Il Regolamento (UE) 2024/1689 — comunemente noto come AI Act — è la prima legge organica al mondo sull’intelligenza artificiale. Approvato definitivamente nel marzo 2024 e pubblicato sulla Gazzetta Ufficiale UE il 12 luglio 2024, entra in vigore progressivamente fra agosto 2025 e agosto 2027. Per le PMI italiane che già usano Microsoft 365 Copilot, ChatGPT Enterprise, Azure OpenAI o altri sistemi AI, alcuni obblighi sono già attivi nel 2025 e diventano vincolanti nel 2026.
Questa guida riassume cosa serve sapere e cosa fare in pratica per essere conformi.
Cosa regola l’AI Act
L’AI Act applica un approccio basato sul rischio: classifica i sistemi AI in quattro livelli di rischio e impone obblighi proporzionati. Si applica a chiunque immetta sul mercato UE, distribuisca o utilizzi un sistema AI — non solo ai vendor. Anche una PMI italiana che si limita a usare Microsoft 365 Copilot rientra nell’ambito di applicazione come “deployer” (utilizzatore professionale).
Le quattro categorie di rischio:
| Livello | Esempi | Trattamento |
|---|---|---|
| Rischio inaccettabile | Social scoring, manipolazione subliminale, identificazione biometrica massiva | Vietato dall’agosto 2025 |
| Rischio alto | AI per recruiting, valutazione credito, gestione infrastrutture critiche, dispositivi medici | Conformità rigorosa: registrazione, valutazione conformità, sorveglianza umana |
| Rischio limitato | Chatbot, sistemi di generazione contenuti (Copilot, ChatGPT) | Obblighi di trasparenza: l’utente deve sapere di interagire con un’AI |
| Rischio minimo | Filtri spam, sistemi di raccomandazione semplici | Nessun obbligo specifico |
Per la stragrande maggioranza delle PMI italiane il regime applicabile è rischio limitato: gli obblighi sono concreti ma gestibili senza stravolgere i processi.
Le scadenze 2025-2027
Le date chiave dell’AI Act per chi usa AI in azienda:
| Data | Obbligo entrato in vigore |
|---|---|
| 2 febbraio 2025 | Sistemi a rischio inaccettabile vietati. AI literacy: i dipendenti che interagiscono con AI devono avere formazione adeguata |
| 2 agosto 2025 | Obblighi per i fornitori di modelli GPAI (general-purpose AI, es. OpenAI, Anthropic, Microsoft). Per le PMI: indirettamente — i vendor stessi diventano conformi |
| 2 agosto 2026 | Entra in vigore la parte rilevante per le PMI: obblighi di trasparenza sui sistemi a rischio limitato, obblighi sui sistemi a rischio alto |
| 2 agosto 2027 | Conformità completa di tutti i sistemi AI già sul mercato prima del 2 agosto 2026 |
La scadenza operativa per la maggior parte delle PMI italiane è agosto 2026. Per arrivarci preparati conviene cominciare la mappatura AI e la documentazione entro fine 2025.
Quali sistemi AI usate? Mappa rapida per PMI italiane
Quasi tutte le PMI italiane oggi usano almeno un sistema AI senza esserne pienamente consapevoli. Tipico inventario:
- Microsoft 365 Copilot (in Word, Excel, PowerPoint, Outlook, Teams) — rischio limitato
- Copilot Chat free tier (incluso in M365 Business Standard, Premium, E3, E5) — rischio limitato
- GitHub Copilot se avete sviluppatori — rischio limitato
- ChatGPT versione free, Plus, Team, Enterprise — rischio limitato
- Azure OpenAI Service per sviluppo soluzioni custom — rischio limitato per uso interno, può salire a rischio alto se l’output guida decisioni critiche
- Power Platform AI Builder in Power Apps e Power Automate — rischio limitato
- Strumenti HR con AI screening CV (LinkedIn Recruiter automation, HireVue, ecc.) — potenzialmente rischio alto se usato per decisioni assunzione automatiche
- Sistemi credit scoring automatici se siete in fintech — rischio alto
- Chatbot customer service sul sito o WhatsApp — rischio limitato (trasparenza obbligatoria)
Per la maggioranza delle PMI italiane (manifattura, professional services, retail, software house) l’inventario è composto da sistemi a rischio limitato. L’attenzione va concentrata su recruitment automation e qualsiasi sistema che prenda decisioni rilevanti su persone.
Obblighi pratici per chi usa Microsoft 365 Copilot
Microsoft sta lavorando per rendere Copilot pienamente compliant lato vendor. Per voi come deployer rimangono comunque obblighi specifici:
- AI literacy del team: ogni utente che interagisce con Copilot deve avere formazione adeguata sui limiti, sui rischi (hallucination, bias, leakage) e sull’uso responsabile. Non è opzionale — è obbligo dell’azienda dal 2 febbraio 2025.
- Trasparenza interna: comunicate ai dipendenti dove e come state usando AI nel ciclo produttivo. Una breve policy AI aziendale di 1-2 pagine è il minimo richiesto.
- Trasparenza esterna: se i contenuti generati da Copilot vengono inviati a clienti, fornitori, candidati, dovete dichiarare l’uso di AI quando rilevante (es. risposte automatiche customer service generate da AI).
- Output umano-supervisionato per decisioni critiche: nessuna decisione che incide significativamente sulle persone (assunzioni, dismissioni, valutazioni performance, credito) può essere automatizzata senza revisione umana.
Per una guida più operativa al rollout Copilot vedi il confronto Microsoft 365 Copilot vs ChatGPT Enterprise e l’articolo Microsoft 365 Copilot readiness.
ChatGPT, Gemini, Claude: obblighi se usate LLM esterni
Se i vostri dipendenti usano ChatGPT, Google Gemini, Anthropic Claude o altri modelli direttamente (con account personali o aziendali), gli obblighi sono analoghi al Copilot ma con rischi aggiuntivi:
- Data leakage: i prompt inseriti in ChatGPT free e Plus possono essere usati per training. Le versioni Enterprise/Team/API hanno garanzie diverse. La policy AI aziendale deve essere esplicita su cosa NON inserire (dati personali, segreti commerciali, codice proprietario).
- GDPR + AI Act sovrapposti: se i prompt contengono dati personali (anche solo nomi di clienti, dipendenti, fornitori), il trattamento ricade sotto entrambe le normative.
- Trasferimento extra-UE: OpenAI e Anthropic operano sotto Data Privacy Framework EU-US dal 2023, ma i dettagli del trattamento variano per piano. Verifica le condizioni del piano in uso prima di autorizzarne l’uso aziendale.
Per le PMI italiane il pattern raccomandato è: autorizzare ChatGPT Enterprise o Microsoft 365 Copilot via tenant aziendale, vietare account personali per uso lavorativo.
Documentazione obbligatoria (cosa deve preparare il CISO o l’IT manager)
L’AI Act richiede documentazione che dimostri compliance. Per una PMI a rischio limitato il pacchetto minimo è:
- Inventario sistemi AI (lista di tutti i sistemi AI in uso, vendor, livello di rischio, area aziendale)
- Policy AI aziendale (2-4 pagine: cosa è autorizzato, cosa è vietato, obblighi degli utenti, procedura escalation)
- Registro formazione AI literacy (chi ha fatto formazione, quando, quale contenuto)
- Procedura di trasparenza esterna (modelli email, footer chatbot, disclaimer documenti generati con AI)
- Registro incidenti AI (eventuali errori significativi del sistema, hallucination con impatto, malfunzionamenti)
Questa documentazione va mantenuta interna ma reperibile in caso di audit (AGID o autorità di sorveglianza nazionale).
Per le PMI in scope NIS2 (settori essenziali sopra 50 dipendenti), la documentazione AI si integra con quella di cyber security NIS2 — può essere mantenuta in un unico framework di compliance.
Sanzioni e responsabilità
Le sanzioni AI Act sono significative:
- Violazioni gravi (sistemi a rischio inaccettabile usati): fino a 35 milioni € o 7% fatturato globale
- Violazioni standard (rischio alto senza conformità, trasparenza assente): fino a 15 milioni € o 3% fatturato
- Informazioni false alle autorità: fino a 7,5 milioni € o 1% fatturato
Per le PMI, le sanzioni vere previste dal Regolamento sono proporzionate al fatturato ma comunque elevate. L’incentivo a essere conformi è economico, non solo reputazionale. La responsabilità è dell’amministratore delegato e del DPO (se nominato).
AI Act vs GDPR: relazione e differenze
Quasi tutti i sistemi AI processano dati personali, quindi GDPR e AI Act si applicano congiuntamente. Aspetti pratici:
- Base giuridica: il GDPR richiede una base giuridica per il trattamento (consenso, contratto, legittimo interesse, ecc.). L’AI Act non sostituisce questo obbligo.
- DPIA AI-aware: la Data Protection Impact Assessment (DPIA) sotto GDPR va aggiornata per includere considerazioni AI specifiche (training data, output bias, automazione decisioni).
- DPO unico: lo stesso DPO aziendale gestisce conformità GDPR + AI Act se la PMI ne ha uno nominato.
Convergenza pratica: il pacchetto documentale GDPR esistente (registro trattamenti, DPIA, policy privacy) si estende con allegati AI, non si rifà da zero.
Cosa fare adesso (5 step concreti)
Per una PMI italiana che vuole essere conforme all’AI Act entro agosto 2026:
- Mappa l’inventario AI (entro Q3 2025 idealmente). Lista di tutti i sistemi AI in uso, con livello di rischio. Bastano 30-60 minuti se l’azienda ha meno di 100 dipendenti.
- Identifica i sistemi a rischio alto eventuali (es. screening CV automatizzato, sistemi credit scoring). Se ci sono, valuta se ridurli a rischio limitato (re-introducendo supervisione umana) o se sostenere la conformità rischio alto (significativa).
- Definisci la policy AI aziendale (entro Q4 2025). 2-4 pagine: ambito, uso autorizzato, uso vietato, responsabilità, procedura escalation. La approva l’amministratore delegato.
- Forma il team su AI literacy (entro Q1 2026). 2-4 ore di formazione sui limiti dei modelli, hallucination, bias, leakage dati, uso responsabile. Documenta partecipazione e contenuti.
- Implementa le procedure di trasparenza (entro Q2 2026). Footer email automatiche, disclaimer chatbot, regole interne su quando dichiarare l’uso AI nei deliverable cliente.
Per la fascia rischio limitato (la stragrande maggioranza delle PMI) l’investimento totale è gestibile: 20-40 ore di consulenza esterna + formazione team. Sotto il costo di una singola sanzione minima.
Per un assessment dello stack AI aziendale e una roadmap di conformità AI Act + GDPR integrata, contattaci: valutazione gratuita iniziale, gap analysis vs scadenze 2026, roadmap operativa.