Il Regolamento UE 2024/1689 (AI Act) è il primo framework giuridico al mondo per regolamentare in modo orizzontale i sistemi di intelligenza artificiale. La sua applicazione è scaglionata: i divieti sui sistemi di “rischio inaccettabile” (social scoring, riconoscimento biometrico real-time, manipolazione comportamentale) sono già in vigore da febbraio 2025. Ma il vero enforcement operativo scatta il 2 agosto 2026 per due categorie cruciali:
- GPAI (General-Purpose AI Models) — i fornitori di modelli di AI generativa come OpenAI, Anthropic, Google, Mistral, Microsoft devono aver pubblicato documentazione tecnica, training data summary, governance copyright.
- Sistemi AI ad alto rischio — uso AI in ambito HR (selezione personale), credito, accesso a servizi essenziali, valutazione studenti, biometria: obblighi di valutazione di conformità + registrazione UE + sistema di gestione rischio.
Per le PMI italiane che usano Microsoft 365 Copilot, ChatGPT Enterprise, Power Platform Copilot o agenti custom in Copilot Studio: la scadenza riguarda anche te. Vediamo cosa cambia concretamente nei prossimi 90 giorni e quale è il piano operativo minimo per arrivare ad agosto in regola.
Cosa cambia il 2 agosto 2026
Distinguo i due piani applicabili a una PMI:
Piano A — PMI che USA modelli GPAI (Copilot, ChatGPT, Gemini, Claude)
L’obbligo formale è del fornitore (OpenAI, Microsoft, Google), non della PMI utente finale. Microsoft e OpenAI hanno già pubblicato la documentazione AI Act richiesta (technical documentation, training data summary, copyright governance). La PMI italiana è in regola “passivamente” semplicemente usando questi strumenti come previsto dai loro Terms of Service.
Ma ci sono tre obblighi indiretti che ricadono sulla PMI:
- Trasparenza con dipendenti e clienti — l’art. 50 AI Act dice che chi usa un sistema AI per interagire con persone fisiche deve informarle. Tradotto: se il bot del sito chiama “Maria Rossi del customer service” e in realtà è Copilot Studio, va dichiarato esplicitamente.
- Etichettatura di contenuti AI-generated — testi, immagini, audio, video generati con AI e pubblicati esternamente vanno marcati (es. campo Meta tag, watermark visibile, dichiarazione in footer documento).
- Documentazione interna dell’uso AI — la PMI deve poter dimostrare (in caso di ispezione Garante Privacy o Antitrust) quale AI viene usata, per quale finalità, su quali dati. Una sorta di “registro AI” parallelo al registro trattamenti GDPR.
Piano B — PMI che usa AI in ambito ad alto rischio
Categorie definite dall’Annex III AI Act. Le più rilevanti per PMI italiane:
| Use case | Categoria AI Act | Esempio PMI |
|---|---|---|
| HR — screening CV automatizzato | High-risk (Annex III, 4) | PMI usa Copilot Studio bot per filtrare CV ricevuti |
| HR — performance review | High-risk (Annex III, 4) | PMI usa AI per analisi performance dipendenti |
| Credit scoring per clienti | High-risk (Annex III, 5) | Studio commercialista usa AI per valutare affidabilità clienti |
| Customer service automatico decisionale | High-risk se decisioni vincolanti | Bot che approva/rifiuta richieste senza umano |
Se una PMI rientra in uno di questi scenari, gli obblighi sono molto più pesanti dal 2 agosto:
- Valutazione di conformità documentata
- Registrazione del sistema nella Banca dati UE AI
- Sistema di gestione del rischio formalizzato
- Audit del provider AI (es. OpenAI) per ottenere le garanzie contrattuali AI Act
Le sanzioni — chi rischia cosa
Il sistema sanzionatorio dell’AI Act è graduato e più severo del GDPR in alcune fasce:
| Violazione | Sanzione massima |
|---|---|
| Sistemi proibiti (social scoring, biometria real-time) | 35 milioni € o 7% fatturato globale |
| Inadempimento obblighi sistemi high-risk | 15 milioni € o 3% fatturato globale |
| Informazioni incomplete/false alle autorità | 7,5 milioni € o 1% fatturato globale |
Per le PMI italiane: l’autorità competente è il Garante per la Protezione dei Dati Personali, congiuntamente con AgID per gli aspetti tecnici. Il Garante ha già anticipato (comunicato aprile 2026) che nei primi 12 mesi farà ispezioni soprattutto su scenari HR e customer service automatizzato.
Il piano 90 giorni per una PMI italiana
Per chi non ha ancora fatto nulla, la lista operativa minima da chiudere entro il 2 agosto 2026:
Settimane 1-2 — Audit dell’uso AI in azienda
Mappare tutti gli usi AI in essere:
- Microsoft 365 Copilot (utenti licenziati)
- ChatGPT Enterprise / Plus su account aziendali
- Power Platform Copilot (Power Apps, Power Automate, Power BI)
- Copilot Studio agents
- Tool AI integrati in software gestionali (es. Dynamics 365 Sales Copilot, ERP italiani con AI features recenti)
- ChatGPT / Claude / Gemini su account personali dei dipendenti (shadow AI)
Output: una tabella inventario con colonne tool, numero_utenti, casi_uso, dati_processati, rischio_AI_Act.
Settimane 3-4 — Classificazione del rischio
Per ogni use case dell’inventario, classificarlo nei 4 livelli AI Act:
- Inaccettabile → da eliminare immediatamente.
- Alto rischio → applicazione completa obblighi Annex III (rari in PMI, ma se ci sei: HR screening, credit scoring).
- Limitato (la maggior parte degli usi Copilot in PMI) → obblighi trasparenza art. 50.
- Minimo → nessun obbligo specifico.
Output: classification matrix firmata dal management.
Settimane 5-8 — Implementazione misure
A seconda della classificazione:
Per “limitato” (caso PMI tipo):
- Aggiornare informativa privacy per dichiarare uso di AI.
- Etichettare contenuti AI-generated pubblicati (footer email automatica generata da Copilot: “questo messaggio è stato generato con l’assistenza di AI”).
- Bot website con disclaimer iniziale: “sto parlando con un assistente automatizzato”.
- Training di 60 minuti per tutti i dipendenti utenti AI: cosa si può fare, cosa no.
Per “alto rischio”:
- Ottenere documentazione AI Act dal fornitore (Microsoft pubblica già le sue su
microsoft.com/legal/responsible-ai-act). - Compilare DPIA (Data Protection Impact Assessment) AI-specific.
- Registrazione nella banca dati EU AI.
- Designazione di un AI compliance officer (può essere la stessa persona del DPO).
Settimane 9-12 — Documentazione e formalizzazione
- Creare il Registro AI (modello: registro trattamenti GDPR esteso ad AI).
- Verbale di adozione delibera CdA / consiglio direttivo sull’AI governance.
- Procedure interne scritte: chi può autorizzare nuovi tool AI, chi monitora il rispetto.
- Audit log abilitati nei tenant Microsoft 365 / OpenAI (Purview Audit per Copilot).
A fine dei 90 giorni la PMI ha un kit di compliance completo da presentare in caso di ispezione.
Cosa fare se sei in ritardo
Se siamo al 27 maggio e ancora non hai cominciato:
- Settimana 1: fai SOLO l’inventario. Anche su Excel base, anche approssimativo. È il documento che fa più differenza in caso di ispezione: una PMI con inventario incompleto ma DOCUMENTATO subisce sanzioni minori di una senza nulla.
- Settimane 2-4: classificazione + comunicazione interna. Mandare una policy AI anche basica a tutti i dipendenti: cosa si può usare, cosa è proibito, come segnalare uso AI improprio.
- Settimane 5-12: focus sulle 1-2 implementazioni critiche (se hai use case high-risk) o sulla trasparenza esterna (etichettatura contenuti).
Il Garante ha dichiarato pubblicamente che, nei primi 12 mesi post-deadline, valuterà la buona fede delle aziende sotto ispezione: chi ha cominciato il percorso compliance — anche imperfettamente — sarà trattato meglio di chi non ha fatto nulla.
La parte buona della notizia
L’AI Act non chiede di rinunciare all’AI: chiede di usarla con consapevolezza e governance. Per una PMI italiana che ha adottato Copilot in modo serio (con Copilot Readiness pre-rollout e governance dati strutturata), la maggior parte degli obblighi AI Act sono già implicitamente coperti: hai inventario, hai policy, hai trasparenza utenti.
Se hai bisogno di un supporto strutturato per il piano 90 giorni — audit, classificazione rischio, registro AI, training dipendenti — parla con un nostro consulente: supportiamo le PMI italiane Microsoft-centric su compliance AI Act + GDPR coordinato, anche con CTA ?motivo=nis2-compliance se vuoi un check parallelo NIS2 + AI Act in un unico progetto.