AI Act, agosto 2026: cosa devono fare davvero le PMI (senza farsi prendere dal panico)

Il 2 agosto 2026 è la data che chi usa l'AI in azienda dovrebbe avere sul calendario: da quel giorno i sistemi AI ad alto rischio definiti dall'Allegato III del regolamento europeo diventano pienamente soggetti agli obblighi dell'AI Act — documentazione, supervisione umana, registrazione. È la scadenza più rilevante per le imprese italiane, PMI comprese.

Attorno a questa data si è già formato il consueto ecosistema di terrorismo da consulenza: webinar apocalittici, sanzioni da 35 milioni sparate nei titoli, checklist di compliance da quaranta pagine. Dall'altra parte, l'atteggiamento opposto e altrettanto sbagliato: "siamo piccoli, non ci riguarda". Vorrei provare a fare quello che faccio di mestiere: separare ciò che conta da ciò che fa rumore.

Prima cosa: capire se sei davvero coinvolto

L'AI Act classifica i sistemi per livello di rischio, e gli obblighi pesanti riguardano solo la fascia alta. Nella categoria ad alto rischio rientrano, tra gli altri: i software di selezione e valutazione automatica del personale (gli ATS che fanno ranking dei candidati), i sistemi di scoring del credito, gli strumenti AI per la gestione di infrastrutture critiche, l'AI per l'accesso a servizi essenziali, i sistemi di classificazione biometrica.

Rileggi quell'elenco con gli occhi della tua azienda. La stragrande maggioranza delle PMI italiane usa l'AI per cose molto diverse: scrivere testi, rispondere ai clienti, analizzare documenti, automatizzare processi interni. Tutta roba che ricade nella fascia a rischio limitato o minimo, dove gli obblighi si riducono essenzialmente a trasparenza: se un cliente parla con un chatbot, deve poter sapere che è un chatbot.

Quindi il primo passo non è comprare un pacchetto di compliance: è fare un censimento onesto dei sistemi AI che usi. Un foglio, tre colonne: quale strumento, per quale processo, con quali dati. Per la maggior parte delle PMI l'esito sarà rassicurante. Ma attenzione alle due trappole che vedo più spesso.

La prima: l'alto rischio entra dalla porta di servizio. Magari non hai "un sistema di selezione del personale AI", ma l'ATS in cloud che usi da due anni ha appena aggiunto una funzione di ranking automatico dei CV. Congratulazioni: sei utilizzatore di un sistema ad alto rischio e probabilmente non lo sai. Lo stesso vale per certi strumenti di valutazione creditizia dei clienti integrati nei gestionali.

La seconda: confondere il ruolo di fornitore con quello di utilizzatore (deployer). Gli obblighi più pesanti gravano su chi sviluppa e immette sul mercato i sistemi ad alto rischio; chi li usa ha obblighi più leggeri ma reali — usarli secondo le istruzioni, garantire supervisione umana, conservare i log. Se la tua software house ti ha costruito qualcosa che tocca le aree dell'Allegato III, la palla è anche nel tuo campo.

Le sanzioni, lette senza allarmismo

I numeri che girano sono veri: fino a 35 milioni di euro o il 7% del fatturato globale per la violazione dei divieti assoluti dell'articolo 5 (manipolazione, social scoring e simili — cose che una PMI sana non fa); fino a 15 milioni o il 3% per le violazioni sugli obblighi dei sistemi ad alto rischio.

Ma c'è un dettaglio che i titoli omettono: per PMI e startup il regolamento prevede che si applichi l'importo inferiore tra la cifra fissa e la percentuale del fatturato. Proporzionalità, non esenzione: una piccola impresa che usa un sistema ad alto rischio senza rispettare gli obblighi resta sanzionabile. Però la favola dei 35 milioni alla ditta da dieci dipendenti serve a vendere consulenza, non a informare.

Vale anche la nota di realismo opposta: a Bruxelles si discute di rinvii per alcune parti del regolamento, e c'è chi specula su slittamenti al 2027-2028. Il mio consiglio è di non contarci. Pianificare sul rispetto della scadenza e ritrovarsi con più tempo è un bonus; fare il contrario è un azzardo che non rende niente.

La to-do list ragionevole

Ecco cosa farei — e cosa stiamo facendo con i clienti — da qui ad agosto. È meno di quanto temi.

Il censimento di cui sopra: mezza giornata di lavoro fatta bene, ed è la base di tutto. Senza sapere cosa usi, ogni discorso di conformità è teatro.

Per gli strumenti in fascia bassa: sistemare la trasparenza. Il chatbot si dichiara, i contenuti generati dove rilevante si segnalano, l'informativa privacy si aggiorna se i dati passano da fornitori AI. Lavoro da giorni, non da mesi.

Per gli eventuali strumenti in area alto rischio: prima di tutto chiedere al fornitore. Che documentazione fornisce? Il sistema è conforme? Come si registra? Per i sistemi critici servirà documentazione del training e dei dati e una valutazione del rischio, da conservare fino a dieci anni — ma la parte pesante spetta a chi il sistema lo produce. Se il fornitore non sa rispondere, questo ti dice qualcosa sul fornitore.

Infine, una scelta di buon senso: nominare un responsabile interno dell'uso dell'AI. Non un "AI compliance officer" — basta una persona che tenga aggiornato il censimento e faccia da punto di contatto. Nelle aziende da 10-50 persone è un cappello in più su una testa che c'è già.

Le domande che mi fanno più spesso

Qualche risposta rapida ai dubbi ricorrenti, raccolti dalle conversazioni con i clienti di questi mesi.

"Uso ChatGPT/Claude per scrivere email e documenti: devo fare qualcosa?" Per l'uso in sé, no: è fascia minima. Devi però governare cosa ci entra dentro — dati personali di clienti e dipendenti nei prompt sono prima di tutto un tema GDPR, che esisteva ben prima dell'AI Act — e cosa ne esce, se diventa comunicazione verso l'esterno.

"Il mio chatbot sul sito è ad alto rischio?" Quasi certamente no: è rischio limitato, con obbligo di trasparenza. Deve essere chiaro all'utente che sta parlando con un sistema automatico. Se però il chatbot prende decisioni con effetti rilevanti sulle persone — concede o nega l'accesso a un servizio essenziale, valuta candidati — la classificazione cambia, e va analizzata.

"Uso un software con AI dentro: la conformità è un problema mio o del fornitore?" Di entrambi, su piani diversi. Il fornitore risponde della conformità del sistema; tu rispondi di come lo usi: secondo le istruzioni, con supervisione adeguata, conservando le registrazioni quando previsto. La cosa pratica da fare adesso è chiedere al fornitore la documentazione: la sua risposta — o non risposta — è già un audit.

"Conviene aspettare i rinvii?" No. Le parti di cui si discute lo slittamento non azzerano gli obblighi, li spostano. E il lavoro da fare — il censimento, la trasparenza, le domande ai fornitori — è lavoro utile comunque, a prescindere dalla data.

La compliance come effetto collaterale

Chiudo con la considerazione che mi sembra più utile. Tutto quello che l'AI Act chiede a un utilizzatore — sapere quali sistemi usi, capire cosa fanno, supervisionarli, poterne rispondere — è esattamente quello che dovresti fare comunque per ottenere ritorni dall'AI. Le aziende che falliscono i progetti AI sono quasi sempre quelle che adottano strumenti senza mappare i processi né presidiare i risultati: le stesse che ad agosto si scopriranno scoperte anche sul fronte normativo.

Fatta con questo spirito, la conformità all'AI Act non è un costo aggiuntivo: è l'effetto collaterale di un'adozione fatta bene. E se il censimento di agosto diventa l'occasione per chiederti finalmente "cosa sta facendo l'AI nella mia azienda, e cosa potrebbe fare?", la normativa europea ti avrà fatto, suo malgrado, un favore.

Nota: questo articolo è un orientamento pratico, non una consulenza legale. Per situazioni specifiche — soprattutto se operi in aree ad alto rischio — confrontati con un legale che conosca il regolamento.

---

Fonti: Cyber Security 360, Agenda Digitale – Digital Omnibus e AI Act, AscenSys, Cyberness