Guide

AI Act per la tua azienda, cosa devi fare per essere in regola

Aggiornato al 1 luglio 2026

Per essere in regola con l'AI Act (il Regolamento UE 2024/1689) la tua azienda deve fare cinque cose concrete, vale a dire mappare gli strumenti di intelligenza artificiale che usate e chi li usa, formare le persone, dichiarare ai clienti quando interagiscono con un'AI, darsi una policy interna semplice e tenere una persona che controlla le decisioni importanti. L'obbligo riguarda chiunque usi l'AI al lavoro, dalla ditta individuale alla grande impresa.

A chi si applica davvero

Partiamo da una domanda semplice, l'AI Act riguarda anche te? Quasi certamente si', se nella tua attivita' usate uno strumento di intelligenza artificiale, e oggi e' difficile non usarne almeno uno. Il Regolamento UE 2024/1689 non guarda a quanti dipendenti hai. Guarda a cosa fai con l'AI. Chi sviluppa o mette sul mercato sistemi di AI viene chiamato "fornitore". Chi semplicemente li usa per lavoro viene chiamato "deployer", che e' la parola con cui il Regolamento indica l'utilizzatore professionale.

La stragrande maggioranza delle aziende italiane rientra nella seconda categoria. Se usi un assistente che scrive testi, uno strumento che legge i curriculum, un software che genera immagini o un chatbot sul tuo sito, sei un deployer. E i doveri di base del deployer sono identici per tutti, dall'impresa individuale alla multinazionale. Cambia la complessita' di cio' che usi, non l'esistenza dell'obbligo.

Quando formo un'azienda, la prima reazione e' quasi sempre la stessa, "ma noi siamo piccoli, queste cose valgono per le big tech". Non e' cosi'. La differenza vera non e' tra grande e piccolo. E' tra chi usa AI a basso rischio (la quasi totalita' delle attivita' quotidiane) e chi usa sistemi ad alto rischio, una categoria precisa che vedremo piu' avanti. Per il primo gruppo gli obblighi sono leggeri e gestibili. Ed e' una buona notizia.

Cosa fare lunedi mattina

Ti do la versione pratica, quella che puoi iniziare lunedi mattina senza un ufficio legale interno. Sono cinque mosse. Nessuna richiede di stravolgere l'azienda, e insieme ti mettono in una posizione solida e difendibile.

La prima mossa e' la mappatura. Prendi un foglio e scrivi quali strumenti di AI girano in azienda e chi li usa. Sembra banale, ma quasi nessuno lo ha fatto, e senza questa lista tutto il resto e' aria. La seconda mossa e' la formazione delle persone, che e' anche l'unico obbligo gia' pienamente operativo. La terza e' la trasparenza, vale a dire dire chiaramente al cliente quando sta parlando con un'AI o quando un contenuto e' generato da un'AI. La quarta e' una policy interna, una paginetta che dice cosa si puo' e non si puo' fare con questi strumenti. La quinta e' la sorveglianza umana, cioe' tenere sempre una persona responsabile sulle decisioni che contano davvero.

Vediamole una per una, con un livello di dettaglio che ti permette di agire.

Mappare gli strumenti di AI

Non puoi mettere in regola cio' che non sai di avere. Per questo si parte dalla mappa. L'obiettivo e' un elenco onesto di tutti gli strumenti di AI usati in azienda, anche quelli che qualcuno ha attivato per conto suo senza dirlo a nessuno (capita molto piu' spesso di quanto pensi).

Per ogni strumento annota tre cose, cioe' a cosa serve, chi lo usa e su quali dati lavora. Se un collega incolla in un chatbot i dati di un cliente o un documento riservato, devi saperlo, perche' li' c'e' anche un tema di protezione dei dati che si intreccia con il GDPR. Questa mappa e' la base di tutto, e va aggiornata ogni volta che entra uno strumento nuovo. Tienila viva, non e' un documento da archiviare.

C'e' anche un effetto collaterale prezioso. Mentre mappi capisci dove l'AI ti sta gia' facendo risparmiare tempo e dove invece la stanno usando male. La mappatura non e' solo un adempimento, e' una fotografia utile dell'azienda.

Formare le persone, obbligo gia attivo

Qui c'e' il punto piu' importante, e voglio essere chiaro perche' molti se lo perdono. L'obbligo di garantire un livello sufficiente di alfabetizzazione in materia di AI al personale e' previsto dall'articolo 4 del Regolamento UE 2024/1689 ed e' gia' in vigore dal 2 febbraio 2025. Non e' un obbligo futuro. E' adesso. E il pacchetto di semplificazione Digital Omnibus, che punta a rinviare altre scadenze, non lo tocca.

Cosa vuol dire in pratica? Che le persone che usano l'AI per lavoro devono avere le competenze di base per capire cosa stanno usando, quali sono i limiti, quali errori puo' fare uno strumento e quando non fidarsi del risultato. Non serve trasformare i tuoi collaboratori in ingegneri. Serve una formazione proporzionata al ruolo, chi usa un chatbot per le mail ha bisogno di un livello diverso da chi configura un sistema che seleziona personale.

La legge non impone un corso specifico ne' un attestato obbligatorio, ma chiede di poter dimostrare di aver fatto qualcosa di serio e documentato. Per questo il consiglio operativo e' tenere traccia di chi e' stato formato, quando e su quali contenuti. E' esattamente il tipo di formazione su cui lavoriamo, perche' e' il modo piu' veloce e meno costoso di coprire un obbligo reale e gia' attivo.

Dichiarare quando c'e' un'AI

La trasparenza e' un principio cardine del Regolamento. L'idea di fondo e' semplice, le persone hanno diritto di sapere quando stanno interagendo con una macchina e non con un essere umano. Se hai un chatbot che risponde ai clienti, devi rendere evidente che e' un sistema automatico. Se pubblichi contenuti generati o modificati in modo significativo da un'AI, in certi casi vanno segnalati come tali.

Vale anche per immagini, audio e video creati artificialmente, i cosiddetti deepfake, che vanno dichiarati. Non e' una formalita' fastidiosa, e' fiducia. Un cliente che scopre da solo di aver parlato con un robot mascherato da persona si sente preso in giro. Uno a cui lo dici chiaramente apprezza l'onesta'. La trasparenza qui e' insieme un obbligo e una scelta di reputazione che ti conviene.

Policy interna semplice

Non ti serve un regolamento di trenta pagine. Ti serve una paginetta chiara che ogni collaboratore possa leggere in cinque minuti. Cosa scrivere? Quali strumenti sono approvati e quali no, quali dati non vanno mai inseriti in strumenti esterni (dati personali dei clienti, segreti aziendali, informazioni sanitarie), l'obbligo di controllare sempre i risultati prima di usarli e a chi rivolgersi in caso di dubbio.

Questa policy fa due cose insieme. Ti protegge, perche' mette nero su bianco le regole e responsabilizza le persone. E le aiuta, perche' toglie l'incertezza e dice in modo netto cosa e' lecito fare. Falla semplice, falla circolare, falla firmare. Una policy che nessuno legge non protegge nessuno.

Sorveglianza umana sulle decisioni che contano

L'ultimo pilastro e' forse il piu' importante dal punto di vista del buon senso, oltre che della norma. Sulle decisioni che hanno un impatto reale sulle persone, deve restare un essere umano responsabile. Il Regolamento chiama questo principio "sorveglianza umana" (e' il termine ufficiale dell'articolo 14, che a volte trovi reso anche come supervisione umana). L'AI propone, la persona decide e risponde di quella decisione.

Pensa a una selezione del personale fatta filtrando i curriculum con un software, alla valutazione del merito creditizio di un cliente, a una decisione che incide sui diritti di qualcuno. In questi casi la presenza umana non e' un optional, e' il cuore della tutela. Lo strumento puo' suggerire, ordinare, evidenziare. Ma la firma, e la responsabilita', restano a una persona che ha capito cosa l'AI ha fatto e perche'. Non delegare mai del tutto alla macchina cio' che cambia la vita di qualcuno.

Sistemi ad alto rischio, quando scatta il livello superiore

C'e' una categoria che merita attenzione separata, i sistemi ad alto rischio. Sono quelli che il Regolamento considera capaci di incidere in modo serio su salute, sicurezza o diritti fondamentali. Rientrano qui, per esempio, alcuni sistemi usati per selezionare il personale, per valutare l'accesso al credito, per gestire infrastrutture critiche o all'interno di dispositivi gia' regolati come i prodotti medici.

Se la tua azienda usa o, a maggior ragione, sviluppa uno di questi sistemi, gli obblighi sono molto piu' strutturati, con valutazioni del rischio, documentazione tecnica, registrazione delle attivita' e controlli specifici. Tra questi c'e' anche, per alcuni deployer, la valutazione d'impatto sui diritti fondamentali prevista dall'articolo 27. Non e' un adempimento generalizzato per tutti gli utilizzatori. Riguarda in particolare i deployer che sono organismi di diritto pubblico o soggetti privati che forniscono servizi pubblici, oltre a chi usa sistemi ad alto rischio nel merito di credito o nell'assicurazione vita e malattia. In Italia i risultati di questa valutazione vanno notificati all'autorita' di vigilanza del mercato, che per i settori non finanziari e' l'ACN.

La buona notizia per la maggior parte delle PMI e' che gli strumenti generici di uso quotidiano non ricadono in automatico in questa categoria. La cattiva notizia e' che capire se ci ricadi non sempre e' ovvio, e qui il confine puo' essere grigio. Se hai il dubbio di trattare un sistema ad alto rischio, fermati e fatti aiutare da un professionista abilitato, perche' la posta in gioco e gli obblighi cambiano parecchio.

Il calendario aggiornato e il Digital Omnibus

Le scadenze sono in movimento. Il testo vigente del Regolamento fissa l'applicazione generale al 2 agosto 2026 e scagliona alcuni obblighi con l'articolo 113. Il pacchetto Digital Omnibus punta a spostare in avanti gli obblighi piu' pesanti sui sistemi ad alto rischio, dando alle aziende piu' tempo per prepararsi. Qui serve pero' una precisazione onesta sullo stato delle cose. Il Digital Omnibus on AI e' stato adottato in via definitiva dal Consiglio il 29 giugno 2026, ma alla data attuale non risulta ancora pubblicato nella Gazzetta ufficiale dell'UE ne' in vigore. La pubblicazione e' attesa a breve e l'entrata in vigore avverra' il terzo giorno successivo. Le nuove date di applicazione dell'alto rischio, cioe' 2 dicembre 2027 e 2 agosto 2028, diverranno efficaci solo con l'entrata in vigore del regolamento modificativo.

Ecco il quadro delle scadenze principali. La colonna finale distingue cosa e' gia' fissato dal testo vigente e cosa dipende dal Digital Omnibus non ancora in vigore.

DataCosa scattaNote
1 agosto 2024Entrata in vigore del Regolamento UE 2024/1689Testo vigente
2 febbraio 2025Divieto delle pratiche vietate (art. 5) e obbligo di alfabetizzazione del personale (art. 4)Testo vigente, gia' operativo
2 agosto 2025Regole sui modelli di AI per finalita' generale e parte della governance (Capo V e altri)Testo vigente
2 agosto 2026Applicazione generale di gran parte del Regolamento, inclusi i sistemi ad alto rischio dell'Allegato IIITesto vigente
2 agosto 2027Sistemi ad alto rischio dell'Allegato I, integrati in prodotti gia' regolati (art. 6, par. 1)Testo vigente
2 dicembre 2027Sistemi ad alto rischio autonomi dell'Allegato IIISolo con Digital Omnibus in vigore
2 agosto 2028Sistemi ad alto rischio dell'Allegato I, integrati in prodottiSolo con Digital Omnibus in vigore

La lettura giusta di questa tabella e' una sola, il rinvio riguarda i sistemi ad alto rischio, non la formazione delle persone. L'articolo 4 e' gia' attivo da febbraio 2025 e nessuna proposta lo rinvia. Chi pensa di avere tempo perche' "tanto e' tutto rinviato al 2027" sta facendo un errore. C'e' anche un motivo tecnico per non contare troppo sulle date piu' lontane. Finche' il Digital Omnibus non e' pubblicato ed entra in vigore, resta formalmente valido il calendario del testo vigente, che colloca gran parte degli obblighi al 2 agosto 2026. Inizia dalla formazione e dalla mappa, quelle non aspettano.

Cosa rischi davvero, le sanzioni

Parliamo di numeri, perche' aiutano a capire la serieta' della cosa. L'articolo 99 del Regolamento UE 2024/1689 prevede tre fasce di sanzione, e in tutte e tre vale la stessa regola generale, cioe' si applica l'importo piu' alto tra la cifra fissa e la percentuale del fatturato. Per l'uso di pratiche vietate dall'articolo 5 si arriva fino a 35 milioni di euro o, se superiore, il 7% del fatturato mondiale totale annuo dell'esercizio precedente. Per la violazione della maggior parte degli altri obblighi (tra cui quelli di fornitori, importatori, distributori, deployer e trasparenza) si arriva fino a 15 milioni di euro o, se superiore, il 3% del fatturato mondiale annuo. Per chi fornisce informazioni inesatte, incomplete o fuorvianti agli organismi notificati o alle autorita' nazionali competenti la sanzione e' fino a 7,5 milioni di euro o, se superiore, l'1% del fatturato mondiale annuo.

Numeri da far tremare i polsi, ma leggi bene la parte che ti riguarda. Per le PMI e le start-up il Regolamento prevede, all'articolo 99, paragrafo 6, che la sanzione sia pari al massimo alla percentuale o all'importo delle tre fasce, applicando l'importo inferiore e non quello superiore. In altre parole, mentre per le grandi imprese si prende il valore piu' alto tra cifra fissa e percentuale, per le piccole realta' si prende il piu' basso. E' un principio di proporzionalita' pensato proprio per non schiacciare chi e' piccolo. Una micro-impresa non rischia 35 milioni di euro, rischia una sanzione calibrata sulle sue dimensioni reali. L'obbligo resta identico per tutti, ma la sanzione e' proporzionata. Questo non e' un invito a rilassarsi, e' un invito a fare le cose con calma e nel modo giusto, sapendo che il sistema e' costruito per essere sostenibile.

Chi vigila in Italia

In Italia il quadro e' stato completato dalla Legge 132/2025, in vigore dal 10 ottobre 2025, che ha designato le autorita' nazionali per l'intelligenza artificiale. La legge designa sia l'ACN (Agenzia per la Cybersicurezza Nazionale) sia l'AgID (Agenzia per l'Italia digitale). All'ACN spettano la vigilanza sul mercato, comprese le attivita' ispettive e sanzionatorie, e il ruolo di punto di contatto unico con le istituzioni UE. All'AgID spettano la promozione dell'innovazione e le funzioni di notifica, valutazione, accreditamento e monitoraggio degli organismi che verificano la conformita' dei sistemi. Sui profili che riguardano i dati personali restano ferme le competenze del Garante per la protezione dei dati personali, che quindi non e' designato Autorita' nazionale per l'IA ma conserva integralmente i suoi poteri. Nel settore finanziario, inoltre, restano autorita' di vigilanza del mercato Banca d'Italia, CONSOB e IVASS.

Tradotto per te, l'interlocutore italiano su vigilanza e sanzioni in materia di AI e' di norma l'ACN, mentre per notifica e accreditamento il riferimento e' l'AgID e per i temi privacy resta il Garante. Sapere a chi rispondi e' parte dell'essere in regola, e ti evita di rincorrere l'ufficio sbagliato il giorno in cui serve.

Il vantaggio nascosto

Chiudo con la parte che mi sta piu' a cuore. Mettersi in regola con l'AI Act viene vissuto come un peso, e all'inizio sembra solo un altro adempimento. Ma se lo guardi bene, e' anche un vantaggio competitivo concreto. Un'azienda che sa quali strumenti usa, forma le sue persone, e' trasparente con i clienti e tiene il controllo sulle decisioni importanti, e' semplicemente un'azienda che lavora meglio. Usa l'AI con piu' efficacia, fa meno errori, ispira piu' fiducia.

I tuoi clienti e i tuoi partner inizieranno a chiederti come gestisci l'AI, sta gia' succedendo nelle gare e nelle trattative. Arrivarci preparato non e' difesa, e' attacco. Ed e' gestibile, davvero. Cinque mosse, partendo da una mappa e da un po' di formazione. Il resto si costruisce un passo alla volta.

Domande frequenti

L'AI Act si applica anche alle piccole imprese?

Si'. Il Regolamento UE 2024/1689 non guarda al numero di dipendenti ma all'uso che fai dell'intelligenza artificiale. Se usi strumenti di AI sul lavoro, gli obblighi di base valgono anche per la ditta individuale. Per le PMI e le start-up sono previste sanzioni proporzionate e tempi piu' sostenibili, ma l'obbligo esiste.

Usare ChatGPT in azienda e' a norma con l'AI Act?

Usare ChatGPT non e' vietato, ma ti rende un deployer con precisi doveri. Devi formare chi lo usa (obbligo gia' in vigore dal 2 febbraio 2025 per l'articolo 4), evitare di inserire dati riservati o personali per non violare anche il GDPR, dichiarare quando un contenuto e' generato da AI e darti regole interne chiare sul suo utilizzo.

Da dove parto per mettermi in regola?

Parti dalla mappatura. Scrivi quali strumenti di AI usate e chi li usa, perche' senza questa lista ogni altro passo e' inutile. Subito dopo affronta la formazione delle persone, che e' l'unico obbligo gia' pienamente operativo. Mappa e formazione coprono la parte piu' urgente, il resto lo costruisci a seguire.

Quanto rischia davvero una piccola azienda con l'AI Act?

Le sanzioni dell'articolo 99 arrivano in teoria fino a 35 milioni di euro, ma per le PMI e le start-up si applica l'importo minore tra cifra fissa e percentuale del fatturato (articolo 99, paragrafo 6). Una piccola realta' non rischia cifre da multinazionale, rischia una sanzione calibrata sulle sue dimensioni. L'obbligo e' identico, la sanzione e' proporzionata.

Chi controlla il rispetto dell'AI Act in Italia?

In Italia, dopo la Legge 132/2025 in vigore dal 10 ottobre 2025, la vigilanza sul mercato e le sanzioni in materia di AI sono affidate all'ACN, l'Agenzia per la Cybersicurezza Nazionale. L'AgID si occupa di innovazione, notifica e accreditamento, mentre per i profili sui dati personali restano ferme le competenze del Garante per la protezione dei dati personali. Nel settore finanziario la vigilanza resta a Banca d'Italia, CONSOB e IVASS.

Fonti normative

Aggiornato al 1 luglio 2026 · Quadro post-Digital-Omnibus · Contenuto informativo, non parere legale

Mettiti in regola

Vai al corso

Questo contenuto ha finalità informative e divulgative e riflette il quadro normativo alla data di ultima revisione indicata. Non costituisce parere o consulenza legale sul tuo caso specifico. Per l'inquadramento giuridico formale lavoriamo con professionisti abilitati.