corsi-ai

ChatGPT in azienda: cosa chiede davvero l'AI Act a chi lo usa

19 luglio 2026

La paura diffusa: se in azienda si usa ChatGPT, scattano gli obblighi previsti per i big dell'AI. La realtà del Regolamento è un'altra: il Capo V grava sui fornitori dei modelli, mentre a chi li usa toccano formazione, trasparenza e una policy d'uso sensata. Ecco cosa fare davvero, e dove passa il confine oltre il quale il ruolo cambia.


Regolamento (UE) 2024/1689, Capo V (artt. 51-56), artt. 3, 4, 25 e 50 · riguarda ogni azienda che usa ChatGPT, Claude, Copilot o Gemini · aggiornato al 19 luglio 2026.

Il timore suona così: "se usiamo ChatGPT dobbiamo metterci in regola come OpenAI". È la domanda che sentiamo più spesso nelle PMI, ed è un equivoco. Gli obblighi sui modelli per finalità generali (GPAI) esistono, ma hanno un destinatario preciso: chi i modelli li sviluppa e li immette sul mercato. Vediamo cosa tocca davvero a te e dove passa il confine.

Guida informativa, non consulenza legale: per i casi di confine confrontati con un legale.

In sintesi

  • Gli obblighi sui modelli GPAI (Capo V, artt. 53-55) gravano sui fornitori: OpenAI, Anthropic, Google, Microsoft. Non su chi li usa.
  • A te toccano: alfabetizzazione (art. 4, già in vigore), trasparenza (art. 50, dal 2 agosto 2026), divieti (art. 5), più una policy interna d'uso (non obbligatoria, ma decisiva).
  • Diventi fornitore solo in casi precisi: marchio proprio, modello dentro un prodotto che vendi, finalità spostata verso l'alto rischio.
  • La regola da ricordare: gli obblighi seguono il ruolo, non il tool.

Il fatto: il Capo V parla ai fornitori, non a te

Basta aprire il testo. Ogni paragrafo degli artt. 53, 54 e 55 esordisce allo stesso modo: "I fornitori di modelli di IA per finalità generali". Documentazione tecnica del modello (art. 53, par. 1, lett. a), politica sul diritto d'autore (lett. c), sintesi dei contenuti di addestramento (lett. d), adversarial testing per i modelli a rischio sistemico (art. 55, par. 1): tutto in capo a OpenAI, Anthropic, Google, Microsoft. E le sanzioni della Commissione (art. 101: fino a 15 milioni di euro o al 3% del fatturato mondiale) colpiscono solo loro, dal 2 agosto 2026.

Tu che apri ChatGPT dal browser o usi Copilot in Microsoft 365 sei un deployer: chi "utilizza un sistema di IA sotto la propria autorità" (art. 3, punto 4). Il Capo V non contiene un solo obbligo rivolto a te.

La regola da ricordare: gli obblighi seguono il ruolo, non il tool. Non conta quale AI usi, conta cosa ci fai e in che veste.

Cosa ricade davvero su chi usa

Gli obblighi veri vengono da altri capi del Regolamento: quattro, più una misura non scritta che fa la differenza.

Alfabetizzazione AI (art. 4), in vigore dal 2 febbraio 2025. Chi usa sistemi di AI deve adottare misure per un livello sufficiente di alfabetizzazione del personale. È l'obbligo più trasversale e il più ignorato: passi pratici nella guida alla formazione richiesta dall'art. 4.

Trasparenza (art. 50), dal 2 agosto 2026. Ti riguarda soprattutto il par. 4: dichiarare i deepfake e i testi generati pubblicati per informare il pubblico, salvo revisione umana con responsabilità editoriale. Obblighi, eccezioni ed esempi nella guida all'art. 50 per chi usa l'AI.

Divieti (art. 5), in vigore dal 2 febbraio 2025. Valgono per chiunque: per esempio, niente riconoscimento delle emozioni sul luogo di lavoro.

Obblighi da deployer ad alto rischio, solo se ci entri. Usare un modello generativo per un caso d'uso dell'Allegato III (screening dei CV, credito, istruzione) attiva gli obblighi dell'art. 26: sorveglianza umana, controllo degli input, conservazione dei log.

E poi la policy interna d'uso. Non è un obbligo testuale dell'AI Act, ma il modo pratico per rispettare gli obblighi che ci sono: quali dati non entrano mai negli strumenti, chi può usare cosa, chi revisiona gli output prima che escano dall'azienda. Senza policy, l'art. 4 resta teoria e la trasparenza diventa una lotteria.

Il confine: quando da utilizzatore diventi fornitore

I numeri aiutano a ridimensionare l'ansia.

Piano modello: il fine-tuning non ti trasforma, quasi mai. Le linee guida della Commissione sul perimetro degli obblighi GPAI (18 luglio 2025) fissano il criterio: diventi fornitore del modello solo se il compute usato per la modifica supera un terzo di quello dell'addestramento originario. Una soglia fuori scala per qualunque PMI. Fine-tuning commerciali tipici, GPT personalizzati, assistenti con istruzioni di sistema, RAG sui tuoi documenti: nulla di questo ti rende fornitore di modello. E chi superasse la soglia avrebbe obblighi limitati alla modifica (considerando 109).

Piano sistema: i tre casi dell'art. 25. Questo confine è più vicino. Diventi fornitore ad alto rischio in tre casi (art. 25, par. 1): apponi il tuo marchio su un sistema ad alto rischio già sul mercato (lett. a), ne fai una modifica sostanziale (lett. b), ne cambi la finalità, anche di un sistema generalista, rendendolo ad alto rischio (lett. c). L'esempio da manuale: un chatbot generalista trasformato in screening dei CV. Da quel momento non stai "usando ChatGPT": stai fornendo un sistema di selezione del personale.

Il caso intermedio: il modello via API nel tuo prodotto. Chi incorpora GPT o Claude in un proprio software offerto col proprio nome è "fornitore a valle" (art. 3, punto 68): niente Capo V nemmeno qui, ma dal 2 agosto 2026 deve dire ai propri utenti che interagiscono con un'AI e marcare gli output sintetici (art. 50, par. 1 e 2).

Vale di nuovo: gli obblighi seguono il ruolo, non il tool.

Puoi stare tranquillo, o devi fermarti?

Puoi stare tranquillo se:

  • usi ChatGPT, Claude, Copilot o Gemini in abbonamento per lavoro interno: email, bozze, riassunti, analisi;
  • gli output passano da una revisione umana prima di uscire dall'azienda;
  • hai creato GPT personalizzati o assistenti con istruzioni di sistema per il team;
  • interroghi i tuoi documenti con un RAG per uso interno.

Fermati e ragiona (con un legale) se:

  • metti il tuo marchio su un sistema di AI che rivendi;
  • integri un modello via API in un prodotto per i tuoi clienti;
  • fai fine-tuning di un modello per rivenderlo o distribuirlo;
  • il caso d'uso tocca HR, credito, istruzione o altri ambiti dell'Allegato III;
  • sposti uno strumento generalista verso questi ambiti.

Il Codice di buone pratiche GPAI: usalo come filtro sui vendor

Il Capo V può però lavorare per te. Il Codice di buone pratiche GPAI, pubblicato il 10 luglio 2025, è lo strumento volontario con cui i fornitori dimostrano la conformità (art. 53, par. 4): tre capitoli su trasparenza, diritto d'autore, sicurezza. Tu non devi firmarlo, ma puoi usare l'adesione del vendor come criterio di scelta: tra i firmatari ci sono OpenAI, Anthropic, Google e Microsoft. Chiedersi "il vendor aderisce al Codice?" costa un minuto e vale una due diligence.

La checklist per stare in regola

  1. Scegli vendor che aderiscono al Codice di buone pratiche GPAI. La conformità che non dipende da te sarà in buone mani.
  2. Scrivi la policy d'uso. Una pagina basta: dati che non si inseriscono mai, strumenti ammessi per ruolo, chi revisiona gli output.
  3. Forma chi usa gli strumenti (art. 4). Dal nostro catalogo: Google AI Essentials (49 €, in abbonamento) per la base del team, il corso base di intelligenza artificiale di Aulab (99 €) per chi parte da zero, il prompt engineering per ChatGPT di IFOA (490 €) per l'uso quotidiano, il corso su marketing e AI di Ninja Academy (297 €) per il marketing. Altri percorsi in AI per il business e AI, etica e regolamentazione. Alcuni link sono affiliati: per te il prezzo non cambia. I prezzi sono quelli del nostro catalogo: verificali sulla pagina del formatore, possono variare.
  4. Prepara la trasparenza verso l'esterno (entro il 2 agosto 2026). Chatbot che si dichiara, contenuti etichettati dove serve: i casi nella guida all'art. 50.
  5. Rivaluta il ruolo a ogni cambio d'uso. Nuovo prodotto, nuovo marchio, nuova finalità: rifatti la domanda "sono ancora solo un utilizzatore?".

Le tre date che ti riguardano

DataCosa scattaRiferimento
2 febbraio 2025Alfabetizzazione AI (art. 4) e pratiche vietate (art. 5): già in vigoreArt. 113, lett. a)
2 agosto 2026Trasparenza (art. 50) e sanzioni della Commissione ai fornitori GPAI (art. 101)Art. 113
2 agosto 2027Adeguamento dei modelli GPAI immessi sul mercato prima del 2 agosto 2025Art. 111, par. 3

Il calendario completo, comprese le scadenze dell'alto rischio riviste dal Digital Omnibus, è nel pillar sugli obblighi AI Act per le PMI.

Domande frequenti

Se uso ChatGPT in azienda devo rispettare gli obblighi sui modelli GPAI? No. Gli artt. 53, 54 e 55 si rivolgono ai fornitori dei modelli e l'art. 101 sanziona solo loro. Chi usa ChatGPT, Claude o Copilot è un deployer (art. 3, punto 4): gli obblighi veri sono alfabetizzazione (art. 4), trasparenza (art. 50) e divieti (art. 5).

Devo dire ai clienti che uso ChatGPT? Non in generale. L'art. 50 impone trasparenza in casi precisi: chatbot che si dichiara AI, deepfake etichettati, testi generati pubblicati per informare il pubblico da dichiarare, salvo revisione umana con responsabilità editoriale. Una bozza di email riletta e firmata da te non va dichiarata.

Posso caricare dati dei clienti su ChatGPT? L'AI Act non lo vieta, ma non è l'unica norma che conta: GDPR, segreto professionale e accordi di riservatezza c'entrano eccome. La risposta prudente passa da una policy scritta: quali dati non si inseriscono mai, quali versioni business con garanzie contrattuali usare. Per i casi delicati, senti un legale.

Un GPT personalizzato o un fine-tuning mi rendono fornitore? Quasi mai. Le linee guida della Commissione (18 luglio 2025) fissano la soglia a un terzo del compute di addestramento originario: fuori scala per qualunque PMI. GPT personalizzati, istruzioni di sistema e RAG non contano. Attento invece se cambi la finalità verso un uso ad alto rischio (art. 25, par. 1, lett. c).

Che sanzioni rischia chi usa questi strumenti? Le sanzioni GPAI dell'art. 101 (fino a 15 milioni di euro o il 3% del fatturato) colpiscono solo i fornitori dei modelli, dal 2 agosto 2026. A te si applicano quelle sui tuoi obblighi, come l'art. 50: per le PMI vale il tetto più basso tra importo e percentuale (art. 99, par. 6).

Fonti: Regolamento (UE) 2024/1689 su EUR-Lex, testo italiano (consultato il 19 luglio 2026) · Commissione europea, Codice di buone pratiche GPAI (pubblicato il 10 luglio 2025) · Commissione europea, linee guida sul perimetro degli obblighi dei fornitori GPAI (approvate il 18 luglio 2025)


Policy d'uso e formazione del team sono esattamente il lavoro che facciamo nelle PMI, anche in presenza: mappiamo come usate l'AI, scriviamo le regole con voi e formiamo le persone per ruolo. Parliamone.