AI Act europeo e PMI: cosa cambia nel 2026 e come adeguarsi senza un team legale dedicato

L'AI Act europeo è già legge: il Regolamento UE 2024/1689 sull'intelligenza artificiale è entrato in vigore ad agosto 2024, ma le scadenze operative più importanti per le PMI arrivano nel 2025 e soprattutto nel 2026. Se stai usando strumenti di AI nella tua azienda — e le probabilità che tu lo faccia sono altissime — devi sapere cosa ti viene richiesto, quali rischi corri e, soprattutto, come metterti in regola senza dover assumere un team legale dedicato. Questo articolo risponde a queste domande in modo chiaro e pratico.

Cos'è l'AI Act e perché interessa le PMI italiane

Il regolamento AI dell'Unione Europea è il primo quadro normativo al mondo che disciplina in modo organico l'uso dei sistemi di intelligenza artificiale. Non riguarda solo le grandi tech company: si applica a qualsiasi azienda che sviluppa, distribuisce o utilizza sistemi AI all'interno dell'UE, indipendentemente dalle sue dimensioni. Questo significa che una PMI italiana che usa un chatbot per il customer service, un algoritmo di scoring per la concessione di credito o un sistema di selezione del personale basato sull'AI è potenzialmente soggetta agli obblighi del regolamento.

Secondo una stima della Commissione Europea, oltre il 70% delle PMI europee utilizza già almeno uno strumento basato sull'intelligenza artificiale, spesso senza essere consapevole delle implicazioni normative.

La logica alla base del regolamento è quella del rischio: più un sistema AI può incidere sulla vita delle persone, più severi sono gli obblighi. Il regolamento distingue quattro livelli di rischio — inaccettabile, alto, limitato e minimo — e prevede obblighi crescenti in base alla classificazione del sistema adottato.

Le scadenze chiave dell'AI Act: cosa succede nel 2025 e nel 2026

Il calendario del regolamento AI è graduale ma inesorabile. Per le PMI è fondamentale avere chiaro il cronoprogramma per non farsi cogliere impreparate.

1. Febbraio 2025: divieto assoluto per i sistemi AI a rischio inaccettabile (es. social scoring, manipolazione subliminale). Chi li usa deve dismettere immediatamente.
2. Agosto 2025: entrano in vigore gli obblighi per i modelli di AI general purpose (GPAI), inclusi i grandi modelli linguistici usati come base per prodotti terzi.
3. Agosto 2026: applicazione piena degli obblighi per i sistemi AI ad alto rischio, con requisiti di trasparenza, documentazione tecnica, supervisione umana e registrazione nel database UE.
4. 2027: estensione di alcuni obblighi ai sistemi AI già in uso prima dell'entrata in vigore del regolamento (sistemi legacy).

Il 2026 è dunque l'anno critico per la maggior parte delle PMI che operano in settori sensibili: HR, credito, sanità, istruzione, infrastrutture critiche. Ma anche chi non rientra nell'alto rischio deve rispettare obblighi di trasparenza verso gli utenti quando usa chatbot o sistemi di generazione di contenuti.

AI Act e GDPR: il doppio binario della compliance AI per le PMI

Un errore comune è pensare che il GDPR e l'AI Act siano regolamenti separati e indipendenti. In realtà si sovrappongono significativamente, creando quello che gli esperti chiamano il 'doppio binario' della compliance AI. Se i tuoi sistemi AI trattano dati personali — e quasi sempre lo fanno — devi rispettare entrambi i quadri normativi contemporaneamente.

• Base giuridica del trattamento: anche l'addestramento di modelli AI su dati personali richiede una base legale valida ai sensi del GDPR.
• Diritto di spiegazione: quando una decisione automatizzata incide su una persona (es. rifiuto di un prestito), il GDPR prevede già il diritto a una spiegazione. L'AI Act rafforza questo obbligo.
• Data minimization e privacy by design: i principi GDPR diventano ancora più rilevanti nella progettazione di sistemi AI, che tendono a essere voraci di dati.
• Valutazione d'impatto (DPIA): per i sistemi AI ad alto rischio che trattano dati personali, la DPIA non è solo raccomandata ma obbligatoria.
• Responsabilità del titolare: la PMI che decide come e perché usare un sistema AI è titolare del trattamento, anche se il sistema è fornito da un terzo.

Come adeguarsi all'AI Act senza un team legale: 5 passi pratici per le PMI

La buona notizia è che la compliance all'AI Act non richiede necessariamente un ufficio legale dedicato, soprattutto per le PMI che usano sistemi AI di terze parti (e non li sviluppano). Richiede però metodo, consapevolezza e un approccio strutturato. Ecco un percorso in cinque passi che puoi iniziare subito.

1. Fai un inventario dei sistemi AI in uso: elenca tutti gli strumenti che usano algoritmi o AI nella tua azienda, inclusi quelli apparentemente 'innocui' come chatbot, strumenti di scoring, sistemi di raccomandazione, software HR con automazioni.
2. Classifica il livello di rischio: per ogni sistema, verifica se rientra nelle categorie ad alto rischio elencate nell'Allegato III dell'AI Act (selezione del personale, valutazione del credito, accesso a servizi essenziali, ecc.).
3. Rivedi i contratti con i fornitori: se usi sistemi AI di terze parti, controlla i termini di servizio e assicurati che il fornitore si faccia carico degli obblighi che competono al 'provider' secondo il regolamento.
4. Implementa misure di trasparenza: anche per i sistemi a rischio limitato, devi informare gli utenti quando interagiscono con un AI. Aggiorna le informative privacy e inserisci avvisi chiari dove necessario.
5. Documenta e monitora: crea una documentazione minima per ogni sistema AI in uso, aggiornala quando cambia il sistema o il contesto, e designa un referente interno (anche non tecnico) responsabile della supervisione.

Le sanzioni previste dall'AI Act per le violazioni più gravi arrivano fino a 35 milioni di euro o al 7% del fatturato globale annuo. Per le PMI, anche sanzioni minori possono essere significative: meglio investire in prevenzione che in gestione delle crisi.

Un elemento spesso trascurato è la formazione del personale. L'AI Act richiede che chi supervisiona i sistemi AI ad alto rischio abbia competenze adeguate per comprendere i limiti e i rischi del sistema. Non serve un dottorato in machine learning: serve consapevolezza critica e capacità di riconoscere anomalie o decisioni sospette.

Conclusione: l'AI Act non è un ostacolo, è un'opportunità

Le PMI che si adeguano all'AI Act per tempo non stanno solo evitando sanzioni: stanno costruendo un vantaggio competitivo. La fiducia dei clienti, la credibilità con partner e investitori e la capacità di operare su mercati internazionali dipenderanno sempre di più dalla dimostrazione di un uso responsabile e trasparente dell'intelligenza artificiale. Inizia dall'inventario dei tuoi sistemi AI, valuta i rischi con metodo e costruisci una documentazione essenziale ma solida. Se hai bisogno di un punto di partenza strutturato, il 2025 è il momento giusto per agire — il 2026 sarà troppo tardi per farlo con calma.