di rischio ricade la tua PMI?

L’AI Act classifica i sistemi AI in base al rischio. Non conta il nome del tool – conta come lo usi e su chi incide. Per capire se il tuo software rientra nella definizione di sistema AI secondo l’AI Act, la Commissione UE ha pubblicato linee guida con 7 criteri specifici. Lo stesso strumento può essere a rischio minimo in un contesto e alto in un altro.

LivelloEsempi praticiCosa devi fare
🔴 InaccettabileSocial scoring, manipolazione subliminale, riconoscimento facciale di massaVietato. Punto.
🟠 Alto rischioScreening CV automatizzato, scoring creditizio, software HR che valuta performance, sistemi di accesso a servizi essenzialiDocumentazione tecnica, audit, supervisione umana, registrazione, DPIA
🟡 Rischio limitatoChatbot che interagiscono con utenti, generazione di contenuti AI, deepfakeObbligo di trasparenza: l’utente deve sapere che sta interagendo con AI
🟢 Rischio minimoFiltri spam, raccomandazioni prodotto, AI nei videogiochi, assistente scrittura internoNessun obbligo specifico dall’AI Act. Restano applicabili le altre normative (GDPR se tratti dati personali, normativa sulla sicurezza sul lavoro, ecc.)

La stragrande maggioranza delle PMI italiane che usa AI ricade nel rischio limitato o minimo.

Non è sempre ovvio dove ricadi. Un chatbot sul sito è rischio limitato, ma se quel chatbot gestisce richieste di credito o assicurazioni, potrebbe diventare alto rischio. In caso di dubbio, la regola è: se il sistema AI incide su diritti delle persone o su decisioni importanti (lavoro, credito, salute), trattalo come alto rischio fino a verifica.

Cosa devi fare in pratica

Se usi AI a rischio minimo o limitato (la maggior parte delle PMI):

Questi sono gli obblighi minimi che ti riguardano già oggi o dal 2 agosto 2026:

  • Trasparenza (art. 50 AI Act, applicabile dal 2 agosto 2026): se hai un chatbot sul sito, dovrà dichiarare di essere AI al primo contatto. Non basta una nota nel footer. Per i contenuti generati o manipolati da AI (testi, immagini, audio, video), valgono obblighi di etichettatura e identificabilità.
  • AI literacy (art. 4, già in vigore dal feb 2025): il personale che usa tool AI deve avere una formazione minima documentata. L’obbligo riguarda tutti gli operatori di sistemi AI; le modalità concrete (durata, formato) saranno dettagliate da linee guida UE e nazionali, ma l’obbligo di garantire competenze adeguate è già applicabile.
  • Informativa privacy (best practice derivante dal GDPR): l’AI Act non impone testualmente di menzionare l’uso di AI nella privacy policy, ma il GDPR richiede trasparenza sugli strumenti usati per trattare dati personali, specialmente se comportano profilazione o decisioni automatizzate. Per una PMI è una best practice fortemente raccomandata aggiornare privacy policy e contratti con i clienti.
  • Contenuti AI: se generi contenuti con AI per uso commerciale, gli obblighi di trasparenza dell’art. 50 richiedono che i contenuti sintetici siano identificabili come tali. Il controllo umano sul risultato finale resta una best practice operativa importante.

AI Literacy obbligatoria: guida completa

Se usi AI ad alto rischio (HR, credito, scoring, sanità):

Gli obblighi sono significativamente più pesanti. In sintesi:

  • Documentazione tecnica completa del sistema
  • Valutazione di conformità prima dell’uso
  • Supervisione umana obbligatoria sulle decisioni
  • Registro delle attività e log del sistema
  • DPIA ai sensi del GDPR se tratti dati personali
  • Possibile obbligo di registrazione nella banca dati EU

Se rientri in questa categoria, la checklist di questa pagina non basta – serve una verifica approfondita, possibilmente con un consulente.

DPIA per strumenti AI: quando serve davvero
Contratti fornitori AI: le clausole da controllare

Questi strumenti comuni possono rientrare nell’alto rischio

Non serve avere un reparto tech. Questi usi AI, diffusi anche nelle PMI, possono ricadere nell’alto rischio:

  • Tool di selezione CV automatizzata o ranking candidati
  • Software HR che valuta performance dei dipendenti
  • Chatbot che gestiscono richieste di credito o assicurazioni
  • Sistemi di scoring clienti usati per decisioni su accesso a servizi
  • AI usata in contesto sanitario per supporto diagnostico

Se usi uno di questi, hai obblighi specifici che vanno oltre la semplice trasparenza. Il primo passo è mappare cosa usi e come.

Mappatura strumenti AI in azienda: come farla

Checklist AI Act per la tua PMI

0 di 10 completati
1 Mappatura e classificazione 0/3
Hai elencato tutti gli strumenti AI usati in azienda (anche quelli informali)?
→ Come fare la mappatura
Hai verificato il livello di rischio di ciascuno?
Hai individuato un referente interno per la governance AI?
2 Trasparenza 0/3
I chatbot sul sito dichiarano di essere AI al primo contatto?
Obbligo art. 50 AI Act — applicabile dal 2 agosto 2026
La tua privacy policy menziona l’uso di strumenti AI?
Best practice GDPR, fortemente raccomandata
I contenuti generati con AI sono identificabili come tali?
3 Formazione 0/2
Il personale che usa tool AI ha ricevuto formazione minima documentata?
Art. 4 AI Act — già in vigore dal 2 febbraio 2025
→ Guida AI Literacy obbligatoria
Esiste una policy interna sull’uso dell’AI in azienda?
4 Documentazione (se alto rischio) 0/2
Hai documentazione tecnica del sistema AI in uso?
→ Clausole da verificare nei contratti AI
Hai valutato la necessità di una DPIA?
→ Quando serve la DPIA
Risorsa gratuita
Vuoi la versione stampabile?
Scarica la Checklist GDPR + AI Act in PDF — 30+ voci, riferimenti normativi, aggiornata a marzo 2026.
Scarica il PDF

Approfondimenti

AI Literacy obbligatoria

Cosa devono fare le PMI italiane dal 2025. Leggi la guida →

Legge AI Italia 2025

Cosa prevede la Legge 132/2025 per PMI e freelance. Leggi di più →

Mappatura strumenti AI

Come censire i tool AI usati in azienda.
Leggi la guida →

DPIA per strumenti AI

Quando la valutazione d’impatto è necessaria. Scopri quando serve →

Contratti con fornitori AI

Le clausole da verificare nei contratti con provider AI. Leggi l’approfondimento →

Ultimi articoli sull’AI Act

Vuoi mettere in regola la tua PMI?

Leggi la guida GDPR per capire i tuoi obblighi privacy, o confronta i tool AI per scegliere quelli conformi.

Guida GDPR u0026amp; AI → Confronta i tool AI →

Le informazioni contenute in questa guida hanno finalità informative e non costituiscono consulenza legale. Per casi specifici – soprattutto in ambito HR, credito, sanità o sistemi ad alto rischio – è opportuno verificare con un professionista. Sul fronte GDPR, il Digital Omnibus propone semplificazioni per le PMI che il Parlamento UE ha già votato.

Fonti e riferimenti ufficiali