AI agentica AI Act: quando gli agenti diventano ad alto rischio per le PMI
Nota importante: questo contenuto ha finalità informative e non costituisce consulenza legale. Il Parlamento UE ha votato il 26 marzo 2026 il rinvio degli obblighi per i sistemi ad alto rischio. Le scadenze indicate riflettono la posizione del Parlamento, non ancora il testo definitivo.
L’AI agentica AI Act è il tema che ogni PMI italiana che usa strumenti di automazione dovrebbe iniziare a seguire. Fino a ieri, l’intelligenza artificiale in azienda significava chatbot che rispondono a domande e assistenti che generano testi. Oggi il panorama sta cambiando: secondo le stime di Omdia, entro il 2030 gli agenti AI rappresenteranno il 31% dell’intero mercato dell’AI generativa. E molti di questi agenti, quando operano in ambiti come la selezione del personale o il credito, ricadono nella categoria ad alto rischio dell’AI Act.
La domanda concreta per una PMI non è “cos’è l’AI agentica” in astratto. È: quel software che ho in azienda – il CRM che qualifica i lead in autonomia, l’agente che risponde ai clienti e apre ticket, il tool HR che filtra i CV – sta facendo qualcosa che l’AI Act considera ad alto rischio? E se sì, cosa devo fare?
Cosa sono gli agenti AI e perché non sono chatbot
Un chatbot tradizionale è reattivo: riceve una domanda, cerca la risposta migliore e la restituisce. Non pianifica, non agisce, non ha memoria tra una conversazione e l’altra. Un agente AI è diverso. Riceve un obiettivo e agisce in autonomia per raggiungerlo: scompone il problema in sotto-attività, usa strumenti esterni come CRM, database o email, prende decisioni operative e corregge il proprio comportamento in base ai risultati intermedi.
In pratica, se chiedi a un chatbot “qual è il miglior fornitore per questo componente?”, ti dà una lista. Se lo chiedi a un agente AI, confronta i preventivi nel gestionale, verifica le disponibilità, prepara un ordine e te lo sottopone per approvazione. La differenza è tra un sistema che risponde e uno che agisce.
Le piattaforme più diffuse stanno già integrando agenti AI nei loro prodotti: Microsoft con Copilot Studio, Salesforce con Agentforce, Google con Vertex AI Agent Builder. Anche tool più semplici come i workflow automatizzati in Notion o Make.com possono incorporare logiche agentiche quando concatenano azioni su più sistemi senza intervento umano.
AI agentica AI Act: quando scatta l’alto rischio
L’AI Act (Regolamento UE 2024/1689) classifica i sistemi AI per livello di rischio. Gli agenti AI non sono automaticamente ad alto rischio: dipende da cosa fanno e in quale contesto operano. Il criterio è nell’Allegato III del Regolamento, che elenca i settori e gli usi specifici considerati ad alto rischio.
Un agente AI ricade nell’alto rischio quando prende o influenza decisioni che riguardano persone in questi ambiti: selezione e gestione del personale (screening CV, ranking candidati, valutazione performance), accesso al credito e ai servizi finanziari (scoring, valutazione del rischio), istruzione (valutazione studenti, ammissioni), infrastrutture critiche, amministrazione della giustizia. Per capire se un software rientra nella definizione di sistema AI secondo l’AI Act, esiste un test ufficiale della Commissione UE.
Il punto chiave per le PMI: non conta quanto è sofisticato il sistema. Conta cosa fa. Un agente AI che risponde a domande generiche sui prodotti è a rischio minimo. Lo stesso agente, se qualifica i lead assegnando punteggi che determinano chi riceve un’offerta di credito, è ad alto rischio.
Le scadenze: cosa è già in vigore e cosa arriva
Il calendario dell’AI Act è stratificato. Alcuni obblighi sono già attivi, altri arriveranno nei prossimi anni.
Già in vigore dal 2 febbraio 2025: i divieti per i sistemi a rischio inaccettabile (social scoring, manipolazione subliminale, sorveglianza biometrica di massa) e l’obbligo di AI literacy per tutto il personale che usa sistemi AI.
Dal 2 agosto 2026: gli obblighi di trasparenza – i chatbot e gli agenti AI che interagiscono con le persone devono dichiarare di essere sistemi AI. I contenuti generati devono essere marcati (watermarking). Questa scadenza non è stata rinviata.
Rinvio approvato dal Parlamento UE il 26 marzo 2026: gli obblighi per i sistemi ad alto rischio slittano a dicembre 2027 e agosto 2028. La posizione del Parlamento deve ancora essere coordinata con il Consiglio UE. In Italia, la Legge 132/2025 integra l’AI Act con disposizioni nazionali già operative.
Tre scenari concreti per PMI italiane
E-commerce con agente AI nel customer care
Un negozio online integra un agente AI che gestisce le richieste dei clienti: risponde a domande sui prodotti, apre ticket, modifica ordini e propone soluzioni per i resi. L’agente accede al CRM, allo storico ordini e al sistema di pagamento. Questo uso ricade nel rischio limitato: l’agente deve dichiarare di essere un sistema AI (obbligo di trasparenza dal 2 agosto 2026), ma non è ad alto rischio perché non prende decisioni che incidono su diritti fondamentali. Gli obblighi GDPR si applicano integralmente: serve un DPA con il fornitore e un’informativa che menziona l’uso di AI.
Studio professionale con agente AI per lo screening CV
Uno studio di consulenza con 30 dipendenti attiva un agente AI nel software HR che filtra automaticamente i curriculum ricevuti, assegna un punteggio a ogni candidato e suggerisce una shortlist. L’agente accede ai dati personali dei candidati e prende decisioni che influenzano direttamente le loro opportunità di lavoro. Questo è un sistema ad alto rischio secondo l’Allegato III dell’AI Act. Quando gli obblighi entreranno in vigore, serviranno documentazione tecnica, supervisione umana effettiva, gestione del rischio e registrazione nel database europeo.
Agenzia di marketing con agente AI che qualifica i lead
Un’agenzia usa un agente AI nel CRM che analizza il comportamento dei prospect, assegna punteggi di qualificazione e decide autonomamente quali contatti ricevono un’offerta commerciale e quali vengono scartati. Se il punteggio determina l’accesso a un servizio finanziario o assicurativo, è alto rischio. Se determina solo la priorità di contatto commerciale, il livello di rischio è più basso. La differenza sta nell’impatto della decisione sulla persona. In entrambi i casi, il GDPR richiede una valutazione d’impatto (DPIA) se il sistema profila sistematicamente le persone.
Cosa deve fare una PMI adesso
Mappare gli agenti AI in uso. Il primo passo è sapere quanti e quali agenti AI operano in azienda. Non solo quelli comprati come “prodotto AI”, ma anche le automazioni integrate nei software che già usi: CRM, software HR, tool di marketing automation, piattaforme di customer care. La guida alla mappatura degli strumenti AI spiega come fare.
Classificare il livello di rischio. Per ogni agente, chiediti: questo sistema prende o influenza decisioni che riguardano persone? In quale ambito? Se opera nella selezione del personale, nel credito, nella valutazione delle performance o nell’accesso a servizi essenziali, è probabilmente ad alto rischio.
Verificare gli obblighi già attivi. Anche senza aspettare le scadenze per l’alto rischio, ci sono obblighi che si applicano già oggi: la formazione del personale (AI literacy), la trasparenza verso gli utenti che interagiscono con sistemi AI, e tutti gli obblighi GDPR quando l’agente tratta dati personali. Il recente provvedimento del Garante contro Amazon sui dati dei lavoratori dimostra che anche piattaforme HR con algoritmi di scoring sono sotto osservazione.
Definire la supervisione umana. L’AI Act richiede che i sistemi ad alto rischio siano progettati per consentire una supervisione umana effettiva. Per una PMI, questo significa che nessun agente AI dovrebbe prendere decisioni definitive su persone senza che un essere umano possa intervenire, verificare e correggere. Il modello “human-in-the-loop” – l’agente agisce, l’umano approva le decisioni critiche – è il punto di partenza.
Il nesso tra AI agentica AI Act e GDPR: due regimi, un’unica responsabilità
Gli agenti AI che trattano dati personali devono rispettare sia l’AI Act sia il GDPR. I due regimi non si sostituiscono: si sommano. L’AI Act regola il sistema in quanto tale (classificazione, documentazione, supervisione). Il GDPR regola il trattamento dei dati personali che il sistema effettua (base giuridica, informativa, diritti degli interessati, sicurezza).
Il GDPR Omnibus propone di riconoscere esplicitamente il legittimo interesse come base giuridica per lo sviluppo di sistemi AI, ma con salvaguardie. Per le PMI che usano agenti AI come deployer, gli obblighi GDPR restano invariati: serve un DPA con il provider, un’informativa che menziona l’uso di AI e, se il sistema profila persone, una DPIA. Per un quadro completo degli obblighi privacy applicabili, consulta la guida GDPR e AI per PMI.
Questo articolo non costituisce consulenza legale.
