AI ActGDPRconformità AI

AI Act 2025: cosa cambia per le PMI italiane (guida pratica)

Cosa prevede il Regolamento UE 2024/1689 (AI Act) per le piccole e medie imprese italiane. Obblighi, rischi proibiti, sistemi ad alto rischio, scadenze 2025-2027.

AutoMate PRO·16 maggio 2026·6 min read

Il Regolamento UE 2024/1689 — comunemente chiamato AI Act — è entrato in vigore il 2 agosto 2024 e si applica gradualmente fino al 2027. Se usi sistemi di intelligenza artificiale nella tua azienda italiana, alcune regole si applicano già.

Questa guida risponde alle domande pratiche che si pongono le PMI italiane, senza il gergo legale inutile.

Nota legale

Questa è una guida informativa — non una consulenza legale. Per valutare la conformità del tuo caso specifico, rivolgiti a un professionista legale specializzato in diritto tecnologico.

Il calendario degli obblighi

Non tutto è già in vigore. L'AI Act ha scadenze scaglionate:

| Data | Cosa entra in vigore | |---|---| | 2 agosto 2024 | Entrata in vigore del Regolamento | | 2 febbraio 2025 | Divieto pratiche AI proibite | | 2 agosto 2025 | Obblighi per sistemi AI ad alto rischio (GPAI) | | 2 agosto 2026 | Obblighi per sistemi ad alto rischio (allegati I, II) | | 2 agosto 2027 | Obblighi per sistemi AI incorporati in prodotti |

Le PMI italiane che usano strumenti AI per processi interni sono interessate principalmente dalle scadenze di febbraio 2025 e agosto 2025.

Le pratiche proibite (in vigore da febbraio 2025)

Queste cose non si possono fare, punto:

  • Manipolazione subliminale — sistemi AI che influenzano il comportamento umano senza che la persona ne sia consapevole
  • Sfruttamento delle vulnerabilità — AI che sfrutta debolezze psicologiche, età, disabilità per influenzare decisioni
  • Social scoring — valutare le persone in base al comportamento sociale per trattarle diversamente (vietato per qualsiasi soggetto, non solo pubblico)
  • Identificazione biometrica in tempo reale in spazi pubblici (con eccezioni per forze dell'ordine)
  • Inferenza di emozioni in contesti di lavoro e istruzione

Impatto sulle PMI italiane: questi divieti colpiscono principalmente fornitori di sistemi AI, non gli utilizzatori finali. Ma se usi strumenti AI per analisi comportamentali dei dipendenti o dei clienti, verifica con il tuo legale.

I sistemi ad alto rischio

L'AI Act classifica alcuni sistemi come "ad alto rischio". Se usi queste categorie, hai obblighi specifici di trasparenza, documentazione e supervisione umana:

| Categoria | Esempi pratici | |---|---| | Selezione del personale | CV screening automatizzato, strumenti di valutazione candidati | | Credito e assicurazioni | Scoring del credito, valutazione rischio assicurativo | | Istruzione | Valutazione automatica studenti, accesso a istituti | | Sanità | Dispositivi medici con AI, diagnosi assistita | | Infrastrutture critiche | Energia, acqua, trasporti | | Accesso a servizi pubblici | Pratiche amministrative automatizzate |

Per la maggior parte delle PMI italiane: i sistemi ad alto rischio sono poco diffusi. I tool AI più comuni (CRM con AI, assistenti per le email, report automatici, chatbot informativi) non rientrano nella categoria ad alto rischio.

Cosa si applica ai tool AI comuni in azienda

Questa è la parte che interessa di più alle PMI italiane che usano ChatGPT, Gemini, Copilot, o sistemi AI per automazioni di processo.

Obblighi di trasparenza (art. 50)

Se usi un sistema AI che interagisce direttamente con i tuoi clienti (chatbot, assistente virtuale), devi:

  1. Informare l'utente che sta interagendo con un sistema AI — non un essere umano
  2. Non prima del bisogno: basta che l'informazione sia disponibile, non deve essere un banner invasivo
  3. Eccezione: se il contesto lo rende ovvio (es. assistente vocale di uno smart speaker), non serve avvertimento esplicito

Questo è già applicabile. Se hai un chatbot sul sito o un assistente WhatsApp automatizzato, assicurati che sia chiaro che è un sistema automatico.

Watermarking dei contenuti generati (art. 50, comma 2)

Contenuti audio, video, testo o immagini generati da AI e usati per informare il pubblico devono essere marcati come generati artificialmente. L'obbligo si applica principalmente ai media, ma è buona prassi estenderla anche alle comunicazioni aziendali.

GDPR + AI Act: doppio regime

Se il sistema AI tratta dati personali, si applicano sia il GDPR che l'AI Act. I due regolamenti sono complementari:

  • GDPR: base legale, minimizzazione dati, diritti degli interessati
  • AI Act: requisiti tecnici del sistema, supervisione umana, documentazione

La cosa da evitare: usare sistemi AI su dati personali (es. analisi dei comportamenti di clienti o dipendenti) senza una base legale GDPR e senza valutare i rischi AI.

Cosa deve fare concretamente una PMI italiana nel 2026

Lista pratica, in ordine di priorità:

Già necessario:

  • [ ] Verificare che i chatbot/assistenti automatizzati dichiarino di essere AI (art. 50)
  • [ ] Non usare sistemi AI per pratiche proibite (manipulation, emotion inference, social scoring)
  • [ ] Se hai tool AI per la selezione del personale: documentazione e supervisione umana

Da fare entro fine 2026:

  • [ ] Inventario dei sistemi AI in uso in azienda (anche tool SaaS)
  • [ ] Valutazione se qualcuno di questi rientra nelle categorie ad alto rischio
  • [ ] Allineamento con il DPO/responsabile privacy se tratti dati personali

Best practice (non obbligatorio ma consigliato):

  • [ ] Policy interna sull'uso dei tool AI da parte dei dipendenti
  • [ ] Clausole contrattuali con i fornitori AI su conformità AI Act
  • [ ] Registro degli usi AI sensibili (analisi clienti, selezione personale)

Feb 2025

Primo obbligo

pratiche AI proibite — già in vigore

Ago 2025

GPAI

obblighi modelli AI uso generale già in vigore

2026

Alto rischio

obblighi completi per sistemi ad alto rischio

Le sanzioni

Non sono simboliche. L'AI Act prevede:

| Violazione | Sanzione massima | |---|---| | Pratiche proibite | €35 milioni o 7% fatturato globale | | Obblighi sistemi ad alto rischio | €15 milioni o 3% fatturato globale | | Informazioni errate alle autorità | €7,5 milioni o 1% fatturato globale |

Per le PMI, le sanzioni sono proporzionate alla dimensione dell'azienda. L'Autorità nazionale di vigilanza in Italia sarà l'Agenzia per l'Italia Digitale (AgID) affiancata dal Garante Privacy per i profili GDPR.

L'AI conversazionale per il business: è ad alto rischio?

Una domanda frequente per le PMI che adottano assistenti AI interni: un sistema AI che risponde ai miei clienti su WhatsApp o che analizza i dati del mio CRM è "ad alto rischio"?

La risposta generale è no, a meno che non sia usato per:

  • Valutare l'affidabilità creditizia dei clienti
  • Prendere decisioni vincolanti che impattano sui diritti delle persone
  • Gestire infrastrutture critiche

Un assistente che risponde a domande sui tuoi prodotti, gestisce prenotazioni, o invia report automatici ai manager non rientra nella categoria ad alto rischio secondo l'attuale classificazione AI Act.

Per capire come costruire un sistema AI Operations conforme GDPR e AI Act per la tua PMI italiana, parti dall'audit gratuito: in 30 minuti mappiamo i tuoi processi e identifichiamo cosa costruire nel rispetto delle normative vigenti.

Vuoi sapere quali agenti AI hanno senso per la tua azienda?

Compila l'audit gratuito: in 24 ore ricevi un'analisi personalizzata con il piano operativo per il tuo caso.

Inizia l'audit gratuito
Torna al blog