Skip to content
Go To Agency
Go To Agency
/Cybersicurezza
Cybersicurezza

AI Act 2 agosto 2026: cosa devono sapere le PMI italiane sugli obblighi GPAI

Il 2 agosto 2026 l'AI Act diventa pienamente applicabile e scattano le sanzioni, anche per i modelli GPAI. Cosa cambia per le PMI italiane: governance, conformità e checklist pratica.

Di Robin Monteiro27 maggio 202610 min · 2 165 mots
AI ActPMIComplianceItaliaGPAI
Condividi articolo
AI Act 2 agosto 2026: cosa devono sapere le PMI italiane sugli obblighi GPAI

Il 2 agosto 2026 segna una data spartiacque per chiunque utilizzi sistemi di intelligenza artificiale nell'Unione Europea. Da quel giorno il Regolamento UE 2024/1689, meglio noto come AI Act, diventa applicabile in via generale: gli obblighi sui modelli di IA per finalità generali (General Purpose AI, GPAI) si applicano ai fornitori già dal 2 agosto 2025, ma è dal 2 agosto 2026 che la Commissione può sanzionarne l'inosservanza. Le sanzioni previste possono raggiungere i 35 milioni di euro o il 7% del fatturato annuo mondiale, a seconda di quale sia il valore più elevato.

Molti imprenditori italiani ritengono che queste regole riguardino soltanto i colossi tecnologici americani o le grandi aziende quotate. È un errore di valutazione che potrebbe costare caro. Se la Sua azienda utilizza ChatGPT per redigere email commerciali, Copilot per generare codice, Midjourney per produrre immagini di prodotto o un qualunque chatbot integrato sul sito, è già coinvolta nella catena di responsabilità dell'AI Act in qualità di deployer, ossia utilizzatore professionale.

In questa guida Le illustreremo, senza giri di parole, cosa cambia per la Sua PMI il 2 agosto 2026, quali sono gli obblighi concreti, come predisporre una governance interna funzionale e quale relazione esista tra AI Act, GDPR e le indicazioni del Garante per la protezione dei dati personali.

Cosa entra in vigore il 2 agosto 2026

L'AI Act prevede un'applicazione scaglionata. Il 2 febbraio 2025 sono entrati in vigore i divieti relativi alle pratiche di IA vietate (social scoring, manipolazione cognitiva, riconoscimento biometrico in tempo reale negli spazi pubblici con limitate eccezioni). Il 2 agosto 2025 è iniziata l'applicazione delle disposizioni sui modelli GPAI per i nuovi modelli immessi sul mercato. Il 2 agosto 2026 rappresenta invece la data in cui:

  • Diventa pienamente applicabile la disciplina sui sistemi di IA ad alto rischio (allegato III), tra cui rientrano molte applicazioni nel settore delle risorse umane, del credito, della formazione professionale e dei servizi essenziali.
  • Si consolidano gli obblighi di trasparenza per i sistemi che interagiscono con persone fisiche (chatbot, assistenti virtuali) e per i contenuti generati artificialmente, inclusi i deepfake.
  • La Commissione acquisisce i poteri sanzionatori sui fornitori di modelli GPAI, i cui obblighi (documentazione tecnica, sintesi dei dati di addestramento, politica sul diritto d'autore) valgono dal 2 agosto 2025 per i nuovi modelli; quelli immessi sul mercato prima di tale data hanno tempo fino al 2 agosto 2027 per adeguarsi, con conseguente cascata di obblighi documentali verso i deployer aziendali.
  • Le autorità nazionali di vigilanza devono essere pienamente operative: in Italia il ruolo è stato attribuito ad AgID e ACN dalla Legge 132/2025, con il Garante Privacy per i profili connessi ai dati personali, un assetto la cui piena operatività è ancora in corso di definizione.

L'Italia ha approvato la Legge 132/2025, che indica AgID e ACN quali autorità nazionali per l'IA (ad AgID le notifiche e la promozione, ad ACN la vigilanza e i poteri sanzionatori), una designazione il cui assetto operativo è ancora in corso di consolidamento, mentre il Garante Privacy mantiene la propria competenza sui trattamenti di dati personali. Questo doppio binario di controllo significa, per una PMI, dover gestire potenzialmente due interlocutori istituzionali sullo stesso progetto di IA.

Le sanzioni: 35 milioni di euro non sono un refuso

L'articolo 99 dell'AI Act definisce un regime sanzionatorio severo, articolato su tre livelli:

  • Pratiche vietate (art. 5): fino a 35.000.000 € o al 7% del fatturato mondiale annuo.
  • Inosservanza degli obblighi sui sistemi ad alto rischio e GPAI: fino a 15.000.000 € o al 3% del fatturato mondiale annuo.
  • Fornitura di informazioni inesatte alle autorità: fino a 7.500.000 € o all'1% del fatturato.

Il regolamento prevede esplicitamente, all'articolo 99 paragrafo 6, che per le PMI e le start-up si applichi l'importo inferiore tra le due soglie (cifra fissa o percentuale del fatturato). Si tratta di un'attenuazione importante, ma occorre comprenderne il significato pratico: una micro-impresa italiana con 500.000 € di fatturato annuo che violi una pratica vietata può comunque essere sanzionata fino al 7% del proprio fatturato, ossia 35.000 €. Per realtà con margini operativi ridotti, è un colpo potenzialmente letale.

Più realisticamente, il rischio concreto per la PMI media non è la sanzione massima, bensì:

  • L'esclusione da gare pubbliche per mancanza di documentazione di conformità.
  • La perdita di clienti enterprise che richiedono attestazioni di adeguamento all'AI Act lungo tutta la supply chain.
  • Il blocco operativo di strumenti aziendali in seguito a un'ispezione coordinata AgID-Garante.
  • Il contenzioso civile con dipendenti, consumatori o partner danneggiati da decisioni automatizzate non conformi.

Cosa sono i modelli GPAI e perché La riguardano

Un modello di IA per finalità generali (GPAI) è, secondo l'articolo 3 del regolamento, un modello addestrato su grandi quantità di dati capace di svolgere un'ampia gamma di compiti distinti e di essere integrato in sistemi e applicazioni a valle. ChatGPT, Claude, Gemini, Llama, Mistral, DALL-E, Midjourney rientrano tutti in questa categoria.

Gli obblighi diretti gravano sui provider di questi modelli, quindi su OpenAI, Anthropic, Google, Meta, Mistral. Tuttavia, l'effetto a cascata sulla Sua PMI è inevitabile e si concretizza in tre direzioni:

1. Documentazione tecnica obbligatoria

I provider devono fornire ai deployer aziendali una documentazione tecnica completa che descriva capacità, limiti, dati di training (rispettando il diritto d'autore), consumo energetico e valutazione del rischio sistemico. Sta a Lei conservare e consultare questa documentazione prima di integrare un modello in un processo aziendale critico.

2. Trasparenza verso gli utenti finali

L'articolo 50 impone obblighi di trasparenza ai deployer. Se sul Suo e-commerce un chatbot dialoga con i clienti, deve essere chiaramente indicato che l'interlocutore è un sistema di IA. Se Lei pubblica una foto pubblicitaria generata da Midjourney, deve essere riconoscibile come contenuto sintetico. Se un'email di follow-up è interamente redatta da un'IA generativa, occorre valutare se la presentazione possa indurre in errore il destinatario.

3. Valutazione d'uso ad alto rischio

Anche un modello GPAI generico può diventare un sistema ad alto rischio in base all'uso che ne fa la Sua azienda. Selezione di curricula, profilazione creditizia dei clienti, valutazione di prestazioni dei dipendenti: sono tutti casi che richiedono valutazione d'impatto sui diritti fondamentali (FRIA), istituita dall'articolo 27 del regolamento.

AI Act e GDPR: due regolamenti, un unico sistema di responsabilità

Il Garante Privacy ha più volte chiarito, in particolare con i provvedimenti del 2023 e 2024 relativi a sistemi di IA generativa, che AI Act e GDPR non sono normative alternative bensì cumulative. Quando un sistema di IA tratta dati personali, e accade praticamente sempre, occorre simultaneamente:

  • Individuare una base giuridica del trattamento (art. 6 GDPR), preferibilmente non il legittimo interesse per usi sensibili.
  • Effettuare la valutazione d'impatto sulla protezione dei dati (DPIA, art. 35 GDPR) qualora il trattamento presenti rischi elevati.
  • Garantire il diritto a non essere sottoposti a decisioni automatizzate (art. 22 GDPR) e, ove l'AI Act lo richieda, il diritto alla spiegazione di una decisione individuale (art. 86 AI Act).
  • Aggiornare l'informativa privacy descrivendo l'utilizzo di IA, le logiche applicate e i diritti dell'interessato.
  • Verificare i trasferimenti extra-UE qualora il modello GPAI sia ospitato su server statunitensi o di Paesi terzi.

Il Garante ha imposto stop temporanei, sanzioni e prescrizioni a importanti player dell'IA generativa, mostrando che l'autorità italiana è tra le più attive in Europa. Per una PMI questo significa che il margine di tolleranza per scuse del tipo "non sapevamo" sarà, dal 2 agosto 2026 in poi, estremamente ridotto.

Template di governance AI per la Sua PMI

Non Le serve un dipartimento legale interno per costruire una governance dell'IA proporzionata. Ecco la struttura minima che consigliamo di adottare, sviluppabile in 4-6 settimane anche per una realtà sotto i 50 dipendenti:

Documento 1: Politica aziendale sull'uso dell'IA

Da 3 a 5 pagine in cui definisce: ambito di applicazione, ruoli e responsabilità, strumenti autorizzati, strumenti vietati, principi etici adottati, processo di approvazione dei nuovi casi d'uso. Approvazione formale a cura della direzione, con data certa.

Documento 2: Registro dei sistemi di IA in uso

Un foglio di calcolo strutturato, equivalente al registro dei trattamenti GDPR, in cui per ogni strumento documenta: fornitore, finalità, tipo di dati elaborati, categoria di rischio AI Act, valutazione DPIA collegata, data di valutazione, responsabile interno, link alla documentazione tecnica del provider.

Documento 3: Procedura di valutazione del rischio

Una checklist operativa che ogni responsabile di funzione deve compilare prima di introdurre un nuovo strumento di IA. Cinque-sette domande chiave: che dati elabora? incide su decisioni che riguardano persone? c'è automazione decisionale? è classificabile come alto rischio? abbiamo informato gli interessati?

Documento 4: Programma di formazione interna

L'articolo 4 dell'AI Act impone l'obbligo di garantire un livello sufficiente di alfabetizzazione in materia di IA per il personale che utilizza tali sistemi. Per una PMI, ciò significa almeno due sessioni formative annuali, registrate e documentate, con verifica dell'apprendimento.

Documento 5: Procedura di incidente

Cosa fare se un sistema di IA produce un output errato che causa un danno, se un dipendente carica dati riservati su uno strumento esterno non autorizzato, se un cliente lamenta una decisione automatizzata discriminatoria. Tempi di risposta interni, soglie di escalation, modalità di notifica ad AgID e Garante.

Se desidera affidarsi a un partner esterno per accelerare la costruzione di questo framework, può richiedere un preventivo personalizzato: in poche settimane è possibile portare la Sua PMI a uno stato di conformità documentale verificabile.

Checklist di conformità: 12 punti da verificare entro luglio 2026

  1. Inventario completo di tutti gli strumenti di IA in uso, inclusi quelli adottati spontaneamente dai dipendenti (shadow AI).
  2. Classificazione del rischio per ciascuno strumento secondo le categorie AI Act: rischio inaccettabile, alto, limitato, minimo.
  3. Eliminazione immediata di qualunque sistema riconducibile a pratiche vietate dall'articolo 5.
  4. Valutazione FRIA per i sistemi ad alto rischio, integrata con la DPIA se sono coinvolti dati personali.
  5. Verifica della documentazione tecnica ricevuta dai provider GPAI, archiviata in formato durevole.
  6. Aggiornamento dei contratti con i fornitori di IA, includendo clausole di conformità AI Act e indennizzo.
  7. Revisione delle informative privacy con descrizione esplicita dell'uso di sistemi di IA.
  8. Etichettatura dei contenuti generati: foto, video, audio, testi pubblicati con avviso di origine sintetica quando rilevante.
  9. Trasparenza sui chatbot: avviso visibile che si sta interagendo con un sistema automatizzato.
  10. Formazione documentata del personale con registro presenze e verifica delle conoscenze.
  11. Nomina di un referente AI interno, anche cumulabile con il ruolo di DPO se già presente.
  12. Predisposizione di un canale di reclamo per gli interessati che ritengano di essere stati danneggiati da una decisione automatizzata.

Una strategia di comunicazione ben costruita può addirittura trasformare la conformità AI Act in un vantaggio competitivo, soprattutto verso clienti enterprise e pubblica amministrazione, che dal 2026 includeranno l'adeguamento all'AI Act tra i requisiti di gara.

Errori da evitare: i 5 falsi miti più diffusi tra le PMI italiane

1. "Siamo troppo piccoli per essere controllati". La vigilanza prevista dall'AI Act contempla controlli a campione che possono riguardare anche le PMI, in particolare nei settori sanitario, finanziario, HR e e-commerce.

2. "Usiamo solo ChatGPT, non è un sistema di IA aziendale". L'uso professionale ricorrente, anche di strumenti consumer, configura la PMI come deployer ai sensi dell'AI Act.

3. "Abbiamo già il GDPR a posto, basta quello". AI Act e GDPR coprono ambiti distinti e richiedono documentazione separata, anche se possono essere integrati operativamente.

4. "Sposteremo tutto su modelli europei e non avremo problemi". Mistral, pur essendo francese, è comunque un provider GPAI soggetto ai medesimi obblighi. Il deployer aziendale resta responsabile dell'uso che ne fa.

5. "Aspetteremo le prime sanzioni per capire come muoverci". Strategia rischiosa: la conformità documentale richiede mesi di lavoro, mentre un'ispezione si chiude in poche ore.

I prossimi 12 mesi: una roadmap operativa

Se a maggio 2026 la Sua azienda non ha ancora avviato il percorso di conformità, è opportuno strutturarsi rapidamente. Suggeriamo questa scansione:

  • Giugno 2026: assessment iniziale, inventario degli strumenti, identificazione del referente interno.
  • Luglio 2026: redazione della politica aziendale, registro IA, prime FRIA per i casi d'uso a maggior rischio.
  • Agosto-settembre 2026: formazione del personale, aggiornamento informative privacy, revisione contratti fornitori.
  • Ottobre-dicembre 2026: audit interno, eventuale supporto consulenziale specializzato, simulazione di un'ispezione AgID.

Per approfondire chi siamo e come affianchiamo le PMI italiane nel passaggio digitale, La invitiamo a visitare la pagina della nostra agenzia.

Conclusione: la conformità come investimento, non come costo

L'AI Act non è una stretta burocratica calata dall'alto, bensì un'occasione per portare ordine in un'area di attività che, in molte PMI italiane, si è sviluppata spontaneamente, senza governance e con un livello di rischio che spesso il management non ha pienamente metabolizzato. La differenza tra un'azienda che subirà l'AI Act e una che ne trarrà vantaggio competitivo si misura in poche settimane di lavoro strutturato, sostenute da una decisione chiara della direzione.

Il 2 agosto 2026 è dietro l'angolo. Le sanzioni massime sono spaventose, ma il rischio reale per la Sua PMI è perdere clienti, gare e opportunità per mancanza di un fascicolo di conformità che, alla resa dei conti, richiede molto meno di quanto si pensi. Partire oggi significa arrivare pronti, sereni e con un differenziale credibile da raccontare al mercato.

RM

Sull'autore

Robin Monteiro

Co-fondateur de Go To Agency

Développeur full-stack et co-fondateur de Go To Agency, Robin conçoit des solutions web performantes avec Next.js, React et les dernières technologies.

Conosca il team

Ha bisogno di aiuto per il suo progetto?

Parliamo gratuitamente del suo progetto. Audit, consigli e raccomandazioni personalizzate in 15 minuti.

Richieda un preventivo gratuito
Condividi articolo

Questions fréquentes

La mia PMI usa solo ChatGPT per scrivere email: sono comunque soggetto all'AI Act?+

Sì. L'uso professionale ricorrente di un modello GPAI configura la Sua azienda come deployer ai sensi dell'articolo 3 dell'AI Act. Anche senza svilupparlo internamente, Lei è tenuto a garantire trasparenza verso gli interessati, formazione del personale ex articolo 4 e valutazione del rischio per ogni caso d'uso, in particolare se il sistema interviene in processi decisionali su persone.

Qual è la differenza tra l'AI Act e il GDPR per una PMI italiana?+

Il GDPR disciplina il trattamento dei dati personali, mentre l'AI Act regolamenta i sistemi di IA indipendentemente dalla natura dei dati. Quando un sistema di IA tratta dati personali, e accade quasi sempre, le due normative si applicano cumulativamente. In Italia ciò significa potenzialmente dover rispondere ad AgID per i profili AI Act e al Garante Privacy per i profili GDPR, su uno stesso progetto.

Le sanzioni da 35 milioni di euro si applicano davvero alle micro-imprese?+

L'articolo 99 paragrafo 6 prevede esplicitamente che per PMI e start-up si applichi l'importo inferiore tra cifra fissa e percentuale del fatturato. Una micro-impresa con 500.000 € di fatturato che violi una pratica vietata rischia quindi fino a 35.000 €. Tuttavia, il rischio più concreto per le PMI è l'esclusione da gare pubbliche e la perdita di clienti enterprise per mancanza di documentazione di conformità.

Quanto tempo serve a una PMI per mettersi in regola con l'AI Act?+

Per una PMI sotto i 50 dipendenti con un uso medio di strumenti di IA è realistico costruire una governance documentale in 4-6 settimane di lavoro strutturato. Servono cinque documenti chiave (politica, registro, valutazione del rischio, programma di formazione, procedura di incidente) più sessioni di formazione e l'aggiornamento di informative e contratti. Avviare il percorso entro l'estate 2026 è ancora possibile, ma il margine si sta riducendo.

Preventivo gratuito
AI Act 2 Agosto 2026: PMI Italiane Obblighi GPAI | Go To Agency