AI Act: Cosa Cambia per le Aziende Italiane nel 2025 e 2026
Guida pratica agli obblighi dell'AI Act per le imprese italiane. Scadenze, adempimenti, autorità competenti e sanzioni: cosa fare ora per essere conformi.
Il Regolamento (UE) 2024/1689 — noto come AI Act — è in vigore dal 1° agosto 2024 e si applica in modo graduale fino al 2027. Per le aziende italiane che sviluppano, utilizzano o distribuiscono sistemi di intelligenza artificiale, le prime scadenze operative sono già passate e le prossime sono imminenti.
Questa guida si concentra sugli adempimenti concreti che le imprese italiane devono affrontare, con le scadenze precise e i riferimenti normativi.
Le Scadenze Già Scadute: Cosa Doveva Essere Fatto
2 febbraio 2025 — Divieti e Alfabetizzazione
Dal 2 febbraio 2025, le aziende italiane devono aver verificato due aspetti:
1. Nessun utilizzo di sistemi AI vietati (Art. 5)
I sistemi vietati includono: manipolazione subliminale, social scoring, riconoscimento delle emozioni sul posto di lavoro, categorizzazione biometrica per dedurre opinioni politiche o orientamento sessuale, e polizia predittiva basata su profilazione.
Se l'azienda utilizza software che incorpora funzionalità di questo tipo — anche come componente di un prodotto più ampio — deve averne cessato l'utilizzo.
2. Alfabetizzazione AI del personale (Art. 4)
L'Art. 4 del Regolamento impone a fornitori e deployer di garantire che il proprio personale possieda un livello sufficiente di alfabetizzazione in materia di AI, tenuto conto del contesto, delle competenze e dell'esperienza di ciascuno.
In pratica, le aziende che utilizzano sistemi AI devono:
- Aver valutato il livello di conoscenza del personale che interagisce con sistemi AI
- Aver avviato attività formative proporzionate al rischio
- Documentare le iniziative di formazione intraprese
Attenzione: l'obbligo di alfabetizzazione AI si applica a tutti i deployer, non solo a quelli che utilizzano sistemi ad alto rischio. È un obbligo trasversale, spesso sottovalutato.
La Scadenza di Agosto 2025: Modelli GPAI e Governance
2 agosto 2025 — Obblighi per i Modelli General-Purpose
Le aziende italiane che sviluppano modelli di AI per finalità generali (GPAI) devono conformarsi agli Art. 51-56 del Regolamento:
| Obbligo | Cosa fare | Riferimento |
|---|---|---|
| Documentazione tecnica | Predisporre e mantenere aggiornata la documentazione del modello secondo l'Allegato XI | Art. 53, par. 1, lett. a |
| Informazioni per i fornitori a valle | Fornire informazioni e documentazione ai provider che integrano il modello nei propri sistemi | Art. 53, par. 1, lett. b |
| Policy sul diritto d'autore | Adottare una politica di rispetto della Direttiva 2019/790 (diritto d'autore) | Art. 53, par. 1, lett. c |
| Sommario dei dati di addestramento | Pubblicare un sommario sufficientemente dettagliato dei contenuti utilizzati per l'addestramento | Art. 53, par. 1, lett. d |
Chi è coinvolto in Italia: le startup AI, le software house che sviluppano modelli proprietari, le aziende che fanno fine-tuning di modelli open source per uso commerciale.
Chi NON è coinvolto: le aziende che si limitano a utilizzare servizi AI di terzi (es. API di OpenAI, Google, Anthropic) sono deployer, non fornitori di modelli GPAI, e non sono soggette a questi obblighi specifici.
2 agosto 2025 — Nomina delle Autorità Nazionali
Questa scadenza è stata rispettata in Italia con anticipo. La Legge 23 settembre 2025, n. 132 ha designato:
- ACN (Agenzia per la Cybersicurezza Nazionale) come autorità nazionale di vigilanza — è l'interlocutore principale per le aziende soggette all'AI Act, con poteri di ispezione, richiesta di informazioni e sanzione
- AgID (Agenzia per l'Italia Digitale) come autorità di notifica — valuta e designa gli organismi che effettuano le valutazioni di conformità dei sistemi ad alto rischio
- Il Garante per la protezione dei dati personali conserva le proprie competenze per i profili relativi al trattamento di dati personali
La Scadenza Cruciale: Agosto 2026
2 agosto 2026 — Piena Applicazione per i Sistemi ad Alto Rischio
Questa è la scadenza che impatta il maggior numero di aziende italiane. Dal 2 agosto 2026 si applicano integralmente gli obblighi per:
- I sistemi AI ad alto rischio elencati nell'Allegato III (selezione del personale, valutazione creditizia, accesso a servizi pubblici, infrastrutture critiche, ecc.)
- Gli obblighi di trasparenza (Art. 50) per chatbot, deepfake, contenuti generati da AI
- Il regime sanzionatorio completo
Checklist: 10 Adempimenti per le Aziende Italiane
Per le aziende che sviluppano o utilizzano sistemi AI ad alto rischio, ecco gli adempimenti da completare entro agosto 2026:
Se sei un FORNITORE (provider) di sistemi AI ad alto rischio:
- Classificazione del rischio — Verificare se il proprio sistema rientra nell'Allegato III o è componente di sicurezza di un prodotto dell'Allegato I (Art. 6)
- Sistema di gestione dei rischi — Implementare un processo di identificazione, analisi e mitigazione dei rischi lungo l'intero ciclo di vita del sistema (Art. 9)
- Governance dei dati — Assicurare che i dataset di addestramento siano pertinenti, rappresentativi e privi di bias rilevanti (Art. 10)
- Documentazione tecnica — Predisporre la documentazione secondo l'Allegato IV: descrizione del sistema, finalità, prestazioni, limitazioni, misure di cybersicurezza (Art. 11)
- Registrazione automatica (logging) — Implementare sistemi di log che registrino automaticamente gli eventi rilevanti per la tracciabilità (Art. 12)
- Istruzioni per l'uso — Fornire istruzioni chiare e comprensibili ai deployer (Art. 13)
- Supervisione umana — Progettare il sistema affinché possa essere supervisionato da persone fisiche (Art. 14)
- Valutazione di conformità — Completare la procedura applicabile: autovalutazione o valutazione da parte di un organismo notificato, a seconda della tipologia (Art. 43)
- Registrazione nella banca dati UE — Registrare il sistema nella banca dati pubblica dell'UE prima dell'immissione sul mercato (Art. 49)
- Marcatura CE — Apporre la marcatura CE al sistema (Art. 48)
Se sei un DEPLOYER (utilizzatore) di sistemi AI ad alto rischio:
- Utilizzo conforme — Utilizzare il sistema secondo le istruzioni d'uso fornite dal provider (Art. 26, par. 1)
- Supervisione umana — Assegnare persone fisiche competenti alla supervisione del sistema (Art. 26, par. 2)
- Monitoraggio — Monitorare il funzionamento del sistema e segnalare al fornitore eventuali rischi o incidenti (Art. 26, par. 5)
- DPIA congiunta — Se il sistema tratta dati personali, effettuare la Valutazione d'Impatto ai sensi dell'Art. 35 GDPR, integrandola con la valutazione AI Act (Considerando 166)
- Conservazione dei log — Conservare i log generati dal sistema per un periodo adeguato (Art. 26, par. 6)
- Informazione ai lavoratori — Se il sistema AI è utilizzato sul posto di lavoro, informare i rappresentanti dei lavoratori e i lavoratori interessati (Art. 26, par. 7)
I Settori Più Impattati in Italia
Risorse Umane e Selezione del Personale
I software di screening dei CV, i sistemi di valutazione delle candidature e gli strumenti di analisi delle performance basati su AI rientrano nell'Allegato III, punto 4 (occupazione, gestione dei lavoratori e accesso al lavoro autonomo).
Impatto pratico: le aziende italiane che utilizzano piattaforme di recruiting con componenti AI (es. screening automatico, analisi video-colloqui, ranking dei candidati) devono verificare che il fornitore sia conforme e adottare le misure previste per i deployer.
Settore Finanziario e Assicurativo
I sistemi di valutazione del merito creditizio e di determinazione dei premi assicurativi basati su AI rientrano nell'Allegato III, punto 5, lett. b.
Per banche, istituti finanziari e compagnie assicurative italiane, l'AI Act si aggiunge agli obblighi già previsti dal Regolamento DORA (Reg. UE 2022/2554) sulla resilienza operativa digitale.
Sanità
I dispositivi medici che incorporano sistemi AI sono soggetti sia al Regolamento Dispositivi Medici (Reg. UE 2017/745) sia all'AI Act. La valutazione di conformità AI può essere integrata nella procedura già prevista per i dispositivi medici (Art. 43, par. 3).
Pubblica Amministrazione
Le PA italiane che utilizzano sistemi AI per l'accesso a servizi pubblici, la valutazione di pratiche o l'assegnazione di risorse sono soggette agli obblighi per i deployer di sistemi ad alto rischio. La Legge n. 132/2025 prevede disposizioni specifiche per il settore pubblico.
Sanzioni: Cosa Rischia Chi Non Si Adegua
| Violazione | Sanzione | Chi rischia |
|---|---|---|
| Utilizzo di sistemi vietati (Art. 5) | Fino a 35 mln EUR o 7% del fatturato mondiale | Provider e deployer |
| Non conformità sistemi ad alto rischio | Fino a 15 mln EUR o 3% del fatturato mondiale | Provider, deployer, importatori, distributori |
| Informazioni inesatte alle autorità | Fino a 7,5 mln EUR o 1% del fatturato mondiale | Tutti i soggetti obbligati |
| Mancata alfabetizzazione AI (Art. 4) | Fino a 15 mln EUR o 3% del fatturato mondiale | Provider e deployer |
Per PMI e startup: si applica sempre la soglia inferiore tra l'importo fisso e la percentuale sul fatturato (Art. 99, par. 6).
L'ACN è l'autorità competente per l'irrogazione delle sanzioni in Italia.
Come Prepararsi: I Primi Passi
Indipendentemente dalla dimensione dell'azienda, i passi iniziali sono:
- Censire i sistemi AI in uso — Mappare tutti i software e servizi che incorporano componenti di intelligenza artificiale, anche quelli acquisiti da terzi
- Classificare il rischio — Per ciascun sistema, determinare il livello di rischio secondo i criteri dell'Art. 6 e dell'Allegato III
- Verificare i contratti con i fornitori — Assicurarsi che i fornitori di sistemi AI ad alto rischio siano conformi al Regolamento e che i contratti prevedano le clausole necessarie
- Avviare la formazione — L'obbligo di alfabetizzazione AI (Art. 4) è già in vigore
- Valutare la necessità di una DPIA integrata — Se il sistema AI tratta dati personali, la DPIA GDPR e la valutazione AI Act possono essere svolte congiuntamente
Domande Frequenti
La mia azienda usa ChatGPT / Copilot / Gemini: devo fare qualcosa? Se l'azienda utilizza servizi AI di terzi per attività a basso rischio (scrittura, traduzione, analisi dati generiche), rientra nella categoria a rischio minimo. L'unico obbligo già in vigore è l'alfabetizzazione AI del personale (Art. 4). Se invece il servizio AI è utilizzato per decisioni che impattano persone (selezione personale, valutazione clienti), potrebbe rientrare nell'alto rischio.
Il mio software ha un chatbot integrato: sono soggetto all'AI Act? Sì, per l'obbligo di trasparenza (Art. 50): l'utente deve essere informato che sta interagendo con un sistema AI. Questo obbligo si applica da agosto 2026. Se il chatbot si limita al customer service, rientra nel rischio limitato.
Sono una PMI: le sanzioni sono ridotte? Sì. L'Art. 99, par. 6 prevede che per le PMI e startup si applichi sempre la soglia inferiore tra l'importo fisso e la percentuale sul fatturato. Per una PMI con fatturato di 2 milioni di euro, la sanzione massima per un sistema vietato sarebbe il 7% del fatturato (140.000 euro), non 35 milioni.
L'AI Act si applica anche se uso AI solo internamente? Sì. L'AI Act si applica ai deployer di sistemi AI nell'UE, indipendentemente dal fatto che il sistema sia rivolto al pubblico o utilizzato internamente. Un sistema AI di screening CV usato solo dal dipartimento HR rientra comunque nell'alto rischio.
Qual è il rapporto tra AI Act e GDPR per la mia azienda? Si applicano entrambi quando un sistema AI tratta dati personali. Il GDPR regola il trattamento dei dati; l'AI Act regola il sistema in sé. In pratica: serve sia la DPIA (Art. 35 GDPR) sia la documentazione tecnica (Art. 11 AI Act). Il Considerando 166 del Regolamento consente di svolgere le due valutazioni congiuntamente.
Approfondimenti correlati:
- AI Act: Guida Completa al Regolamento Europeo — classificazione del rischio, modelli GPAI, confronto con il GDPR
- Sanzioni AI Act per Startup e PMI — focus sulle implicazioni economiche per le imprese tech
- Cos'è il GDPR? — il regolamento europeo sulla protezione dei dati si applica congiuntamente all'AI Act
Fonti: Regolamento (UE) 2024/1689; Legge 23 settembre 2025, n. 132; Allegati I, III, IV, XI del Regolamento.