AI Act: cosa fare entro agosto 2026 se usi strumenti AI in azienda
Mancano meno di 100 giorni. Il 2 agosto 2026 è la data in cui il Regolamento UE 2024/1689 diventa pienamente applicabile per la stragrande maggioranza delle aziende che usano strumenti di intelligenza artificiale. Non è una scadenza teorica: da quella data scatta il regime sanzionatorio su trasparenza, supervisione umana e, per chi usa sistemi classificati ad alto rischio, obblighi di documentazione, log e conformità che avrebbero richiesto mesi di preparazione.
Il problema è che la maggior parte delle PMI italiane non sa ancora dove si trova. Non perché non voglia adeguarsi, ma perché la narrativa pubblica sull'AI Act ha creato due distorsioni opposte: chi pensa che "riguardi solo le grandi aziende" e chi è convinto di dover bloccare tutto per paura delle sanzioni. Nessuna delle due è corretta.
01 ·La timeline che quasi nessuno conosce per intero
L'AI Act non è entrato in vigore il 2 agosto 2026. È entrato in vigore il 1 agosto 2024, con un'applicazione graduale progettata per dare tempo alle imprese di adeguarsi. Il problema è che alcune scadenze intermedie sono già passate e molte aziende non se ne sono accorte.
La scadenza di febbraio 2025 è già passata. Se la vostra azienda usa ChatGPT, Copilot o qualsiasi altro strumento AI e non ha ancora fatto formazione documentata al personale, è già tecnicamente non conforme.
02 ·La domanda che cambia tutto: siete provider o deployer?
Prima di capire cosa fare, bisogna capire chi siete nella catena dell'AI Act. Il Regolamento distingue due figure principali.
Provider è chi sviluppa o immette sul mercato un sistema AI. Se usate ChatGPT, Claude o Copilot di terze parti, non siete provider. Lo sono OpenAI, Anthropic, Microsoft.
Deployer è chi utilizza un sistema AI già esistente nell'ambito della propria attività professionale o commerciale. Se usate uno qualsiasi di questi strumenti per gestire email, analizzare dati, rispondere ai clienti o automatizzare processi, siete deployer.
Questa distinzione è cruciale perché gli obblighi più pesanti ricadono sui provider. I deployer hanno obblighi più leggeri, ma non zero. E soprattutto, se personalizzate un sistema AI (es. costruite un chatbot con un LLM di base), mettete il vostro brand su un prodotto AI, o modificate sostanzialmente un sistema esistente, la legge vi considera provider a tutti gli effetti.
Costruire un agente AI interno con n8n o Make che usa un LLM di base per rispondere ai clienti può farvi passare da deployer a provider. La discriminante è il grado di personalizzazione e se il sistema è rivolto verso l'esterno con il vostro marchio.
03 ·Cosa usate già oggi e in quale categoria ricade
La domanda più pratica è: gli strumenti AI che usate quotidianamente ricadono in quale categoria di rischio? La risposta, per la grande maggioranza delle PMI manifatturiere e di servizi, è rassicurante: la maggior parte delle applicazioni AI tipiche ricade nelle categorie a rischio minimo o limitato.
| Applicazione AI | Rischio | Obblighi da agosto 2026 |
|---|---|---|
| ChatGPT / Claude per email, testi, report | Minimo | Nessun obbligo specifico |
| n8n / Make per automazione workflow interni | Minimo | Nessun obbligo specifico |
| OCR + AI per estrazione fatture e DDT | Minimo | Nessun obbligo specifico |
| Demand forecasting su dati interni | Minimo | Nessun obbligo specifico |
| Manutenzione predittiva | Minimo | Nessun obbligo specifico |
| Computer vision quality control | Minimo | Nessun obbligo specifico |
| Chatbot verso clienti esterni | Limitato | Informare l'utente che parla con un'AI (Art. 50) |
| Contenuti AI-generated pubblicati | Limitato | Marcatura in formato machine-readable |
| AI per selezione candidati / HR | Alto | Documentazione, supervisione umana, log 6 mesi |
| AI per credit scoring o accesso servizi | Alto | Documentazione, supervisione umana, log 6 mesi |
| AI per valutazione performance dipendenti | Alto | Documentazione, supervisione umana, log 6 mesi |
La nota importante riguarda il manifatturiero: l'AI usata per la sicurezza sul lavoro (sistemi di rilevamento anomalie su macchinari con impatto sulla safety degli operatori) è esplicitamente classificata come ad alto rischio. Non la manutenzione predittiva generica, ma i sistemi che prendono o supportano decisioni sulla sicurezza delle persone.
Per approfondire come integrare correttamente l'AI nei processi della tua PMI, leggi la guida AI per PMI: come integrare l'intelligenza artificiale nei processi.
04 ·I tre obblighi che riguardano quasi tutti
1. AI Literacy: la formazione obbligatoria già dal febbraio 2025
L'articolo 4 dell'AI Act impone che tutte le aziende che usano o forniscono sistemi AI garantiscano un livello sufficiente di alfabetizzazione AI al personale. Non si tratta di un corso facoltativo: è un obbligo già in vigore, già sanzionabile.
Cosa significa concretamente:
- Chi usa ChatGPT, Copilot o qualsiasi strumento AI professionalmente deve aver ricevuto formazione su rischi, limiti e buone pratiche dello strumento
- La formazione deve essere documentata: non basta farla, bisogna poter dimostrare di averla fatta (registro, attestati, verbali)
- Il livello di formazione deve essere proporzionato al ruolo: chi supervisiona sistemi AI ha obblighi diversi da chi li usa occasionalmente
La Commissione Europea ha pubblicato FAQ esplicite: l'obbligo non richiede un programma formale specifico, ma le aziende devono adottare "misure" adeguate e dimostrabili.
Azione immediata: censire chi in azienda usa strumenti AI, definire un percorso formativo minimo (anche un modulo e-learning di 90 minuti va bene), documentarlo.
2. Trasparenza verso gli utenti: Art. 50 in vigore dal 2 agosto 2026
Se la vostra azienda usa un chatbot sul sito, risposte automatizzate verso clienti, o qualsiasi sistema AI che interagisce direttamente con persone esterne, dall'agosto 2026 siete obbligati a:
- Informare chiaramente l'utente che sta interagendo con un sistema AI (non "potrebbe essere", non "probabilmente": deve essere esplicito)
- Marcature machine-readable su contenuti AI-generated pubblicati (testi, audio, immagini, video)
- Disclaimer esplicito per deepfake o contenuti manipolati
L'obbligo ricade sul deployer, cioè su chi usa il chatbot sul proprio sito, non solo su chi lo ha sviluppato. Se avete comprato un chatbot da un fornitore e lo avete integrato sul vostro sito, è responsabilità vostra verificare che abbia l'avviso obbligatorio.
Azione entro agosto 2026: controllare che tutti i touchpoint AI verso l'esterno abbiano avvisi di trasparenza visibili e permanenti.
3. Inventario e classificazione dei sistemi AI
Non potete essere conformi a una normativa sul rischio AI se non sapete quali sistemi AI state usando. La mappatura non è solo buona pratica: è il prerequisito per qualsiasi altro obbligo.
Molte PMI scoprono di avere AI in più punti di quanto pensassero: lo strumento di screening CV del gestionale HR, il modulo di scoring nel CRM, il filtro intelligente nella piattaforma di email marketing. Alcuni di questi possono essere ad alto rischio senza che l'azienda lo sappia.
In Italia, l'autorità che vigila ed effettua ispezioni è ACN (Agenzia per la Cybersicurezza Nazionale), con poteri ispettivi e sanzionatori. Lo stesso ente che vigila sulla NIS2: una ragione in più per affrontare governance AI e cybersecurity come un unico flusso di lavoro. AgID ha invece il ruolo di supporto e promozione dell'adozione.
05 ·Se usate sistemi ad alto rischio: cosa fare concretamente
Per chi usa o considera di usare AI in ambiti HR, credito, o sicurezza, gli obblighi da agosto 2026 sono più sostanziosi.
Come deployer di un sistema ad alto rischio (Art. 26):
- Usare il sistema secondo le istruzioni del provider: non adattarlo a usi per cui non è stato validato
- Garantire supervisione umana effettiva: non basta che un umano sia in teoria responsabile; bisogna che possa realmente monitorare e intervenire
- Conservare i log automatici per almeno 6 mesi: obbligatorio per audit e verifiche
- Segnalare incidenti o rischi gravi alle autorità competenti (ACN/AgID)
- Verificare la registrazione UE del sistema nella banca dati europea prima di metterlo in servizio
- Condurre una FRIA (Fundamental Rights Impact Assessment) se siete un ente pubblico o usate il sistema su categorie di persone vulnerabili
La parte più importante del punto 3: i 6 mesi di log devono essere disponibili in questo momento se state già usando sistemi ad alto rischio. Non è un obbligo che parte dal 2 agosto: è un obbligo retroattivo sul periodo di utilizzo.
06 ·Il quadro sanzionatorio: i numeri che il board deve conoscere
Le sanzioni dell'AI Act sono tra le più elevate nel panorama regolamentare europeo.
Per PMI e startup si applica il massimale più basso tra importo assoluto e percentuale del fatturato. Il principio è la proporzionalità, ma non significa impunità: una PMI con 5 milioni di fatturato che viola gli obblighi sui sistemi ad alto rischio può ricevere una sanzione fino a 150.000 euro.
Un elemento spesso trascurato: la non conformità non produce solo sanzioni dirette. Aggrava la responsabilità legale in caso di danni causati dal sistema AI. Se un'automazione AI causa un errore che danneggia un cliente, e l'azienda non ha rispettato gli obblighi di supervisione e documentazione, la posizione giuridica è significativamente peggiore.
Chi segue il percorso NIS2 ha già familiarità con il principio: la compliance non è solo evitare la sanzione, è proteggere l'azienda in modo strutturale.
07 ·Il piano d'azione pratico: cosa fare nei prossimi 100 giorni
Basandosi sugli obblighi effettivi e sulle priorità di rischio, ecco la sequenza operativa per una PMI che parte da zero.
Settimane 1-2: Inventario AI (4-8 ore). Censire tutti gli strumenti AI in uso in azienda, inclusi quelli "shadow" (usati dai dipendenti senza approvazione IT). Per ciascuno: chi lo usa, per quale scopo, tocca persone esterne o solo processi interni? Classificare il livello di rischio usando la tabella dell'Allegato III come riferimento.
Settimane 3-4: AI Literacy (già obbligatorio da feb 2025). Definire un percorso formativo minimo per i dipendenti che usano AI, anche 90 minuti strutturati. Documentare: chi ha fatto la formazione, quando, con quali contenuti. Nominare un referente interno che tiene il registro aggiornato.
Settimane 5-8: Trasparenza verso l'esterno. Verificare ogni punto di contatto AI con clienti o utenti esterni. Aggiungere avvisi espliciti su chatbot, risposte automatizzate, contenuti AI-generated. Controllare che i fornitori dei tool siano conformi all'Art. 50 nei sistemi che rivendono o forniscono.
Settimane 9-12: Sistemi ad alto rischio (se presenti). Attivare conservazione sistematica dei log (6 mesi minimi). Verificare che il sistema sia registrato nella banca dati UE. Documentare le procedure di supervisione umana. Valutare se è necessaria una DPIA aggiornata (GDPR + FRIA AI Act).
Settimana 12+: Governance strutturata. Aggiornare il Modello Organizzativo 231 con i nuovi rischi AI. Definire una policy interna sull'uso degli strumenti AI, differenziata per livello di rischio. Pianificare revisioni semestrali dell'inventario (i tool cambiano velocemente).
Se la governance IT è un tema nuovo per la vostra azienda, un Fractional CTO può strutturare l'intero percorso di adeguamento, dall'inventario alla policy, senza il costo di una figura full-time. Allo stesso modo, un consulente informatico specializzato può gestire l'audit iniziale e la classificazione del rischio.
08 ·La buona notizia che nessuno racconta
L'AI Act non è nato per bloccare l'innovazione nelle PMI. La Commissione Europea è esplicita: i controlli iniziali si concentreranno sulle grandi aziende e sui rischi sistemici. E la grande maggioranza delle applicazioni AI tipiche di una PMI manifatturiera o di servizi ricade nella categoria a rischio minimo, senza obblighi specifici.
Il valore reale dell'adeguamento per una PMI non è "evitare la multa": è costruire una governance AI che protegge l'azienda in modo strutturale. Dai rischi legali in caso di errori del sistema, dalla responsabilità personale degli amministratori, e dal rischio reputazionale crescente che i clienti business stanno iniziando a valutare nei propri fornitori.
Chi arriva al 2 agosto 2026 con un inventario AI documentato, una formazione tracciata e i log in place non ha completato un adempimento burocratico. Ha costruito le fondamenta di un sistema di governo dell'AI che vale molto di più della compliance in sé.
Se non sai da dove partire con l'inventario AI e la classificazione del rischio, un audit tecnologico ti dà la mappa completa in 2-3 settimane: infrastruttura, strumenti AI in uso, gap di conformità e piano d'azione prioritizzato.