La compliance AI non è un adempimento formale uguale per tutti. È un insieme di obblighi che dipendono da cosa fai con l’intelligenza artificiale, non solo da quanti dipendenti hai in organico.
Molte PMI mi chiamano convinte di essere fuori scope perché “siamo piccoli”. Spesso si sbagliano. L’AI Act europeo non guarda al fatturato o al numero di addetti: guarda all’uso che fai dei sistemi di intelligenza artificiale e al ruolo che ricopri nella catena del valore.
In questa pagina ti spiego cosa cambia concretamente per un’azienda da 30 persone, quali sono gli obblighi reali e quali invece sono allarmismi commerciali. Senza scorciatoie e senza vendita di paura.
Quando la compliance AI riguarda davvero la mia azienda
L’AI Act si applica a chi sviluppa, distribuisce o utilizza sistemi di intelligenza artificiale all’interno dell’Unione Europea. Non c’è una soglia minima dimensionale. Una PMI da 30 dipendenti che usa ChatGPT per scrivere email tecnicamente rientra nel perimetro, anche se gli obblighi concreti in quel caso sono minimi.
La domanda corretta non è “sono obbligato?” ma “quale livello di rischio hanno i sistemi AI che uso?”. Il regolamento classifica gli usi in quattro categorie: rischio inaccettabile, alto, limitato e minimo. La maggior parte delle PMI italiane lavora con sistemi a rischio limitato o minimo, dove gli adempimenti sono ragionevoli.
I quattro livelli di rischio e dove ti collochi
Capire la classificazione è il primo passo operativo. Senza questo, ogni discussione sulla compliance diventa fumosa e ogni preventivo di consulenza diventa difendibile dal venditore di turno.
Le categorie previste dall’AI Act:
- Rischio inaccettabile: sistemi vietati come social scoring o manipolazione comportamentale. Quasi nessuna PMI rientra qui.
- Rischio alto: AI usata in HR per selezione personale, scoring creditizio, sicurezza prodotti. Qui gli obblighi sono pesanti.
- Rischio limitato: chatbot, sistemi di generazione contenuti, deepfake. Obbligo principale: trasparenza verso l’utente.
- Rischio minimo: filtri antispam, suggeritori di testo, AI in software gestionali standard. Nessun obbligo specifico.
- Modelli general purpose: tipo GPT, Claude, Gemini. Gli obblighi pesano sui fornitori, non su chi li usa.
Se la tua PMI usa AI per selezionare CV, valutare dipendenti o scoring clienti, sei in fascia alta e gli adempimenti sono seri. Se usi AI per scrivere bozze o riassumere documenti, sei in fascia bassa e basta poco.
Cosa devo fare concretamente se ho 30 dipendenti
Il primo passaggio è una mappatura degli strumenti AI realmente in uso. Spesso scopro che in aziende da 30 persone girano sei o sette tool diversi, adottati dai singoli reparti senza coordinamento. Questo è il vero rischio, più del regolamento.
Poi serve definire una policy interna d’uso: cosa si può inserire nei prompt, quali dati non devono mai uscire dall’azienda, chi è responsabile di cosa. Non serve un documento da cento pagine. Serve un testo operativo che le persone leggano davvero.
Formazione del personale: questo sì è un obbligo concreto
Dal febbraio 2025 è in vigore l’articolo 4 dell’AI Act, che impone a chi usa sistemi AI di garantire un livello adeguato di alfabetizzazione del personale. Questo riguarda tutte le aziende, comprese le PMI da 30 dipendenti, senza eccezioni dimensionali.
Non significa mandare tutti a un master. Significa documentare che le persone che usano AI nei processi aziendali sanno cosa stanno facendo, conoscono i limiti degli strumenti e capiscono i rischi. La Formazione AI strutturata è il modo più semplice per dimostrare conformità su questo punto.
Domande frequenti
Se uso solo ChatGPT in versione gratuita, devo preoccuparmi?
Dipende da come lo usi. Se lo usi per scrivere bozze di email o brainstorming, sei in fascia di rischio minimo e non hai obblighi specifici oltre alla formazione del personale. Se invece ci inserisci dati di clienti, candidati o informazioni riservate, il problema non è l’AI Act ma il GDPR, che è già pienamente in vigore e prevede sanzioni concrete.
Quali sanzioni rischio se ignoro la compliance AI?
Le sanzioni dell’AI Act arrivano fino a 35 milioni di euro o al 7% del fatturato globale per le violazioni più gravi. Per una PMI il rischio realistico è diverso: contestazioni in caso di controversie lavorative (se usi AI in HR), problemi contrattuali con clienti B2B che richiedono garanzie di conformità, danni reputazionali in caso di incidenti.
Quanto tempo serve per mettersi in regola?
Per una PMI da 30 dipendenti con usi a rischio limitato, parliamo di 4-8 settimane di lavoro effettivo: mappatura, policy interna, formazione del personale, documentazione. Se invece usi AI in processi a rischio alto, i tempi si allungano e servono valutazioni d’impatto strutturate. Meglio partire prima che essere costretti a recuperare in fretta.
Posso gestire tutto internamente o serve un consulente esterno?
Se hai una funzione legale o compliance interna competente sui temi digitali, puoi gestire molto in autonomia. Nella maggior parte delle PMI italiane questa figura non esiste. In quel caso un AI Manager Esterno o una Consulenza AI mirata permette di chiudere la pratica senza assumere personale dedicato e senza improvvisare.
Da dove conviene iniziare se non ho ancora fatto nulla?
Dall’AI Assessment: una fotografia oggettiva di quali strumenti AI girano in azienda, chi li usa, per quali processi e con quali dati. Senza questa base ogni piano di compliance è teorico. Una volta che hai la mappa reale, definire priorità e adempimenti diventa un esercizio concreto invece che un’astrazione regolamentare.
Parliamone con i dati della tua azienda davanti
Se hai una PMI da 30 dipendenti e stai cercando di capire dove ti collochi davvero rispetto all’AI Act, il modo migliore è un confronto diretto sui tuoi processi reali.
Ogni azienda ha una situazione diversa: chi usa AI in HR ha priorità diverse da chi la usa nel marketing o nella produzione. Un primo confronto serve esattamente a questo: capire se hai obblighi concreti, quali sono e se vale la pena strutturare un percorso o se bastano pochi accorgimenti.
Se vuoi fare chiarezza senza vendite di fumo, scrivimi dalla pagina contatti e organizziamo una prima call.