L'AI Act italiano, ovvero il Regolamento (UE) 2024/1689 applicato alle imprese italiane, non è una norma che riguarda chi produce intelligenza artificiale. Riguarda chiunque la usi.
Se nella tua azienda qualcuno usa ChatGPT, Copilot, Claude, Gemini o qualsiasi altro strumento di AI per scrivere, analizzare dati, rispondere ai clienti o automatizzare processi, sei già dentro il perimetro normativo. Non da agosto 2026: da febbraio 2025.
Eppure la maggior parte delle PMI italiane affronta questo tema con la stessa logica con cui affronta il GDPR: aspetta, rimanda, e poi corre ai ripari quando arriva la prima contestazione. Il problema è che questa volta le sanzioni sono calcolate sul fatturato globale annuo — non su quello italiano — e possono arrivare al 7%.
Questo articolo non è una raccolta di norme. È una mappa operativa: cosa disciplina l'AI Act, chi è soggetto all'AI Act, quando entreranno in vigore gli obblighi dell'AI Act, quali sono le sanzioni per chi viola l'AI Act, e da dove partire per mettere in ordine la tua azienda prima che il problema arrivi da solo.
Le informazioni contenute in questo articolo si basano sul testo ufficiale del Regolamento (UE) 2024/1689 (GU Serie L 2024/1689), sulla pagina istituzionale della Commissione Europea sul quadro normativo AI e sugli aggiornamenti derivanti dall'accordo politico sul Digital Omnibus del 7 maggio 2026, approvato dal Parlamento Europeo il 16 giugno 2026.
L'AI Act è il Regolamento (UE) 2024/1689 del Parlamento Europeo e del Consiglio: il primo quadro giuridico completo al mondo sull'intelligenza artificiale. È entrato in vigore il 1° agosto 2024 ed è progressivamente applicabile a partire da febbraio 2025, con piena operatività generale dal 2 agosto 2026.
L'obiettivo principale dell'AI Act è garantire che i sistemi di intelligenza artificiale utilizzati nell'Unione Europea siano sicuri, trasparenti e rispettosi dei diritti fondamentali. Non si tratta di bloccare l'innovazione: si tratta di creare regole chiare su chi è responsabile di cosa, in quale contesto e con quali conseguenze.
Cosa disciplina l'AI Act nel concreto:
La legge sull'intelligenza artificiale (come viene spesso chiamata in modo impreciso) non è una scelta. È un obbligo di legge applicabile a tutte le organizzazioni che operano nell'Unione Europea, indipendentemente da dove hanno sede.
Sono soggette all'AI Act tutte le organizzazioni - pubbliche o private, grandi o piccole - che sviluppano, immettono sul mercato o utilizzano sistemi di intelligenza artificiale nell'Unione Europea.
Questo significa che quasi ogni PMI italiana che usa strumenti digitali moderni è già soggetta all'AI Act. Non perché produca intelligenza artificiale, ma perché la utilizza — anche solo attraverso un abbonamento a uno strumento SaaS che incorpora funzionalità AI.
Il Regolamento (UE) 2024/1689 distingue due ruoli principali, con obblighi profondamente diversi:
Il provider (fornitore) è chi sviluppa o immette sul mercato un sistema AI. Ha obblighi massimi: documentazione tecnica, valutazione della conformità, registrazione nel database europeo, marcatura CE per sistemi ad alto rischio.
Il deployer (operatore) è chi usa un sistema AI nell'ambito della propria attività professionale. La stragrande maggioranza delle PMI italiane è deployer. Ha comunque obblighi precisi: trasparenza verso gli utenti, supervisione umana dei processi automatizzati, policy interna sull'uso dell'AI, formazione del personale.
Attenzione alla distinzione provider/deployer: la linea non è sempre netta. Se la tua azienda integra un modello AI di terzi - come Claude, ChatGPT o Gemini - in un sistema proprietario (un assistente virtuale, uno strumento di analisi, un motore di raccomandazione) e lo rende disponibile ad altri, diventa provider di quel sistema integrato, con obblighi aggiuntivi.
La domanda operativa che ogni azienda deve porsi non è "usiamo AI?". È: in quale ruolo normativo operiamo per ciascuno degli strumenti che utilizziamo?
L'errore più comune che le PMI commettono leggendo l'AI Act è pensare che riguardi i produttori di intelligenza artificiale. Sbagliato: l'AI Act non classifica i modelli, classifica gli usi.
Lo stesso strumento (ChatGPT, Copilot, Claude) può essere a rischio minimo o ad alto rischio a seconda di come viene utilizzato all'interno dell'organizzazione. Il contesto d'uso è tutto.
Un esempio concreto: un chatbot che risponde alle FAQ del sito è classificato a rischio limitato e richiede solo un obbligo di trasparenza (l'utente deve sapere che sta parlando con un sistema AI). Lo stesso chatbot usato per valutare i candidati in fase di selezione del personale diventa un sistema ad alto rischio, soggetto a requisiti di conformità, documentazione tecnica, supervisione umana obbligatoria e registrazione nel database europeo.
Questo cambio di paradigma ha conseguenze dirette per le PMI: prima di decidere se e come adeguarsi, bisogna sapere esattamente cosa si fa con ciascuno strumento AI, non quale strumento si usa.
Il Regolamento (UE) 2024/1689 organizza i sistemi AI in quattro livelli di rischio, più un regime speciale per i modelli AI per finalità generali (GPAI).
1. Rischio inaccettabile. Pratiche vietate, illegali dal 2 febbraio 2025. Includono:
sistemi di social scoring da parte di autorità pubbliche, manipolazione subliminale di persone, riconoscimento biometrico in tempo reale negli spazi pubblici senza autorizzazione, riconoscimento delle emozioni nei luoghi di lavoro e scolastici, categorizzazione biometrica basata su caratteristiche protette. Chi le utilizza è sanzionabile adesso, con sanzioni fino al 7% del fatturato globale annuo.
2. Rischio alto. Sistemi usati in settori critici: HR e selezione del personale, valutazione
creditizia, biometria, istruzione, migrazione, infrastrutture critiche. Richiedono documentazione tecnica, valutazione della conformità, supervisione umana obbligatoria e registrazione nel database europeo. Per questi sistemi, il Digital Omnibus del 7 maggio 2026 ha posticipato la piena applicabilità al 2 dicembre 2027 (sistemi autonomi) e al 2 agosto 2028 (sistemi integrati in prodotti fisici).
3. Rischio limitato. Obblighi di trasparenza: chi interagisce con chatbot, voicebot o
contenuti generati da AI deve sapere che sta interagendo con un sistema artificiale. Questi obblighi entrano in vigore il 2 agosto 2026.
4. Rischio minimo. Nessun obbligo specifico. Include la maggior parte degli strumenti
AI oggi in uso nelle PMI: filtri antispam, strumenti produttivi, correttori grammaticali, raccomandazioni di prodotto di base.
5. Regime GPAI. Regime speciale per i modelli di AI per finalità generali (GPT, Claude,
Gemini). Obblighi di trasparenza e rispetto del copyright. Operativo da agosto 2025: chi usa questi modelli - anche solo come deployer - è già dentro questo perimetro normativo.
Quando entreranno in vigore gli obblighi dell'AI Act? La risposta è: alcuni sono già in vigore. Il regolamento non ha una sola data di applicazione: ha un'architettura temporale progressiva che è essenziale conoscere per pianificare.
2 febbraio 2025. Obblighi già esigibili
Le otto pratiche di rischio inaccettabile sono già illegali. L'obbligo di alfabetizzazione AI del personale (articolo 4 del Regolamento) è anch'esso già in vigore. Formare il personale sull'uso corretto dell'intelligenza artificiale non è una best practice: è un obbligo che le autorità possono già contestare.
2 agosto 2025. Norme GPAI già operative
Le regole per i modelli di AI per finalità generali sono già in vigore. Chi usa Claude, GPT, Gemini o strumenti analoghi, anche solo come deployer, è già dentro il perimetro normativo GPAI.
2 agosto 2026. Piena applicabilità generale
Data di entrata a regime dell'intero impianto normativo, salvo le deroghe specifiche per i sistemi ad alto rischio. Includono gli obblighi di trasparenza per chatbot, contenuti sintetici e deepfake (art. 50).
Nota Digital Omnibus (accordo politico del 7 maggio 2026, approvato dal Parlamento UE il 16 giugno 2026):
Il Digital Omnibus ha allungato i tempi per i sistemi ad alto rischio, ma non ha toccato le scadenze per la trasparenza, l'alfabetizzazione e le pratiche vietate. Chi ragiona con "c'è ancora tempo" sta confondendo un rinvio parziale con un rinvio generale.
Le sanzioni previste dal Regolamento (UE) 2024/1689 sono calcolate sul fatturato globale annuo, non su quello italiano o europeo. Questo le rende significative anche per le PMI con clienti esteri o con fatturato consolidato a livello di gruppo.
Il regolamento prevede tre fasce sanzionatorie:
7% del fatturato globale annuo per la violazione delle pratiche vietate (articolo 5) e per gli obblighi GPAI con rischio sistemico. È la fascia massima.
3% del fatturato globale annuo per la violazione degli obblighi di trasparenza (articolo 50): chatbot non dichiarati come AI, contenuti sintetici non etichettati, deepfake senza disclosure. Questa fascia è spesso sottovalutata — e colpisce direttamente chi usa chatbot sul sito, genera immagini con AI, produce contenuti marketing con strumenti generativi.
1% del fatturato globale annuo per informazioni false o incomplete fornite alle autorità di vigilanza.
La fascia del 3% merita attenzione specifica perché riguarda obblighi che entrano in vigore il 2 agosto 2026 e che colpiscono pratiche già diffuse nelle PMI italiane: chatbot di assistenza clienti, immagini di prodotto generate o modificate con AI, post social co-generati con strumenti AI.
Il GDPR (Regolamento UE 2016/679) e l'AI Act non sono normative parallele: si sovrappongono, e in molti casi il GDPR è più urgente e più severo dell'AI Act.
Perché il GDPR è collegato all'AI Act? Perché qualsiasi sistema AI che tratta dati personali, anche solo caricando un file su uno strumento esterno, attiva obblighi GDPR immediati, indipendentemente dal livello di rischio AI Act.
Il caso pratico più comune nelle PMI italiane: un collaboratore carica un file Excel con i dati dei clienti su ChatGPT o Claude consumer per analizzarlo o generare una comunicazione. Questo atto semplice attiva quattro articoli del GDPR simultaneamente:
Il Garante Privacy italiano è già attivo su questi temi. Non aspettare una contestazione per aggiornare l'informativa privacy.
La regola operativa che in Unique consigliamo nelle consulenze: usa l'AI per scrivere il codice; è il codice a elaborare i dati. I dati non escono mai dall'infrastruttura aziendale. Questo approccio riduce drasticamente l'esposizione GDPR senza rinunciare alla produttività degli strumenti AI.
Esiste una terza normativa che si sovrappone all'AI Act e che molte aziende ignorano completamente: il Codice del Consumo (D.Lgs. 206/2005), che recepisce la Direttiva UE sulle pratiche commerciali sleali.
L'AGCM (Autorità Garante della Concorrenza e del Mercato) applica questa norma da vent'anni, indipendentemente dalla tecnologia usata per produrre la comunicazione. Se un contenuto è ingannevole (generato con AI o scritto a mano) è sanzionabile. Le sanzioni vanno da 30.000 a 500.000 euro.
Nel 2023, il caso Shein ha dimostrato come pratiche di comunicazione non trasparenti, anche mediate da strumenti digitali, espongano le aziende a sanzioni rilevanti (fonte: AGCM, provvedimento 2023).
La sintesi da tenere a mente è questa: l'AI Act dice "non devi". Il GDPR dice "devi davvero". Il Codice del Consumo dice "meglio se lo fai". Le piattaforme dicono "altrimenti ti spengo". Quattro livelli di pressione, quattro ragioni per costruire un sistema di governance AI non per adeguarsi a una norma, ma per avere il controllo sui processi.
Per approfondire come l'AI sta cambiando anche la visibilità delle aziende verso i clienti e non solo la compliance, leggi: AI tra te e i tuoi clienti: come cambia la visibilità online.
La Shadow AI è l'uso non autorizzato e non monitorato di strumenti di intelligenza artificiale da parte dei collaboratori aziendali. È il fenomeno per cui i tuoi dipendenti usano ChatGPT, Claude, Gemini o altri strumenti AI con account personali, al di fuori di qualsiasi controllo aziendale, spesso caricando dati riservati.
Non è un'ipotesi: è già in corso in quasi tutte le PMI italiane. Non perché i collaboratori agiscano in mala fede, ma perché gli strumenti AI sono accessibili, utili e gratuiti, e le aziende non hanno ancora stabilito regole chiare.
Il problema della Shadow AI non è comportamentale, è normativo: ogni dato che esce dall'infrastruttura aziendale attraverso uno strumento AI non controllato è un potenziale problema GDPR. E ogni processo AI non monitorato è un potenziale problema AI Act.
La risposta alla Shadow AI non è bloccare gli strumenti. È costruire un sistema: policy interna chiara, formazione del personale, elenco degli strumenti approvati, processo di approvazione per nuovi strumenti. Un sistema che permetta ai collaboratori di usare l'AI in modo produttivo e alla direzione di mantenere il controllo.
Se vuoi capire come le PMI italiane stanno già integrando l'AI nei processi di marketing in modo strutturato, leggi anche: AI marketing nel 2026: come evitare l'AI slop e usare l'intelligenza artificiale in modo intelligente.
La conformità normativa AI Act non si ottiene con un documento. Si ottiene costruendo un sistema. Queste cinque azioni non sono consigli generici: sono i passaggi operativi che ogni PMI italiana che usa AI deve avere completato o avere in corso.
Prima di tutto, devi sapere cosa c'è dentro la tua azienda. Non gli strumenti acquistati ufficialmente: quelli usati ogni giorno, da ogni collaboratore, anche con account personali.
L'inventario deve rispondere, per ciascuno strumento: qual è il nome e il fornitore? Chi lo usa e con quale frequenza? Per quali attività o processi? Tratta dati di persone fisiche? Qual è il ruolo dell'azienda, provider o deployer? In quale categoria di rischio AI Act rientra l'uso specifico?
Il risultato è un documento vivo, non un PDF da archiviare. Va aggiornato ogni volta che un nuovo strumento entra in uso. Senza inventario, non è possibile valutare il rischio. Senza valutazione del rischio, non è possibile costruire un sistema di governance e compliance AI Act.
L'informativa privacy della tua azienda è quasi certamente incompleta se non include i riferimenti ai sistemi AI che trattano dati personali.
I punti da aggiungere o aggiornare: riferimento esplicito alla profilazione algoritmica (se presente); elenco dei processor AI utilizzati (Anthropic per Claude, OpenAI per GPT, Google per Gemini, Microsoft per Copilot); base giuridica del trattamento per ciascun sistema AI; base giuridica per i trasferimenti extra-UE se i dati vengono processati su server americani.
Il Garante Privacy italiano è già attivo su questo punto. Aggiornare l'informativa privacy è il segnale visibile che l'azienda ha fatto i conti con la realtà dei propri processi.
Dal 2 agosto 2026, chi interagisce con un chatbot aziendale deve sapere che sta interagendo con un sistema AI. Non è un'opzione: è un obbligo dell'articolo 50 del Regolamento (UE) 2024/1689, con sanzioni nella fascia del 3% del fatturato globale in caso di violazione.
La disclosure deve essere esplicita e nel messaggio di apertura della conversazione: non basta il nome del bot. Per i contenuti sintetici, l'etichetta deve essere visibile e leggibile: le formulazioni raccomandate dall'AI Office della Commissione Europea includono "Generato con intelligenza artificiale" e "Immagine creata con AI".
Nota Digital Omnibus: per i sistemi di generazione di contenuti sintetici già immessi sul mercato prima del 2 agosto 2026, l'accordo politico prevede una proroga tecnica al 2 dicembre 2026 per adeguarsi agli obblighi di marcatura tecnica. Per i chatbot e per i nuovi sistemi, la scadenza del 2 agosto 2026 resta invariata.
Una policy AI aziendale è un documento di 5-10 pagine che risponde a una domanda operativa: nella nostra azienda, come si usa l'intelligenza artificiale?
Non è un documento legale. È un documento operativo, comprensibile da tutti i collaboratori. I contenuti minimi: quali strumenti AI sono approvati e quali no; quali dati non possono mai essere caricati su sistemi AI di terzi (dati clienti, dati finanziari, informazioni riservate); come si etichettano i contenuti generati o co-generati con AI; chi approva l'introduzione di nuovi strumenti AI; chi è responsabile della governance AI in azienda.
La policy interna è l'antidoto alla Shadow AI ed è la prova documentale, in caso di contestazione, che l'azienda ha un sistema e non solo buone intenzioni.
L'obbligo di formazione AI del personale (articolo 4 del Regolamento UE 2024/1689) è in vigore dal 2 febbraio 2025. Non è una best practice: è un obbligo che le autorità possono già contestare oggi.
Il testo dell'articolo 4 è chiaro: i fornitori e i deployer di sistemi AI adottano misure per garantire un sufficiente livello di alfabetizzazione in materia di AI del loro personale e di tutte le persone che operano per loro conto. La formazione deve rispondere a domande pratiche: cosa può e non può fare uno strumento AI; quali dati non vanno mai condivisi con sistemi esterni; come riconoscere un contenuto AI e come etichettarlo; a chi rivolgersi in azienda per dubbi o nuove richieste.
La formazione AI è anche la leva più efficace per ridurre il rischio operativo immediato: non quello delle sanzioni future, ma quello della fuga di dati, della comunicazione scorretta e dell'uso improprio che sta già avvenendo in azienda.
La formazione AI Act nelle PMI non serve solo a rispettare una norma: serve a costruire una cultura interna che protegga l'azienda dai rischi reali e che la posizioni meglio sul mercato.
In oltre 30 anni di lavoro con le PMI italiane, prima con la comunicazione, poi con il digital marketing, oggi con l'integrazione dell'AI nei processi, in Unique abbiamo osservato una costante: le aziende che costruiscono competenze interne prima che arrivi una pressione esterna sono quelle che trasformano il cambiamento in un vantaggio competitivo. Le altre inseguono.
La formazione AI Act per i dipendenti deve coprire tre livelli: la comprensione di base di cosa è l'AI e come funziona; le regole operative aziendali (policy interna, strumenti approvati, dati vietati); gli obblighi normativi specifici per il ruolo (chi approva contenuti AI, chi gestisce i dati, chi interagisce con i clienti tramite chatbot).
Un team formato è anche un team che smette di usare strumenti AI in modo non controllato, riducendo il rischio Shadow AI e costruendo quella governance interna che il Regolamento richiede esplicitamente.
La conformità normativa AI Act non è uguale per tutti i settori. Alcuni hanno un'esposizione particolarmente elevata per la tipologia di dati trattati, per il profilo degli utenti o per la sovrapposizione con normative settoriali preesistenti.
Il settore dell'ospitalità è tra i più avanzati nell'adozione di AI - pricing dinamico, profilazione del cliente, chatbot di prenotazione - ed è anche uno dei più esposti. Il pricing dinamico che differenzia i prezzi sulla base di caratteristiche personali del cliente può configurarsi come profilazione discriminatoria, con AI Act e GDPR che si sovrappongono. I chatbot di booking devono dichiarare la propria natura artificiale dal 2 agosto 2026. I trasferimenti di dati verso piattaforme AI extra-UE richiedono una base giuridica verificata.
I sistemi AI usati per decisioni creditizie - inclusi quelli di pre-qualifica per prodotti come la cessione del quinto - rientrano nell'Allegato III del Regolamento, categoria di rischio alto. La sovrapposizione con la normativa Banca d'Italia e con il divieto di sfruttamento delle vulnerabilità (articolo 5, lettera b) crea tre livelli di pressione simultanei. La soluzione non è rinunciare all'AI: è progettare i sistemi con supervisione umana documentata, trasparenza verso il cliente e audit trail completo.
Nel fashion e nell'e-commerce la creatività AI è diffusa ma le regole sono stratificate. La distinzione operativa è questa: se il capo che appare nell'immagine esiste fisicamente, è editing standard. Se non esiste, è contenuto AI e richiede disclosure. I modelli sintetici rientrano pienamente nel perimetro dell'articolo 50. Le piattaforme pubblicitarie (Meta, Google, TikTok) applicano policy sui contenuti AI più restrittive dell'AI Act: in caso di conflitto, vince la policy della piattaforma, con rischio di disattivazione dell'account pubblicitario.
Le aziende che saranno avvantaggiate dai cambiamenti normativi non sono quelle che hanno fatto la corsa all'ultimo momento. Sono quelle che hanno colto il momento per costruire qualcosa che prima non avevano.
L'AI Act non obbliga solo a fare compliance. Crea una separazione netta tra aziende che hanno un sistema per governare l'AI e aziende che improvvisano. Questa separazione ha valore di mercato: verso clienti enterprise che richiedono garanzie sulla gestione dei dati, verso investitori che valutano la solidità dei processi interni, verso bandi pubblici che iniziano a richiedere dichiarazioni sulla gestione dell'AI.
Comunicare la propria conformità AI Act non come obbligo assolto, ma come scelta di sistema, è un posizionamento nuovo e ancora poco affollato. Le PMI italiane che lo colgono adesso costruiscono un vantaggio che sarà molto più difficile da replicare tra 18 mesi.
In Unique lavoriamo con imprenditori e manager di PMI da oltre 30 anni. Abbiamo visto questa dinamica ripetersi con il GDPR, con il digitale, con il marketing inbound. Chi agisce prima non si adegua: si posiziona.
Se nella tua azienda si usa AI, ora sai che ci sono obblighi in vigore, che ci sono scadenze che si avvicinano, e che il tema è più complesso di quanto sembri da fuori.
Il problema vero ora è che tra "ho capito cosa dice l'AI Act" e "so cosa devo fare concretamente nella mia azienda" c'è una distanza che un articolo non può colmare da solo.
Quella distanza dipende da variabili che sono specifiche della tua azienda: quali strumenti AI usa davvero il tuo team, in quale ruolo normativo operi per ciascuno di essi, dove sei già esposto senza saperlo, e quali sono le priorità reali.
È esattamente da quel punto che partiamo nelle consulenze con gli imprenditori e i manager che si rivolgono a Unique.
Prenota una call di 20 minuti. Non per sentirti dire cosa dice il Regolamento, quello lo hai già letto. Per capire dove sei tu, adesso, rispetto a quello che il Regolamento richiede. E da dove ha senso iniziare.
Prenota la tua consulenza gratuita di 20 minuti >
L'AI Act è il Regolamento (UE) 2024/1689: la prima legge completa al mondo sull'intelligenza artificiale, varata dal Parlamento Europeo e dal Consiglio dell'UE. Stabilisce regole su come i sistemi AI possono essere sviluppati e usati nell'Unione Europea, classificando i sistemi per livello di rischio e imponendo obblighi proporzionali. È in vigore dall'agosto 2024, con applicazione progressiva: alcune norme sono già esigibili da febbraio 2025, la piena operatività generale è prevista per il 2 agosto 2026.
Sono soggette all'AI Act tutte le organizzazioni — aziende, professionisti, enti pubblici — che sviluppano, immettono sul mercato o utilizzano sistemi di intelligenza artificiale nell'Unione Europea, indipendentemente dalla sede legale. Una PMI italiana che usa ChatGPT, Copilot o qualsiasi altro strumento AI nei propri processi è già soggetta all'AI Act come deployer. La questione non è "se" si è soggetti, ma "in quale ruolo" e "con quali obblighi".
Il deployer, secondo il Regolamento (UE) 2024/1689, è chi utilizza un sistema AI nell'ambito della propria attività professionale. La maggior parte delle PMI italiane è deployer di sistemi AI di terzi (ChatGPT, Copilot, Gemini, Claude, strumenti SaaS con AI integrata). Il deployer ha obblighi precisi: trasparenza verso gli utenti, supervisione umana dei processi, policy interna sull'uso dell'AI, formazione del personale, aggiornamento dell'informativa privacy. Non è esente da responsabilità: è il primo anello normativo che le autorità di controllo verificheranno.
Alcuni obblighi sono già in vigore. L'obbligo di alfabetizzazione AI del personale (articolo 4) è esigibile dal 2 febbraio 2025. Le pratiche di rischio inaccettabile (articolo 5) sono vietate dal
2 febbraio 2025. Gli obblighi di trasparenza per chatbot e contenuti sintetici (articolo 50) entrano in vigore il 2 agosto 2026. Per i sistemi AI ad alto rischio autonomi (Allegato III), l'accordo politico sul Digital Omnibus del 7 maggio 2026 ha posticipato la piena applicabilità al 2 dicembre 2027.
Le sanzioni previste dal Regolamento (UE) 2024/1689 sono tre: fino al 7% del fatturato globale annuo per le violazioni delle pratiche vietate (articolo 5); fino al 3% del fatturato globale annuo per le violazioni degli obblighi di trasparenza (articolo 50): chatbot non dichiarati, contenuti sintetici non etichettati, deepfake senza disclosure; fino all'1% del fatturato globale annuo per informazioni false fornite alle autorità. Le sanzioni sono calcolate sul fatturato globale, non su quello italiano, e questo le rende rilevanti anche per le PMI.
Il GDPR (Regolamento UE 2016/679) e l'AI Act si sovrappongono perché qualsiasi sistema AI che tratta dati personali attiva automaticamente obblighi GDPR, indipendentemente dal livello di rischio AI Act. L'esempio più comune: caricare un file con dati clienti su ChatGPT o Claude attiva gli articoli 13, 28, 44 e potenzialmente 35 del GDPR simultaneamente. Il GDPR è in molti casi più urgente e più severo dell'AI Act, perché i suoi obblighi sono già esigibili e le autorità di controllo (come il Garante Privacy italiano) sono già operative.
Il primo passo è gratuito: fare un inventario di tutti gli strumenti AI usati in azienda, inclusi quelli usati con account personali. Da lì, classificare gli usi per livello di rischio e identificare le priorità. I passi successivi: aggiornamento dell'informativa privacy, redazione della policy interna, formazione del personale, richiedono tempo e competenza, non budget elevati. L'errore da evitare è aspettare di avere un progetto formale completo: meglio iniziare dall'inventario oggi che pianificare tutto per domani e non fare nulla.
La normativa AI Act UE si applica in modo proporzionale al rischio, non alla dimensione dell'azienda. Una PMI che usa AI in settori ad alto rischio (HR, credito, biometria) ha gli stessi obblighi di una grande impresa. Una PMI che usa AI solo per strumenti produttivi a rischio minimo ha obblighi ridotti (principalmente formazione e policy interna). Il Digital Omnibus del 7 maggio 2026 ha esteso alcune esenzioni e semplificazioni alle "small mid-caps" (fino a 500 dipendenti), ma non ha eliminato gli obblighi di base. Dimensione non significa esenzione: conta il livello di rischio dell'uso specifico.
Tutte le affermazioni normative di questo articolo si basano su fonti primarie verificabili: