Le multe previste dall’AI Act non sono uno scenario teorico. Sono già scritte nel regolamento europeo, con scadenze precise e parametri di calcolo che ricalcano quelli del GDPR, ma con tetti più alti.
Molti imprenditori e direttori operativi che incontro pensano che il tema riguardi solo le big tech o chi sviluppa modelli di AI. Non è così. Il regolamento si applica a chi immette sul mercato, mette in servizio o semplicemente utilizza sistemi di intelligenza artificiale nei processi aziendali.
Questo significa che anche una PMI che adotta strumenti di AI per HR, marketing o controllo qualità rientra nel perimetro. E ha obblighi precisi, con tempistiche già definite tra 2025 e 2027.
Cosa prevede esattamente il regime sanzionatorio
L’AI Act struttura le sanzioni su tre livelli, in base alla gravità della violazione. Il tetto massimo arriva a 35 milioni di euro o al 7% del fatturato annuo globale, applicando l’importo più alto tra i due. Questa soglia riguarda l’uso di sistemi di AI vietati, come il social scoring, la manipolazione comportamentale o certe forme di riconoscimento biometrico.
Il secondo livello prevede fino a 15 milioni di euro o il 3% del fatturato globale. Si applica alla violazione degli obblighi sui sistemi ad alto rischio: gestione dei dati, trasparenza, supervisione umana, documentazione tecnica. Il terzo livello, fino a 7,5 milioni o l’1,5%, riguarda la fornitura di informazioni inesatte o fuorvianti alle autorità competenti.
Chi è davvero esposto e perché
Il punto che molti sottovalutano è la definizione di deployer: chi utilizza un sistema di AI sotto la propria autorità, anche se non lo ha sviluppato. Se la tua azienda usa uno strumento di screening dei CV basato su AI, sei tu il responsabile di come viene impiegato, non il fornitore del software.
Le aree aziendali più frequentemente coinvolte:
- Risorse umane: sistemi di selezione, valutazione delle performance, monitoraggio della produttività rientrano spesso nell’alto rischio.
- Credito e assicurazioni: scoring automatizzato e valutazione del merito creditizio sono esplicitamente classificati ad alto rischio.
- Sicurezza sul lavoro: AI per il controllo accessi, videosorveglianza intelligente, monitoraggio dei dipendenti.
- Customer service: chatbot e assistenti virtuali devono dichiarare la natura artificiale dell’interazione.
- Marketing e profilazione: sistemi che influenzano decisioni d’acquisto attraverso tecniche subliminali sono vietati.
In ognuno di questi ambiti, l’azienda utilizzatrice ha obblighi diretti di valutazione, documentazione e supervisione. Non è possibile delegarli interamente al fornitore della tecnologia.
Le scadenze che contano
Il regolamento è entrato in vigore il 1° agosto 2024, ma l’applicazione è scaglionata. Da febbraio 2025 sono già operativi i divieti sulle pratiche di AI inaccettabili. Da agosto 2025 si applicano le regole sui modelli di AI generativa e sulla governance. Da agosto 2026 entreranno in vigore gli obblighi completi sui sistemi ad alto rischio.
Questo calendario significa una cosa molto pratica: chi aspetta il 2026 per muoversi arriva tardi. La mappatura dei sistemi in uso, la classificazione del rischio e la costruzione della documentazione richiedono mesi, non settimane. E nelle aziende strutturate coinvolgono legale, IT, HR, operations.
Cosa significa adeguarsi davvero
Adeguarsi non vuol dire scaricare un template di policy e farlo firmare. Significa fare un inventario reale dei sistemi di AI già presenti in azienda, spesso introdotti dai singoli reparti senza coordinamento. Molte aziende che seguo scoprono solo a quel punto di avere già 8-10 strumenti di AI in uso, tra licenze ufficiali e tool adottati dai team.
Il passo successivo è la classificazione: ogni sistema va valutato rispetto alle categorie di rischio del regolamento. Per i sistemi ad alto rischio servono valutazioni di impatto, documentazione tecnica, meccanismi di supervisione umana e procedure di monitoraggio continuo. È un lavoro strutturato, ma fattibile se affrontato con metodo.
Domande frequenti
Le sanzioni dell’AI Act si applicano anche alle PMI italiane?
Sì. Il regolamento prevede alcune attenuanti per le PMI, come una proporzionalità degli importi e procedure semplificate per la documentazione, ma non un’esenzione. Una piccola azienda che usa AI per processi HR o per profilazione commerciale è comunque soggetta agli obblighi del regolamento. Le sanzioni vengono calibrate sul fatturato, ma il principio di responsabilità resta identico.
Chi è responsabile se uso un software di AI di un fornitore esterno?
Dipende dal ruolo che assumi nel ciclo di vita del sistema. Se sei deployer, cioè utilizzatore, hai obblighi specifici sull’uso conforme, sulla supervisione umana e sull’informazione agli interessati. Il fornitore ha obblighi diversi, legati allo sviluppo e alla documentazione tecnica. Le responsabilità si sommano, non si sostituiscono. Affidarti a un fornitore non ti scarica dagli obblighi che il regolamento attribuisce direttamente a chi utilizza il sistema.
Quanto tempo serve per mettere in regola un’azienda di medie dimensioni?
Per un’azienda con processi già parzialmente digitalizzati e qualche sistema di AI in uso, un percorso completo richiede tra i 4 e gli 8 mesi. Il tempo dipende dal numero di sistemi da mappare, dalla loro classificazione di rischio e dal livello di maturità della governance aziendale già esistente. La fase di assessment iniziale richiede di solito 4-6 settimane.
L’uso interno di ChatGPT o strumenti simili rientra nell’AI Act?
Sì, anche se in modo diverso rispetto ai sistemi ad alto rischio. I modelli generativi rientrano nelle disposizioni sulla trasparenza e sull’uso responsabile. Se i dipendenti usano questi strumenti per attività che impattano su clienti, candidati o decisioni rilevanti, l’azienda deve definire policy interne, formare le persone e documentare l’uso. L’assenza di una policy formale è uno dei punti più frequentemente contestabili.
Cosa succede in caso di controllo da parte delle autorità?
In Italia l’autorità competente sarà definita a livello nazionale, con un coinvolgimento già previsto del Garante Privacy e dell’AgID. In caso di verifica, l’azienda deve poter esibire la documentazione tecnica, le valutazioni di rischio, le procedure di supervisione umana e la prova dell’informazione fornita agli interessati. La mancanza di documentazione è essa stessa una violazione sanzionabile, indipendentemente dall’effettivo danno causato.
Parliamone prima che diventi un problema
Se la tua azienda usa già strumenti di AI, anche solo a livello sperimentale, il momento giusto per fare chiarezza è adesso. Aspettare le prime sanzioni applicate in Europa significa muoversi sotto pressione, con costi più alti e meno margini di scelta.
Nel primo confronto cerco di capire la situazione reale: quali sistemi sono in uso, in quali processi, con che livello di consapevolezza. Da lì valutiamo insieme se ha senso costruire un percorso strutturato o se bastano interventi mirati.
Se vuoi un quadro chiaro della tua esposizione e dei passi concreti da fare, scrivimi dalla pagina contatti e fissiamo una prima chiamata.