AI Act 2026: Guida Pratica per le Aziende Italiane
Il 2 agosto 2026 scattano gli obblighi AI Act con sanzioni fino a 35M€. Guida operativa per PMI: checklist, Legge 132/2025, sandbox e agevolazioni.
Perché il 2 agosto 2026 è la data chiave per le aziende italiane?
Il 2 agosto 2026 il Regolamento UE 2024/1689 — l'AI Act — diventa pienamente applicabile anche per i sistemi di intelligenza artificiale classificati ad alto rischio. Da quella data, le autorità nazionali di sorveglianza possono erogare sanzioni fino a 35 milioni di euro o il 7% del fatturato globale per le violazioni più gravi. Per le PMI italiane non si tratta di una scadenza lontana o di un tema riservato agli uffici legali delle grandi imprese: è la data in cui una qualsiasi azienda che utilizza un software di screening dei CV, un sistema di credit scoring o un assistente conversazionale dovrà dimostrare di essersi messa in regola.
Secondo l'Osservatorio Artificial Intelligence del Politecnico di Milano (gennaio 2026), più del 60% delle imprese italiane che utilizzano strumenti di AI non ha ancora avviato alcun percorso formale di adeguamento. Il dato emerge anche dalle rilevazioni dell'Agenzia spagnola AESIA, che segnala come il 68% delle aziende europee intervistate sia in ritardo sul percorso di compliance. Il divario non è tecnologico: è informativo. Le grandi aziende hanno team dedicati, le PMI spesso sono in ritardo perché mancano guide operative che traducano gli articoli del Regolamento in checklist pratiche.
Questa guida risponde esattamente a questa esigenza: cosa cambia concretamente il 2 agosto 2026, come funzionano i quattro livelli di rischio previsti dall'AI Act, in che modo la Legge 23 settembre 2025 n. 132 italiana si affianca al Regolamento europeo generando la cosiddetta doppia compliance, quali passi concreti compiere subito, quali sono le sanzioni e come sfruttare regulatory sandbox e agevolazioni riservate a PMI e startup. Con esempi reali, tempistiche precise e una checklist operativa pensata per aziende sotto i 250 dipendenti.
Il 2 agosto 2026 non introduce solo obblighi tecnici: segna il passaggio dalla preparazione all'enforcement effettivo. Le autorità di sorveglianza di mercato hanno già avviato le prime ispezioni preliminari in Italia, Spagna e Francia, con investigazioni formali aperte anche su fornitori di tecnologie utilizzati da PMI.
Quali sono i 4 livelli di rischio dell'AI Act?
L'AI Act adotta un approccio basato sul rischio e classifica i sistemi di intelligenza artificiale in quattro categorie: rischio inaccettabile (vietato), rischio alto, rischio limitato e rischio minimo. La categoria in cui ricade un sistema determina gli obblighi applicabili: dal divieto assoluto fino alla libera circolazione con semplici requisiti di trasparenza. Capire in quale livello si colloca ciascun sistema è il primo passo di qualsiasi percorso di compliance.
1. Rischio inaccettabile: i divieti già in vigore
Dal 2 febbraio 2025 sono vietati in tutta l'Unione Europea i sistemi di social scoring governativi, il riconoscimento delle emozioni sul posto di lavoro e nelle scuole, la categorizzazione biometrica basata su dati sensibili (origine etnica, orientamento sessuale, convinzioni politiche) e lo scraping non mirato di immagini facciali per costruire database di riconoscimento. Per le aziende questo divieto è già operativo: utilizzare un sistema di monitoraggio delle emozioni per valutare la performance dei dipendenti espone alla sanzione massima di 35 milioni di euro o 7% del fatturato globale.
2. Rischio alto: il cuore degli obblighi del 2026
È la categoria più impegnativa dal punto di vista operativo. L'Allegato III dell'AI Act elenca otto aree ad alto rischio: identificazione biometrica, infrastrutture critiche, istruzione e formazione professionale, occupazione e gestione dei lavoratori, accesso a servizi pubblici e privati essenziali, law enforcement, gestione della migrazione e dell'asilo, amministrazione della giustizia. Dentro queste aree cadono casi molto concreti per le PMI: sistemi di selezione del personale con filtri automatici, credit scoring, valutazione del rendimento dei dipendenti, piattaforme di gestione del rischio sanitario o assicurativo.
Dal 2 agosto 2026 questi sistemi devono soddisfare requisiti stringenti: sistema di gestione del rischio documentato lungo l'intero ciclo di vita, qualità e rappresentatività dei dataset di addestramento, fascicolo tecnico completo, meccanismo di registrazione automatica dei log, supervisione umana effettiva, registrazione nel database europeo dei sistemi ad alto rischio, marcatura CE e dichiarazione di conformità.
3. Rischio limitato: obblighi di trasparenza
Include chatbot, assistenti virtuali e sistemi che generano o manipolano contenuti (deepfake, immagini e testi prodotti da AI generativa). L'obbligo principale è la trasparenza: gli utenti devono essere informati che stanno interagendo con una macchina e che un contenuto è stato generato dall'AI. Anche una PMI che utilizza un chatbot sul proprio sito o un assistente vocale per prenotazioni rientra qui, con obblighi di etichettatura e informativa proporzionati alla finalità.
4. Rischio minimo: uso libero
Filtri antispam, AI nei videogiochi, sistemi di raccomandazione prodotti di base, correttori grammaticali. Non sono previsti obblighi specifici oltre alle normali regole di diritto del consumatore e protezione dei dati personali. La maggior parte dei sistemi AI oggi in uso nelle PMI ricade in questa categoria, motivo per cui la compliance, una volta mappati i sistemi, risulta spesso più agevole del previsto.
| Livello di Rischio | Esempi di Sistemi | Obblighi Principali | Data Applicazione |
|---|---|---|---|
| Inaccettabile | Social scoring, riconoscimento emozioni sul lavoro | Divieto totale | 2 febbraio 2025 |
| Alto | Screening CV, credit scoring, gestione dipendenti | Risk management, fascicolo tecnico, CE | 2 agosto 2026 |
| Limitato | Chatbot, deepfake, contenuti AI-generated | Trasparenza e etichettatura | 2 agosto 2026 |
| Minimo | Antispam, raccomandazioni, AI nei giochi | Nessun obbligo specifico | Immediato |
Come la Legge 132/2025 integra l'AI Act in Italia?
La Legge 23 settembre 2025, n. 132 è il primo quadro normativo italiano dedicato all'intelligenza artificiale, entrato in vigore il 10 ottobre 2025. Non sostituisce l'AI Act europeo — che rimane la norma di riferimento direttamente applicabile — ma lo integra in tre direzioni: disciplina gli ambiti lasciati alla discrezione degli Stati membri, regola l'uso dell'AI nelle professioni intellettuali e nel lavoro, istituisce strumenti nazionali di governance, supervisione e finanziamento.
Doppia compliance: il rischio di applicare solo una delle due norme
La coesistenza di due normative — europea e italiana — genera quella che i giuristi definiscono doppia compliance. Le PMI devono rispettare contemporaneamente i requisiti tecnici dell'AI Act (risk management, documentazione, supervisione umana) e gli obblighi aggiuntivi della L.132/2025 (informativa ai lavoratori, tutela della dignità umana, trasparenza nelle decisioni automatizzate, indicazione al cliente in ambito professionale). L'errore più comune è applicare solo una delle due: in sede di verifica le autorità italiane contestano la violazione di entrambe, con cumulo delle sanzioni.
Obblighi aggiuntivi per il lavoro e le professioni intellettuali
La Legge 132/2025 impone che l'uso dell'AI in funzioni HR — selezione, monitoraggio, valutazione delle performance — sia comunicato espressamente ai lavoratori con informative chiare sulle logiche decisionali, sulle misure anti-discriminazione adottate e sul diritto a richiedere la revisione umana delle decisioni automatizzate. Per le professioni intellettuali (avvocati, medici, commercialisti, consulenti del lavoro) è obbligatoria l'indicazione al cliente quando l'AI interviene in modo rilevante nella fornitura del servizio.
Le autorità italiane competenti
La supervisione è distribuita tra più enti: AgID e ACN (Agenzia per l'Italia Digitale e Agenzia per la Cybersicurezza Nazionale) per gli aspetti tecnici e di sicurezza, Garante per la Protezione dei Dati Personali per i profili di privacy, autorità settoriali per gli ambiti regolati (Banca d'Italia per il credit scoring, CONSOB per i sistemi AI in ambito finanziario, AGCOM per contenuti audiovisivi e piattaforme). Un sistema multipolare che richiede di identificare correttamente l'autorità di riferimento in base al caso d'uso. Evolus integra strumenti di audit log e tracciabilità che facilitano la preparazione delle evidenze richieste da ciascuna autorità.
Checklist di compliance per PMI: da dove iniziare?
La compliance all'AI Act non richiede trasformazioni tecnologiche radicali: richiede ordine, documentazione e formazione. Le PMI possono raggiungere un livello accettabile di conformità in 8-12 settimane di lavoro strutturato, senza costi eccessivi. Ecco i cinque passi operativi da compiere prima del 2 agosto 2026, in ordine di priorità.
1. Mappatura dei sistemi AI in uso
Il primo passo è compilare un registro aziendale dei sistemi AI: tutti gli strumenti che contengono componenti di intelligenza artificiale (chatbot, software HR, CRM con lead scoring, piattaforme di marketing automation, tool di generazione contenuti, sistemi di sorveglianza intelligente, assistenti vocali). Per ciascuno si annotano fornitore, finalità, categoria di rischio stimata, dati trattati, responsabile interno, data di adozione. Senza questa mappa non è possibile capire a quali obblighi si è soggetti né preparare la documentazione richiesta.
2. Classificazione del rischio
Per ciascun sistema mappato si verifica la classificazione in base ai criteri dell'AI Act: è un sistema ad alto rischio elencato nell'Allegato III? È un sistema a rischio limitato con obblighi di trasparenza? La verifica non è banale: un software di recruiting che usa AI per filtrare CV ricade tra i sistemi ad alto rischio, anche se il fornitore lo descrive come semplice strumento di supporto alle decisioni. La guida ufficiale della Commissione Europea, i pareri delle autorità nazionali e le linee guida settoriali pubblicate da AgID sono gli strumenti di riferimento per la classificazione.
3. AI literacy: la formazione obbligatoria per tutti
L'Articolo 4 dell'AI Act impone un obbligo di alfabetizzazione sull'AI per tutto il personale che utilizza, sviluppa o gestisce sistemi AI. Dal 3 agosto 2026 le autorità possono verificare il rispetto di questo obbligo. Non serve un master universitario: servono percorsi formativi documentati che consentano ai dipendenti di riconoscere gli errori del sistema, comprendere i bias algoritmici, verificare l'affidabilità degli output generati. La documentazione è essenziale: registro delle ore svolte, contenuti trattati, competenze acquisite, attestati rilasciati.
4. Governance e documentazione tecnica
Per i sistemi ad alto rischio serve un fascicolo tecnico completo: politica di gestione del rischio, descrizione del dataset di addestramento, risultati dei test di performance e di bias, procedura di supervisione umana, piano di monitoraggio post-market, istruzioni per l'uso. Per i sistemi a rischio limitato basta molto meno: informativa all'utente, etichettatura dei contenuti AI-generated, procedura di gestione dei reclami. Evolus offre strumenti di tracciabilità, audit log e reportistica integrata che semplificano la raccolta sistematica di queste evidenze nel tempo.
5. Nomina di responsabili e definizione di procedure
Nominare un referente interno AI (non serve un nuovo ruolo dedicato: può essere il DPO esistente, il responsabile IT o un membro della direzione), definire procedure di incident response per malfunzionamenti gravi o risultati discriminatori, pianificare una revisione annuale del registro AI aziendale. La governance non è un documento statico: è un ciclo vivo che segue l'evoluzione degli strumenti adottati e del quadro normativo.
- Settimana 1-2: mappatura di tutti i sistemi AI in uso e identificazione dei fornitori
- Settimana 3-4: classificazione del rischio per ogni sistema e definizione delle priorità
- Settimana 5-8: formazione AI literacy del personale e produzione documentazione
- Settimana 9-10: nomina referente AI, definizione procedure, raccolta informative fornitori
- Settimana 11-12: revisione finale, audit interno, piano di aggiornamento continuo
Una PMI con 50 dipendenti e 6 sistemi AI in uso può completare la compliance con un investimento stimato tra 8.000 e 15.000 euro, considerando formazione, consulenza legale e aggiornamento documentale. Il costo medio di una sanzione, anche nel regime attenuato per PMI, è almeno 50 volte superiore.
Quali sono le sanzioni dell'AI Act e chi le applica?
Le sanzioni dell'AI Act sono le più severe mai introdotte da una normativa UE in ambito digitale, superiori persino a quelle previste dal GDPR. L'Articolo 99 del Regolamento prevede tre fasce di multe, calibrate sulla gravità della violazione. Per le PMI e le startup è previsto un regime attenuato: la sanzione effettiva è il minore tra l'importo massimo fisso e la percentuale sul fatturato, riducendo drasticamente l'esposizione economica.
Le tre fasce sanzionatorie previste dall'Articolo 99
| Tipo di Violazione | Sanzione Massima | Data di Applicazione |
|---|---|---|
| Uso di pratiche vietate (Art. 5) | 35 milioni di € o 7% fatturato globale | Già in vigore dal 2/2/2025 |
| Non conformità sistemi alto rischio | 15 milioni di € o 3% fatturato globale | Dal 2/8/2026 |
| Informazioni inesatte alle autorità | 7,5 milioni di € o 1% fatturato globale | Dal 2/8/2026 |
Il regime attenuato per PMI e startup
Per le PMI — meno di 250 dipendenti e fatturato inferiore a 50 milioni di euro — e per le startup, la sanzione applicata è il minore tra l'importo fisso e la percentuale sul fatturato. Esempio concreto: una PMI con 2 milioni di fatturato che violi le norme sui sistemi ad alto rischio rischia al massimo il 3% di 2 milioni, cioè 60.000 euro, non 15 milioni. Una protezione concreta che però non esime dal rispetto degli obblighi sostanziali: l'obiettivo non è punire in modo sproporzionato, ma garantire che la compliance resti sostenibile per le imprese più piccole.
Chi eroga le sanzioni in Italia e in Europa
Le sanzioni vengono erogate dalle autorità nazionali di sorveglianza di mercato. In Italia AgID e ACN coprono gli aspetti tecnici e di cybersicurezza, il Garante per la Protezione dei Dati Personali interviene sui trattamenti di dati personali, le autorità settoriali agiscono nei rispettivi ambiti regolati. Nel resto d'Europa operano AESIA in Spagna, CNIL, DGCCRF e Arcom in Francia, BNetzA e autorità federali in Germania. La Commissione Europea mantiene poteri diretti sui modelli AI di portata sistemica (GPAI), coordinando l'azione tra Stati membri.
Regulatory sandbox e agevolazioni: cosa può ottenere una PMI?
L'AI Act non impone solo obblighi: introduce anche un sistema di agevolazioni specifiche per PMI e startup che intendono sviluppare o testare soluzioni AI. L'Articolo 62 del Regolamento prevede accesso prioritario e gratuito ai regulatory sandbox nazionali, sconti sulle tariffe di valutazione di conformità e documentazione tecnica semplificata. A livello italiano, la Legge 132/2025 istituisce un fondo di investimento fino a 1 miliardo di euro per startup e PMI attive in AI, cybersicurezza e tecnologie emergenti.
Cos'è un regulatory sandbox e come funziona
Il regulatory sandbox è uno spazio controllato di sperimentazione dove una PMI può testare un sistema AI innovativo in condizioni reali, sotto la supervisione di un'autorità nazionale, senza incorrere in sanzioni per la durata del test, a patto di rispettare il piano concordato e di seguire in buona fede le indicazioni dell'autorità. È lo strumento ideale per innovare senza paralizzarsi nella burocrazia: permette di validare una soluzione, accumulare evidenze tecniche e ottenere la certificazione finale con tempi e costi ridotti.
Incentivi per startup innovative e PMI italiane
Nel 2026 le startup innovative italiane possono accedere a un sistema di incentivi particolarmente articolato: Smart&Start Italia (finanziamento a tasso zero fino a 1,5 milioni di euro), ON – Oltre Nuove Imprese a Tasso Zero, credito d'imposta per ricerca e sviluppo, nuovo Iperammortamento 2026-2028 per investimenti in beni 4.0 e in soluzioni AI. Questi strumenti sono cumulabili con le misure di supporto alla compliance AI, rendendo l'investimento in intelligenza artificiale economicamente sostenibile anche per realtà molto piccole.
Come candidarsi al sandbox italiano
Per accedere al sandbox italiano è necessario presentare domanda ad AgID con un progetto dettagliato: descrizione del sistema AI, obiettivi di sperimentazione, dati utilizzati, misure di mitigazione del rischio, piano di uscita dalla sperimentazione. Il processo di selezione privilegia soluzioni con impatto sociale o industriale rilevante e PMI con profilo innovativo. Le guide operative pubblicate sul portale della Commissione Europea e sul sito di AgID sono aggiornate con cadenza mensile: vale la pena verificarle prima di avviare un progetto.
Domande frequenti sull'AI Act 2026
Le PMI sotto i 50 dipendenti sono esentate dall'AI Act?
No. L'AI Act si applica a tutte le aziende che utilizzano o forniscono sistemi di intelligenza artificiale, indipendentemente dalla dimensione. Tuttavia, sono previste misure attenuate per PMI e startup: documentazione tecnica semplificata, accesso gratuito ai sandbox regolatori, sanzioni ridotte al minore tra importo fisso e percentuale di fatturato. Nessuna esenzione totale, ma un percorso agevolato che rende la compliance sostenibile anche per imprese piccole.
Il nostro chatbot di customer care è un sistema ad alto rischio?
Generalmente no. I chatbot di customer care rientrano nella categoria rischio limitato dell'AI Act, con obblighi principalmente di trasparenza: informare l'utente che sta dialogando con una macchina ed etichettare eventuali contenuti generati dall'AI. Diventa alto rischio solo se il chatbot prende decisioni automatiche con impatto significativo sull'utente, ad esempio la concessione di un credito o l'esclusione da un servizio essenziale.
Cosa succede se utilizziamo software AI forniti da aziende extra-UE?
Se il sistema AI è utilizzato nell'Unione Europea o produce effetti su cittadini europei, l'AI Act si applica indipendentemente dalla sede del fornitore. La PMI utilizzatrice, nel ruolo di deployer, deve verificare che il fornitore abbia ottemperato ai propri obblighi (marcatura CE, documentazione tecnica, dichiarazione di conformità). La responsabilità per l'uso conforme rimane sempre in capo all'azienda italiana che adotta la soluzione.
La scadenza del 2 agosto 2026 potrebbe essere posticipata?
È in discussione a livello europeo una proposta di Digital Omnibus che posticiperebbe alcune scadenze dei sistemi ad alto rischio fino al 2 dicembre 2027. Al momento (aprile 2026) la proposta non è ancora stata adottata: la scadenza del 2 agosto 2026 resta giuridicamente vincolante. Le aziende devono procedere con l'adeguamento senza contare su rinvii non ancora confermati.
Qual è la differenza tra AI Act e Legge 132/2025?
L'AI Act è il Regolamento europeo UE 2024/1689, direttamente applicabile in tutti gli Stati membri senza necessità di recepimento. La Legge 132/2025 è la normativa italiana che integra l'AI Act negli ambiti lasciati alla discrezione nazionale: lavoro, professioni intellettuali, sanità, giustizia, pubblica amministrazione, governance e fondi di finanziamento. Le PMI italiane devono rispettare entrambe le normative contemporaneamente: è la cosiddetta doppia compliance.
Confronta Evolus con i competitor
Scopri come Evolus si posiziona rispetto alle altre piattaforme AI sul mercato.
Vuoi vedere l'AI in azione?
Richiedi una demo personalizzata e scopri come l'intelligenza artificiale può trasformare i tuoi processi aziendali.