AI Act in Vigore dal 2 Agosto 2026: Cosa Devono Fare le PMI Italiane SUBITO

Il 2 agosto 2026 è la data più importante per qualsiasi PMI italiana che usi sistemi di intelligenza artificiale, anche solo un chatbot o uno strumento di scoring automatico. Da quel giorno, i sistemi AI ad alto rischio sono pienamente soggetti agli obblighi dell'AI Act europeo (Regolamento UE 2024/1689): documentazione tecnica, supervisione umana, registrazione, valutazione della conformità. Le sanzioni per violazioni gravi arrivano fino a 15 milioni di euro o il 3% del fatturato annuo mondiale, qualunque sia il maggiore.

Tante PMI italiane stanno ignorando la scadenza pensando che "non riguardi loro". È un errore costoso: l'AI Act si applica anche a chi semplicemente usa sistemi AI di terzi, non solo a chi li sviluppa. E in Italia abbiamo già un quadro normativo nazionale operativo: la Legge 23 settembre 2025 n. 132, entrata in vigore il 10 ottobre 2025, che integra il regolamento europeo con regole specifiche per il nostro mercato. In questo articolo vediamo cosa devono fare le PMI italiane entro il 2 agosto 2026 per essere conformi, partendo dai casi concreti più comuni.

Cos'è l'AI Act e perché ti riguarda

L'AI Act è il primo regolamento al mondo che disciplina in modo organico l'uso dell'intelligenza artificiale. Il principio cardine è la classificazione del rischio in 4 livelli:

1) Rischio inaccettabile (vietato): social scoring, riconoscimento emotivo nei luoghi di lavoro/scuola, manipolazione comportamentale, profilazione massiva. Già vietato dal 2 febbraio 2025.

2) Alto rischio (obblighi pesanti): AI per HR (screening CV automatico), credit scoring, dispositivi medici, biometria, infrastrutture critiche, sicurezza prodotto. Operativo dal 2 agosto 2026.

3) Rischio limitato (obblighi di trasparenza): chatbot, deepfake, sistemi che interagiscono con persone. Già in vigore dal 2 agosto 2026.

4) Rischio minimo (libero uso): la stragrande maggioranza degli usi business (filtri spam, raccomandazioni, automazioni interne). Nessun obbligo specifico.

Il punto critico per le PMI è che "alto rischio" è una categoria più ampia di quanto sembri. Un'azienda che usa un software gestionale con scoring crediti automatico, una clinica che applica AI per triage pazienti, una HR che usa AI per screening CV: tutti rientrano nella categoria alto rischio anche se non hanno mai pensato di "sviluppare AI".

La timeline che devi conoscere

Le scadenze AI Act non sono tutte il 2 agosto 2026. Ecco la timeline reale a oggi:

2 febbraio 2025 ✅ già operativo: divieti su pratiche inaccettabili + obblighi di AI literacy (formazione del personale che usa AI sul posto di lavoro). Questo obbligo è già attivo e poche PMI italiane lo hanno preso sul serio.

2 agosto 2025 ✅ già operativo: regole per i modelli GPAI (general purpose AI come ChatGPT, Claude, Gemini): trasparenza, copyright, valutazione rischi sistemici.

10 ottobre 2025 ✅ già operativo: in Italia entra in vigore la Legge 132/2025, primo quadro nazionale che integra l'AI Act con regole su sanità, lavoro, PA, giustizia, e identifica gli enti nazionali competenti (AGID + ACN).

2 agosto 2026 🔴 IMMINENTE: pieno regime per sistemi AI ad alto rischio + obblighi trasparenza per rischio limitato (chatbot devono dichiararsi tali).

2 agosto 2027: estensione a sistemi AI integrati in prodotti già regolati (medical device, macchinari, giocattoli).

Cosa devi fare se sei una PMI italiana

L'errore di metodo più frequente è "aspettiamo di vedere cosa fanno gli altri". L'errore pratico è "non riguarda noi". Entrambi portano allo stesso risultato: sanzioni evitabili con poche ore di lavoro. La checklist operativa per una PMI italiana, in ordine di priorità:

1) Inventory dei sistemi AI in uso (1-2 giorni). Fai un elenco di tutti gli strumenti software che usate che hanno componente AI: ChatGPT / Claude per testi, Copilot in Microsoft 365, motori di raccomandazione e-commerce, chatbot su sito, software di screening CV, sistemi di credit scoring, traduzioni automatiche. Spesso ne emergono 8-15, e nessuno ne aveva una visione d'insieme.

2) Classificazione del rischio (1 giorno). Per ogni sistema, identifica in quale delle 4 categorie ricade. Per la maggior parte delle PMI, l'inventario è prevalentemente "rischio minimo" o "rischio limitato". I problemi nascono se trovi anche un solo sistema "alto rischio" non gestito.

3) AI Literacy aziendale (2-3 giorni di setup, formazione continua). Già obbligatoria dal 2 febbraio 2025. Devi formare chi usa AI sul posto di lavoro su: cosa sa fare l'AI, cosa NON sa fare, come riconoscere allucinazioni, quando NON usarla (es. dati personali, decisioni critiche). Per una PMI con 10-30 dipendenti che usano ChatGPT/Copilot, una sessione di 3 ore + una policy aziendale scritta è sufficiente.

4) Policy AI interna (2-4 giorni). Documento scritto che definisce: quali AI sono autorizzate, cosa NON inserire (dati clienti, segreti aziendali, dati sanitari), come deve essere etichettato l'output AI quando va al cliente, chi è il responsabile interno. Senza questo documento, una sanzione ACN/Garante in caso di incidente sarebbe difficile da contestare.

5) Trasparenza chatbot e contenuti AI (1-2 giorni). Se hai un chatbot sul sito, deve dichiararsi chiaramente come "AI" già dal primo messaggio. Se generi immagini/video con AI per marketing, valuta se serve disclaimer (per ora obbligatorio solo se simulano persone reali o eventi reali, ma è prudente sempre).

6) Valutazione conformità per sistemi alto rischio (se applicabile, 4-8 settimane). Se hai sistemi alto rischio, devi: documentazione tecnica, supervisione umana, registro operazioni, valutazione conformità formale, eventuale notifica ad AGID/ACN. Per PMI questo è il caso meno frequente, ma se ti riguarda non puoi ignorarlo.

Le sanzioni: quanto rischi davvero

L'AI Act ha sanzioni proporzionali al tipo di violazione:

Pratiche AI proibite (rischio inaccettabile): fino a 35 milioni di euro o 7% del fatturato annuo mondiale (il maggiore tra i due).

Violazioni obblighi rischio alto e GPAI: fino a 15 milioni di euro o 3% del fatturato.

Informazioni false alle autorità: fino a 7,5 milioni di euro o 1% del fatturato.

L'AI Act prevede esplicitamente esenzioni e regole semplificate per PMI (esteso nel 2026 anche a small mid-cap), ma le esenzioni riguardano i COSTI di compliance, non i divieti sostanziali. Una PMI che usa un sistema AI proibito riceve la stessa sanzione di una grande azienda.

In Italia le autorità competenti sono AGID (Agenzia per l'Italia Digitale) e ACN (Agenzia per la Cybersicurezza Nazionale). Le prime ispezioni formali sono attese da ottobre 2026, dopo la fase "di accompagnamento" oggi in corso.

Casi pratici: come stanno gestendo le PMI

Negli ultimi 4 mesi abbiamo aiutato 8 PMI italiane a fare l'audit AI Act. I pattern ricorrenti:

Studio commercialista (12 dipendenti): usavano ChatGPT per redigere bozze di consulenze + Copilot Office + un tool di OCR fatture. Nessun sistema alto rischio. Lavoro fatto: inventory + policy aziendale (vietato inserire dati clienti su tool non aziendali) + formazione 4 ore.

E-commerce abbigliamento (40 dipendenti): motore raccomandazione prodotti + chatbot customer service + tool screening CV. Il tool screening CV era alto rischio. Lavoro fatto: rimosso il tool screening (sostituito con processo manuale assistito), trasparenza chatbot, AI literacy team.

Clinica veterinaria (8 dipendenti): software gestionale con suggerimenti diagnostici AI. Sistema alto rischio in ambito sanitario. Lavoro fatto: verifica conformità fornitore software + procedura supervisione umana (il veterinario valida sempre il suggerimento) + registrazione operazioni.

In tutti e tre i casi, il lavoro complessivo è stato di 3-5 giornate di consulente + 6-8 ore di formazione interna. Compliance fattibile, niente di terrificante. L'errore vero è non farla affatto.

Cosa fare nei prossimi 60 giorni

Da qui al 2 agosto 2026, l'ordine pratico per una PMI italiana che non ha ancora fatto nulla:

Settimana 1: nomina un responsabile AI interno (può essere il responsabile IT, qualità o GDPR esistente). Avvia inventory.

Settimana 2-3: completa inventory, classifica rischi, identifica eventuali sistemi alto rischio.

Settimana 4: scrivi e distribuisci la policy AI aziendale. Format e contenuto possono essere adattati da template ACN.

Settimana 5-6: sessione formazione AI literacy per tutto il personale che usa AI (anche solo ChatGPT). 2-4 ore in aula o online.

Settimana 7-8: per eventuali sistemi alto rischio, avvia valutazione conformità con consulente specializzato.

Costo totale stimato per PMI media: 2.000-5.000€ di consulenza esterna + 6-12 ore di tempo interno. Da confrontare con sanzioni potenziali fino a 15 milioni. Il calcolo costo/beneficio è semplice.