Mancano pochi mesi all’entrata in vigore degli obblighi più pesanti dell’AI Act, e la maggior parte delle piccole e medie imprese italiane non sa nemmeno di essere coinvolta.
Il 2 agosto 2026 diventano applicabili le regole sui sistemi di IA ad alto rischio, sui modelli di IA per finalità generali e sull’impianto sanzionatorio completo. Non riguarda solo le big tech: tocca chiunque usi, integri o riadatti sistemi di intelligenza artificiale nei propri processi.
Nelle PMI con cui lavoro vedo lo stesso schema. Si introducono strumenti di IA in HR, marketing, customer service o produzione senza una mappatura del rischio, senza documentazione, senza un responsabile interno. Il problema non è la tecnologia. È l’assenza di governance.
Cosa cambia davvero il 2 agosto 2026
Da quella data si applicano gli obblighi sui sistemi ad alto rischio elencati nell’Allegato III del Regolamento. Parliamo di IA usata in selezione del personale, valutazione dei dipendenti, accesso al credito, gestione di infrastrutture critiche, scoring assicurativo. Molte PMI usano già strumenti che ricadono in queste categorie, spesso senza saperlo.
Diventano operative anche le sanzioni. Si arriva fino a 35 milioni di euro o al 7% del fatturato mondiale annuo per le violazioni più gravi. Per una PMI italiana, questo significa che un singolo errore di compliance può mettere in discussione la continuità aziendale.
Perché il 90% delle PMI è fuori controllo
Nelle aziende che incontro la situazione è quasi sempre la stessa. C’è un ufficio HR che usa un sistema di screening dei CV basato su IA. C’è il marketing che genera contenuti con tool generativi. C’è un gestionale che ha integrato funzioni di analisi predittiva. Nessuno ha fatto un censimento.
I punti dove tipicamente trovo esposizione al rischio:
- Selezione del personale: software di screening automatico dei candidati, spesso forniti da terze parti, senza valutazione del bias né documentazione tecnica.
- Valutazione delle performance: strumenti che analizzano produttività o comportamenti dei dipendenti, classificati come alto rischio dall’AI Act.
- Customer service automatizzato: chatbot e assistenti virtuali senza obblighi di trasparenza verso l’utente finale.
- Marketing e contenuti: uso di IA generativa senza policy interne sull’attribuzione, sulla verifica e sui diritti d’autore.
- Decisioni su clienti: scoring, pricing dinamico, segmentazioni che possono ricadere sotto le regole sui sistemi ad alto rischio.
In nessuno di questi casi basta avere il software. Servono mappatura, documentazione, valutazione di conformità, formazione del personale e un presidio organizzativo continuativo.
Cosa significa adeguarsi, in concreto
Adeguarsi all’AI Act non è un esercizio formale da delegare a un legale esterno. È un lavoro che tocca processi, ruoli e dati. Serve capire dove l’IA è già in uso, classificare ogni sistema secondo le categorie del Regolamento, definire chi risponde di cosa internamente.
Poi c’è la parte documentale. Registri dei sistemi, valutazioni di impatto, informative agli utenti, procedure di monitoraggio. Tutto deve essere tracciabile e dimostrabile in caso di controllo. Senza un metodo, le PMI si trovano a costruire questi presidi di corsa, male, e con costi superiori a quelli di un percorso pianificato.
Come affronto questa scadenza con le aziende
Lavoro con le PMI partendo da un AI Assessment che mappa tutti i sistemi di intelligenza artificiale già presenti, anche quelli che l’azienda non considera tali. Da lì costruisco una classificazione del rischio coerente con l’AI Act e individuo le priorità di intervento.
Per le aziende che non hanno una figura interna dedicata, opero come AI Manager Esterno: presidio la governance, gestisco la documentazione, formo le persone chiave e coordino i fornitori tecnologici. È un ruolo operativo, non una consulenza a distanza.
Domande frequenti
L’AI Act si applica anche se la mia azienda non sviluppa IA, ma la usa soltanto?
Sì. Il Regolamento distingue tra fornitori (chi sviluppa o immette sul mercato) e deployer (chi utilizza sistemi di IA nella propria attività). Anche le PMI che si limitano a usare strumenti di terzi hanno obblighi precisi, soprattutto se i sistemi rientrano tra quelli ad alto rischio. La responsabilità non si trasferisce al fornitore: resta in capo a chi usa il sistema nei propri processi.
Quali sono le sanzioni concrete per una PMI?
Le sanzioni massime arrivano a 35 milioni di euro o al 7% del fatturato mondiale annuo per le violazioni più gravi, come l’uso di sistemi vietati. Per altre violazioni si scende a 15 milioni o al 3% del fatturato. Per le PMI il Regolamento prevede una proporzionalità, ma le cifre restano sufficienti a generare un impatto significativo su qualsiasi azienda di medie dimensioni.
Quanto tempo serve per adeguarsi?
Dipende dalla complessità dei processi e dal numero di sistemi di IA in uso. In media, per una PMI con processi digitalizzati standard, un percorso di adeguamento serio richiede dai 4 ai 9 mesi. Considerato che la scadenza è il 2 agosto 2026, partire ora significa avere margine. Aspettare il primo trimestre 2026 significa lavorare in emergenza.
Posso gestire tutto internamente senza consulenza esterna?
In teoria sì, se hai persone con competenze giuridiche, tecniche e organizzative sull’IA, tempo dedicato e un metodo strutturato. Nella pratica, nelle PMI italiane queste condizioni raramente coesistono. La scelta più frequente è combinare un presidio esterno per la governance con risorse interne formate sui processi specifici dell’azienda.
Cosa distingue il vostro approccio da una consulenza legale tradizionale?
Non mi occupo solo dell’aspetto normativo. Il mio lavoro parte dai processi operativi, dai sistemi realmente in uso e dall’organizzazione interna. La parte legale è una conseguenza, non il punto di partenza. Lavoro con HR, IT, marketing e direzione per costruire una governance che funzioni nella quotidianità, non un set di documenti che resta in un cassetto.
Verifichiamo insieme la tua esposizione
La prima cosa da fare è capire dove sei oggi. Quanti sistemi di IA usi davvero, in quali processi, con quale livello di rischio.
Se la tua azienda ha già introdotto strumenti di intelligenza artificiale in HR, marketing, customer service o produzione, c’è una probabilità concreta che alcuni di essi ricadano sotto gli obblighi che entrano in vigore il 2 agosto 2026. Un primo confronto serve a capire se ha senso approfondire o se sei già coperto.
Se vuoi fare una verifica concreta sulla tua situazione, scrivimi dalla pagina contatti e organizziamo una chiamata.