Obblighi AI Act per le PMI italiane: calendario e checklist 2026
19 luglio 2026
Due obblighi dell'AI Act valgono già per ogni PMI che usa l'AI, uno scatta il 2 agosto 2026 e il grosso slitta al 2027-2028. Il calendario aggiornato dopo il Digital Omnibus, cosa fare entro quando e la checklist per mettersi in regola senza panico.
Regolamento (UE) 2024/1689 · riguarda ogni azienda che usa sistemi di AI · aggiornato al 19 luglio 2026, dopo l'approvazione del Digital Omnibus.
Se nella tua azienda qualcuno usa ChatGPT per le email, un chatbot risponde ai clienti sul sito o un software con AI filtra i CV, l'AI Act ti riguarda già. Non tra un anno: alcune parti sono in vigore dal 2 febbraio 2025. Il problema è che sulle date circola parecchia confusione, peggiorata dal fatto che a giugno 2026 il Digital Omnibus ha spostato alcune scadenze e altre no. Questa guida mette in fila cosa vale già, cosa scatta il 2 agosto 2026 e cosa slitta, con una checklist per capire da dove iniziare.
Questa è una guida informativa, non una consulenza legale: per la tua situazione specifica confrontati con un legale. Quello che facciamo qui è tradurre il Regolamento in decisioni operative.
In sintesi
- Già in vigore dal 2 febbraio 2025: divieto delle pratiche vietate (art. 5) e alfabetizzazione AI del personale (art. 4).
- Dal 2 agosto 2026: obblighi di trasparenza dell'art. 50 (chatbot, contenuti generati, deepfake). Questa data non slitta.
- Slittato al 2 dicembre 2027: il pacchetto alto rischio dell'Allegato III (HR, credito, istruzione) con gli obblighi dell'art. 26 per chi lo usa.
- Le sanzioni per le PMI sono proporzionate: vale sempre il tetto più basso tra importo fisso e percentuale del fatturato (art. 99, par. 6).
- La regola da ricordare: le date non sono tutte uguali. Due obblighi valgono già, uno arriva ad agosto, il grosso slitta. Chi tratta l'AI Act come un'unica scadenza sbaglia due volte: si allarma per ciò che slitta e ignora ciò che è già in vigore.
Prima cosa: nell'AI Act tu sei (quasi sempre) un deployer
Il Regolamento distingue tra fornitori (chi sviluppa e vende sistemi di AI) e deployer (chi li usa in ambito professionale). Una PMI che usa strumenti comprati o in abbonamento è un deployer: gli obblighi pesanti da fornitore non la riguardano, quelli da utilizzatore sì. È la distinzione che risolve metà dei dubbi: prima di chiederti "cosa devo fare", chiediti "in quale ruolo sono". Se usi ChatGPT, Claude o Copilot così come sono, resti deployer; il confine si supera solo in casi particolari che vediamo nell'articolo su ChatGPT in azienda e i modelli GPAI.
Il calendario completo, dopo il Digital Omnibus
Il Digital Omnibus è il pacchetto di semplificazione approvato dal Parlamento Europeo il 16 giugno 2026 e adottato dal Consiglio il 29 giugno 2026. Alla data di questo articolo il testo non risulta ancora pubblicato in Gazzetta ufficiale UE: le nuove date sono confermate dalle istituzioni, la pubblicazione formale è attesa a giorni. Ecco il quadro:
| Data | Cosa scatta | Riferimento |
|---|---|---|
| 2 febbraio 2025 | Pratiche vietate (art. 5) e alfabetizzazione AI (art. 4). Già in vigore | Art. 113, lett. a) |
| 2 agosto 2025 | Obblighi per i fornitori di modelli GPAI e regime sanzionatorio nazionale | Art. 113, lett. b) |
| 2 agosto 2026 | Trasparenza art. 50 (chatbot, contenuti generati, deepfake) per i sistemi nuovi; sanzioni GPAI della Commissione | Art. 113 |
| 2 dicembre 2026 | Fine del periodo di grazia per la marcatura dei contenuti dei sistemi già sul mercato (novità Omnibus, in attesa di Gazzetta) | Modifica Omnibus |
| 2 dicembre 2027 | Alto rischio Allegato III e obblighi deployer art. 26 (era il 2 agosto 2026, rinviato dall'Omnibus) | Art. 113 modificato |
| 2 agosto 2028 | Alto rischio dentro prodotti regolamentati, Allegato I (era il 2 agosto 2027) | Art. 113, lett. c) modificata |
| 2 agosto 2030 | Adeguamento dei sistemi alto rischio già in uso presso autorità pubbliche | Art. 111, par. 2 |
Nota sui sistemi già in uso: un sistema ad alto rischio già sul mercato prima del 2 agosto 2026 resta fuori dal Regolamento finché non subisce modifiche significative della progettazione (art. 111, par. 2). I divieti dell'art. 5 valgono comunque per tutti.
Gli obblighi uno per uno
Già in vigore: le pratiche vietate (art. 5)
Dal 2 febbraio 2025 alcune pratiche sono vietate per chiunque, anche per chi usa sistemi comprati da terzi: manipolazione dannosa, social scoring, riconoscimento delle emozioni sul posto di lavoro, scraping non mirato di volti. Per la maggior parte delle PMI il rischio qui è basso, con un'eccezione concreta: strumenti di monitoraggio dei dipendenti che deducono stati emotivi. Se un vendor te ne propone uno, la risposta prudente è no.
Già in vigore: l'alfabetizzazione AI (art. 4)
Chi usa sistemi di AI in azienda deve sostenere un livello adeguato di alfabetizzazione AI del personale, proporzionato a ruoli e rischi. È l'obbligo più trasversale del Regolamento, è attivo dal 2 febbraio 2025 e non ha una scadenza ad agosto. Ne abbiamo scritto una guida dedicata con i passi pratici e i corsi per fascia. Il punto essenziale: "adeguato" si dimostra, quindi censimento degli usi, formazione per ruolo e documentazione.
Dal 2 agosto 2026: la trasparenza (art. 50)
Il chatbot deve dichiarare di essere un'AI, i deepfake vanno etichettati, i testi generati dall'AI e pubblicati per informare il pubblico vanno dichiarati (con un'eccezione importante se c'è revisione umana editoriale). È l'obbligo che scatta davvero il 2 agosto 2026 e il Digital Omnibus non lo ha rinviato: se il tuo sito ha un chatbot o pubblichi contenuti generati, è la priorità di quest'estate. Obblighi, eccezioni e casi concreti nell'articolo sull'art. 50 e la trasparenza per chi usa l'AI.
Dal 2 dicembre 2027: l'alto rischio (Allegato III e art. 26)
Screening dei CV, valutazione del merito creditizio, proctoring nella formazione: se usi AI in questi ambiti, il sistema è "ad alto rischio" e da deployer avrai obblighi veri (sorveglianza umana formata, controllo dei dati di input, conservazione dei log, informazione preventiva dei lavoratori). L'Omnibus ha spostato la scadenza dal 2 agosto 2026 al 2 dicembre 2027: più tempo, non un condono. La mappatura conviene farla ora, con calma: la guida all'alto rischio e all'Allegato III spiega come capire se sei dentro e cosa preparare.
I modelli generativi: cosa ricade su chi li usa
Gli obblighi del Capo V sui modelli GPAI (documentazione, copyright, trasparenza sull'addestramento) gravano sui fornitori dei modelli, non su chi li usa. Per una PMI che lavora con ChatGPT o Claude gli obblighi veri restano art. 4 e art. 50, più una policy interna sensata. Quando l'uso si spinge oltre (fine-tuning pesante, rivendere un sistema col proprio marchio) il quadro cambia: i confini nell'articolo su ChatGPT in azienda.
Le sanzioni: informarsi senza farsi spaventare
Le multe massime dell'AI Act fanno titolo (fino a 35 milioni di euro o il 7% del fatturato mondiale per le pratiche vietate), ma per le PMI l'art. 99, par. 6 fissa una regola precisa: si applica sempre il minore tra importo fisso e percentuale. E in Italia i poteri sanzionatori nazionali non sono ancora operativi: la delega al Governo scade a ottobre 2026. Fasce, criteri di proporzionalità e chi vigila davvero nell'articolo sulle sanzioni dell'AI Act.
Checklist: cosa fare entro quando
Subito (obblighi già in vigore)
- Censisci gli usi di AI in azienda: quali team, quali strumenti, per quali attività. Un foglio condiviso basta.
- Verifica di non ricadere in una pratica vietata (in particolare: niente analisi delle emozioni sui dipendenti).
- Imposta l'alfabetizzazione AI per ruolo e documentala: la guida all'art. 4 ha i passi e i corsi per fascia.
Entro il 2 agosto 2026 (trasparenza)
- Se hai un chatbot rivolto a clienti o utenti: fagli dichiarare che è un'AI al primo contatto, non nei termini di servizio.
- Mappa i contenuti generati con AI che pubblichi (testi, immagini, video) e decidi cosa va etichettato secondo l'art. 50. I sistemi già in uso hanno una finestra in più, fino al 2 dicembre 2026, per la marcatura tecnica.
Entro fine 2027 (alto rischio, senza ansia ma senza rinvii infiniti)
- Verifica se qualche strumento che usi rientra nell'Allegato III: HR e selezione, credito, formazione. Chiedi al vendor come si classifica.
- Se sei dentro: pianifica sorveglianza umana formata, gestione dei log e informazione dei lavoratori prima dell'uso (art. 26). Sono processi, non adempimenti dell'ultimo minuto.
Sempre
- Tieni un registro di ciò che hai fatto: censimenti, formazione erogata, etichette applicate, valutazioni dei vendor. In un eventuale controllo, la documentazione è la differenza tra una conversazione e un problema.
Chi vigila in Italia
La Legge 132/2025 (in vigore dal 10 ottobre 2025) designa AgID come autorità di notifica e ACN come autorità di vigilanza del mercato, con Banca d'Italia, CONSOB e IVASS nei rispettivi settori e il Garante privacy per la protezione dei dati. I decreti attuativi con i poteri sanzionatori nazionali sono attesi entro ottobre 2026: fino ad allora l'enforcement italiano è in costruzione, ma gli obblighi europei valgono comunque.
Domande frequenti
L'AI Act vale anche per una microimpresa di 5 persone? Sì, se usa sistemi di AI. Ma il Regolamento è esplicito sulla proporzionalità: a una microimpresa si chiede molto meno che a una banca, e le sanzioni per le PMI hanno il tetto più basso tra i due previsti (art. 99, par. 6). Il minimo sindacale oggi: alfabetizzazione documentata e trasparenza del chatbot se ne hai uno.
Cosa scatta esattamente il 2 agosto 2026? Gli obblighi di trasparenza dell'art. 50 per i sistemi nuovi e le sanzioni della Commissione sui fornitori di modelli GPAI. Non scatta l'obbligo di formazione (in vigore da febbraio 2025) e non scatta più l'alto rischio, rinviato al 2 dicembre 2027 dal Digital Omnibus.
Il Digital Omnibus ha rinviato tutto? No, e qui nascono gli equivoci. Ha rinviato l'alto rischio (Allegato III al 2 dicembre 2027, Allegato I al 2 agosto 2028) e ha concesso una finestra fino al 2 dicembre 2026 per la marcatura dei contenuti dei sistemi già in uso. Art. 4 e art. 50 restano alle date originali.
Uso solo ChatGPT: devo fare qualcosa? Sì, due cose: formare chi lo usa (art. 4, già in vigore) e rispettare la trasparenza quando pubblichi contenuti generati o usi chatbot verso l'esterno (art. 50, dal 2 agosto 2026). Gli obblighi sui modelli GPAI del Capo V riguardano OpenAI e gli altri fornitori, non l'azienda che li usa.
Chi controlla e multa in Italia? La vigilanza di mercato spetta ad ACN (con AgID come autorità di notifica), ma i poteri sanzionatori nazionali richiedono decreti attuativi attesi entro ottobre 2026. Le sanzioni sui fornitori GPAI le gestisce direttamente la Commissione europea dal 2 agosto 2026.
Da dove inizio se non ho un ufficio legale? Tre passi, nell'ordine: censimento degli usi di AI, formazione documentata del personale, trasparenza verso l'esterno. Sono passi che una PMI fa con buon senso e qualche ora di lavoro, non progetti da consulenza milionaria. Il punto più delicato resta la formazione, perché è l'unico obbligo che tocca le persone e non i tool: se vuoi un percorso per ruolo, dai un'occhiata a come portiamo la formazione AI in azienda.
Per costruire le competenze interne, dal nostro catalogo: per chi governa il tema, AI per il business di SDA Bocconi o AI for Professionals di POLIMI GSOM; per la parte normativa, il Master LUISS in AI, regolamentazione, etica e società; per la base di tutto il team, Introduction to Generative AI di Google (gratuito) e Google AI Essentials. Altri percorsi nella categoria AI, etica e regolamentazione e AI per il business. Alcuni link sono affiliati: per te il prezzo non cambia.
Fonti: Regolamento (UE) 2024/1689 su EUR-Lex, testo italiano · Parlamento europeo, comunicato sul voto del Digital Omnibus (16 giugno 2026) · Consiglio dell'UE, accordo sul Digital Omnibus (7 maggio 2026) · Legge 23 settembre 2025, n. 132 (GU Serie generale n. 223 del 25-9-2025)
Vuoi mettere in regola l'azienda partendo dalla formazione, che è un obbligo già in vigore per tutti? È il lavoro che facciamo ogni settimana con le PMI: parliamone. Descrivici come usate l'AI e costruiamo il percorso su misura, anche in presenza.