Avv. Antonino Ingoglia - Diritto IT e Privacy
Aziende2026-03-1611 min read

AI Act: Cosa Cambia per le Aziende Italiane nel 2025 e 2026

Guida pratica agli obblighi dell'AI Act per le imprese italiane. Scadenze, adempimenti, autorità competenti e sanzioni: cosa fare ora per essere conformi.

Avv. Antonino Ingoglia

Ordine degli Avvocati di Sciacca n. 747 · Avvocato & Sviluppatore · IT Law

Secondo l'ultima Relazione Annuale del Garante Privacy, le sanzioni irrogate per violazioni nel trattamento dei dati (tra cui i processi guidati da algoritmi) hanno superato i 24,4 milioni di euro, con il noto provvedimento milionario nei confronti di OpenAI. In questo contesto di rigidità sanzionatoria, il Regolamento (UE) 2024/1689 - l'AI Act - impone obblighi operativi stringenti.

In sintesi: (1) Dal 2 febbraio 2025 è vietato l'uso di AI per identificazione biometrica e manipolazione subliminale. (2) È un obbligo formale per tutte le aziende formare e alfabetizzare all'AI il personale. (3) Ad agosto 2026 entrano a regime le sanzioni sui sistemi ad Alto Rischio. (4) L'Agenzia per la Cybersicurezza Nazionale (ACN) è eletta formalmente a organo ispettivo per multare le imprese non conformi in Italia.

Mentre le prime scadenze del 2025 sono già entrate a regime (tra cui l'alfabetizzazione obbligatoria e il bando a specifici sistemi), le aziende italiane devono completare la transizione prima del blocco normativo totale.

Quali obblighi e divieti dell'AI Act sono già entrati in vigore per le aziende?

2 febbraio 2025 - Divieti e Alfabetizzazione

Dal 2 febbraio 2025, le aziende italiane devono aver verificato due aspetti:

1. Nessun utilizzo di sistemi AI vietati (Art. 5)

I sistemi vietati includono: manipolazione subliminale, social scoring, riconoscimento delle emozioni sul posto di lavoro, categorizzazione biometrica per dedurre opinioni politiche o orientamento sessuale, e polizia predittiva basata su profilazione.

Se l'azienda utilizza software che incorpora funzionalità di questo tipo - anche come componente di un prodotto più ampio - deve averne cessato l'utilizzo.

2. Alfabetizzazione AI del personale (Art. 4)

L'Art. 4 del Regolamento impone a fornitori e deployer di garantire che il proprio personale possieda un livello sufficiente di alfabetizzazione in materia di AI, tenuto conto del contesto, delle competenze e dell'esperienza di ciascuno.

In pratica, le aziende che utilizzano sistemi AI devono:

  • Aver valutato il livello di conoscenza del personale che interagisce con sistemi AI
  • Aver avviato attività formative proporzionate al rischio
  • Documentare le iniziative di formazione intraprese

Attenzione: l'obbligo di alfabetizzazione AI si applica a tutti i deployer, non solo a quelli che utilizzano sistemi ad alto rischio. È un obbligo trasversale, spesso sottovalutato.

Quali requisiti impone la scadenza di Agosto 2025 per i sistemi AI (GPAI)?

2 agosto 2025 - Obblighi per i Modelli General-Purpose

Le aziende italiane che sviluppano modelli di AI per finalità generali (GPAI) devono conformarsi agli Art. 51-56 del Regolamento:

ObbligoCosa fareRiferimento
Documentazione tecnicaPredisporre e mantenere aggiornata la documentazione del modello secondo l'Allegato XIArt. 53, par. 1, lett. a
Informazioni per i fornitori a valleFornire informazioni e documentazione ai provider che integrano il modello nei propri sistemiArt. 53, par. 1, lett. b
Policy sul diritto d'autoreAdottare una politica di rispetto della Direttiva 2019/790 (diritto d'autore)Art. 53, par. 1, lett. c
Sommario dei dati di addestramentoPubblicare un sommario sufficientemente dettagliato dei contenuti utilizzati per l'addestramentoArt. 53, par. 1, lett. d

Chi è coinvolto in Italia: le startup AI, le software house che sviluppano modelli proprietari, le aziende che fanno fine-tuning di modelli open source per uso commerciale.

Chi NON è coinvolto: le aziende che si limitano a utilizzare servizi AI di terzi (es. API di OpenAI, Google, Anthropic) sono deployer, non fornitori di modelli GPAI, e non sono soggette a questi obblighi specifici.

2 agosto 2025 - Nomina delle Autorità Nazionali

Questa scadenza è stata definita in Italia dalla Legge 23 settembre 2025, n. 132, che ha affidato la governance a due pilastri istituzionali che le imprese devono conoscere per individuare l'interlocutore corretto:

  • ACN (Agenzia per la Cybersicurezza Nazionale): Nominata quale Autorità di vigilanza del mercato. È l'organo ispettivo centrale per le imprese, con poteri di indagine e sanzione. È il soggetto a cui vanno segnalati gli incidenti gravi legati ai sistemi AI.
  • AgID (Agenzia per l'Italia Digitale): Nominata quale Autorità di notifica. Si occupa di promuovere l'alfabetizzazione digitale, gestire le procedure di accreditamento degli organismi di valutazione e supportare la transizione delle PA.
  • Garante per la protezione dei dati personali: Mantiene la competenza esclusiva per ogni profilo di trattamento di dati personali, operando in coordinamento con l'ACN (com'è avvenuto nella Relazione Annuale 2024 presentata a luglio 2025).

L'ACN è l'interlocutore principale per la verifica tecnica dei sistemi, affiancata dall'AgID e dal Garante Privacy nei rispettivi ambiti.

Perché le scadenze dell'AI Act ad agosto 2026 impongono revisioni radicali del rischio?

2 agosto 2026 - Piena Applicazione per i Sistemi ad Alto Rischio

Questa è la scadenza che impatta il maggior numero di aziende italiane. Dal 2 agosto 2026 si applicano integralmente gli obblighi per:

  • I sistemi AI ad alto rischio elencati nell'Allegato III (selezione del personale, valutazione creditizia, accesso a servizi pubblici, infrastrutture critiche, ecc.)
  • Gli obblighi di trasparenza (Art. 50) per chatbot, deepfake, contenuti generati da AI
  • Il regime sanzionatorio completo

Checklist: 10 Adempimenti per le Aziende Italiane

Per le aziende che sviluppano o utilizzano sistemi AI ad alto rischio, ecco gli adempimenti da completare entro agosto 2026:

Se sei un FORNITORE (provider) di sistemi AI ad alto rischio:

  1. Classificazione del rischio - Verificare se il proprio sistema rientra nell'Allegato III o è componente di sicurezza di un prodotto dell'Allegato I (Art. 6)
  2. Sistema di gestione dei rischi - Implementare un processo di identificazione, analisi e mitigazione dei rischi lungo l'intero ciclo di vita del sistema (Art. 9)
  3. Governance dei dati - Assicurare che i dataset di addestramento siano pertinenti, rappresentativi e privi di bias rilevanti (Art. 10)
  4. Documentazione tecnica - Predisporre la documentazione secondo l'Allegato IV: descrizione del sistema, finalità, prestazioni, limitazioni, misure di cybersicurezza (Art. 11)
  5. Registrazione automatica (logging) - Implementare sistemi di log che registrino automaticamente gli eventi rilevanti per la tracciabilità (Art. 12)
  6. Istruzioni per l'uso - Fornire istruzioni chiare e comprensibili ai deployer (Art. 13)
  7. Supervisione umana - Progettare il sistema affinché possa essere supervisionato da persone fisiche (Art. 14)
  8. Valutazione di conformità - Completare la procedura applicabile: autovalutazione o valutazione da parte di un organismo notificato, a seconda della tipologia (Art. 43)
  9. Registrazione nella banca dati UE - Registrare il sistema nella banca dati pubblica dell'UE prima dell'immissione sul mercato (Art. 49)
  10. Marcatura CE - Apporre la marcatura CE al sistema (Art. 48)

Se sei un DEPLOYER (utilizzatore) di sistemi AI ad alto rischio:

  1. Utilizzo conforme - Utilizzare il sistema secondo le istruzioni d'uso fornite dal provider (Art. 26, par. 1)
  2. Supervisione umana - Assegnare persone fisiche competenti alla supervisione del sistema (Art. 26, par. 2)
  3. Monitoraggio - Monitorare il funzionamento del sistema e segnalare al fornitore eventuali rischi o incidenti (Art. 26, par. 5)
  4. DPIA congiunta - Se il sistema tratta dati personali, effettuare la Valutazione d'Impatto ai sensi dell'Art. 35 GDPR, integrandola con la valutazione AI Act (Considerando 166)
  5. Conservazione dei log - Conservare i log generati dal sistema per un periodo adeguato (Art. 26, par. 6)
  6. Informazione ai lavoratori - Se il sistema AI è utilizzato sul posto di lavoro, informare i rappresentanti dei lavoratori e i lavoratori interessati (Art. 26, par. 7)

I Settori Più Impattati in Italia

Risorse Umane e Selezione del Personale

I software di screening dei CV, i sistemi di valutazione delle candidature e gli strumenti di analisi delle performance basati su AI rientrano nell'Allegato III, punto 4 (occupazione, gestione dei lavoratori e accesso al lavoro autonomo).

Impatto pratico: le aziende italiane che utilizzano piattaforme di recruiting con componenti AI (es. screening automatico, analisi video-colloqui, ranking dei candidati) devono verificare che il fornitore sia conforme e adottare le misure previste per i deployer.

Settore Finanziario e Assicurativo

I sistemi di valutazione del merito creditizio e di determinazione dei premi assicurativi basati su AI rientrano nell'Allegato III, punto 5, lett. b.

Per banche, istituti finanziari e compagnie assicurative italiane, l'AI Act si aggiunge agli obblighi già previsti dal Regolamento DORA (Reg. UE 2022/2554) sulla resilienza operativa digitale.

Sanità

I dispositivi medici che incorporano sistemi AI sono soggetti sia al Regolamento Dispositivi Medici (Reg. UE 2017/745) sia all'AI Act. La valutazione di conformità AI può essere integrata nella procedura già prevista per i dispositivi medici (Art. 43, par. 3).

Pubblica Amministrazione

Le PA italiane che utilizzano sistemi AI per l'accesso a servizi pubblici, la valutazione di pratiche o l'assegnazione di risorse sono soggette agli obblighi per i deployer di sistemi ad alto rischio. La Legge n. 132/2025 prevede disposizioni specifiche per il settore pubblico.

A quanto ammontano le sanzioni pecuniarie per le violazioni del Regolamento AI?

Il regime sanzionatorio dell'AI Act (Articolo 99) prevede sanzioni graduate, con una tutela specifica per PMI e Startup:

  • Sistemi vietati: fino a 35 mln EUR o 7% del fatturato mondiale.
  • Sistemi ad alto rischio non conformi: fino a 15 mln EUR o 3% del fatturato mondiale.
  • Informazioni inesatte alle autorità: fino a 7,5 mln EUR o 1% del fatturato mondiale.

Regola per PMI e Startup: In caso di violazione commessa da una micro, piccola o media impresa o da una startup, l'autorità deve applicare il valore più basso tra la cifra fissa e la percentuale sul fatturato globale. Si tratta di una misura fondamentale per non pregiudicare la sopravvivenza delle realtà innovative.

L'ACN è l'autorità competente per l'irrogazione delle sanzioni in Italia.

Come Prepararsi: I Primi Passi

Indipendentemente dalla dimensione dell'azienda, i passi iniziali sono:

  1. Censire i sistemi AI in uso - Mappare tutti i software e servizi che incorporano componenti di intelligenza artificiale, anche quelli acquisiti da terzi
  2. Classificare il rischio - Per ciascun sistema, determinare il livello di rischio secondo i criteri dell'Art. 6 e dell'Allegato III
  3. Verificare i contratti con i fornitori - Assicurarsi che i fornitori di sistemi AI ad alto rischio siano conformi al Regolamento e che i contratti prevedano le clausole necessarie
  4. Avviare la formazione - L'obbligo di alfabetizzazione AI (Art. 4) è già in vigore
  5. Valutare la necessità di una DPIA integrata - Se il sistema AI tratta dati personali, la DPIA GDPR e la valutazione## Domande Frequenti (FAQ)

La mia azienda usa ChatGPT / Copilot: devo fare qualcosa ora? Sì, ma con gradazioni precise. Se l'uso è generico, l'obbligo principale (già attivo dal 2 febbraio 2025) è l'alfabetizzazione AI del personale (Art. 4), assicurando che i dipendenti sappiano usare tali strumenti in modo informato. Se invece l'azienda integra questi modelli in processi decisionali su persone (es. selezione personale), ricade negli obblighi dell'alto rischio di agosto 2026.

Il mio software ha un chatbot per i clienti: sono soggetto all'AI Act? Sì, principalmente per l'obbligo di trasparenza (Art. 50). L'utente deve poter sapere che sta interagendo con un sistema automatizzato. Questo obbligo sarà pienamente sanzionabile da agosto 2026.

Come si coordina l'AI Act con il GDPR per i controlli in Italia? Le due normative sono complementari. Se l'IA tratta dati personali, l'azienda deve produrre sia la documentazione tecnica AI Act (Art. 11), sia la DPIA GDPR (Art. 35). Il legislatore consente di integrare queste analisi in un unico processo di valutazione dei rischi aziendali, consultando le linee guida del Garante Privacy (Relazione 2024).

Chi è l'autorità che può venire a fare un'ispezione in sede? In Italia, il potere ispettivo e sanzionatorio è affidato all'ACN (Agenzia per la Cybersicurezza Nazionale), che agisce come Autorità di Vigilanza del Mercato in coordinamento con la Guardia di Finanza.

Cosa succede se fornisco dati inesatti durante un controllo? La fornitura di informazioni inesatte, incomplete o fuorvianti alle autorità nazionali espone a sanzioni specifiche fino a 7,5 milioni di euro o all'1% del fatturato mondiale. Anche in questo caso, per le PMI si applica il valore inferiore.consente di svolgere le due valutazioni congiuntamente.

Approfondimenti correlati:

Fonti: Regolamento (UE) 2024/1689; Legge 23 settembre 2025, n. 132; Allegati I, III, IV, XI del Regolamento.

Condividi:
Avv. Antonino Ingoglia

Autore

Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.

Profilo completo e competenze
Nota Informativa: I contenuti di questo articolo hanno finalità puramente divulgative e informative. Non costituiscono parere legale né instaurano un rapporto professionale. Ogni caso concreto richiede una valutazione specifica da parte di un professionista abilitato per delineare l'esatto perimetro legislativo e sanzionatorio.

Articoli correlati ed Approfondimenti

AziendeAI Act Digital Omnibus 2026: Le Nuove Scadenze e Perché il Rinvio È una Trappola14 min readAziendeTermini e Condizioni: Guida Completa per Siti Web e E-commerce25 min readAziendeTermini e Condizioni E-commerce: Guida 202628 min read
Torna alla raccolta
SUPPORTO

Serve assistenza per il tuo caso?

Prenota un colloquio in videochiamata da tutta Italia. Analizzeremo la situazione assieme e definiremo i passi operativi in totale riservatezza strategica.

Prenota Consulenza