Sanzioni AI Act: importi reali, regola PMI e chi controlla in Italia
19 luglio 2026
Le multe fino a 35 milioni fanno titolo, ma raccontano metà della storia. Per le PMI l'art. 99 fissa sempre il tetto più basso tra importo fisso e percentuale del fatturato. E in Italia l'autorità che dovrebbe multare non ha ancora i poteri per farlo.
Art. 99 e 101 del Regolamento (UE) 2024/1689, più la Legge 132/2025 per l'Italia · riguarda ogni azienda che usa o fornisce sistemi di AI · aggiornato al 19 luglio 2026.
I titoli sulle sanzioni AI Act parlano di multe fino a 35 milioni di euro o al 7% del fatturato mondiale. Numeri veri, ma raccontati a metà: il Regolamento contiene una regola scritta apposta per le PMI che quasi nessuno cita, e in Italia l'autorità che dovrebbe multare non ha ancora i poteri per farlo. Qui trovi importi reali, regola PMI e a che punto sono i controlli in Italia.
Guida informativa, non consulenza legale.
In sintesi
- Tre fasce nell'art. 99: 35 milioni/7% pratiche vietate (par. 3), 15 milioni/3% obblighi degli operatori (par. 4), 7,5 milioni/1% informazioni inesatte (par. 5).
- La regola da ricordare (par. 6): per PMI e start-up vale sempre il minore tra importo fisso e percentuale del fatturato; per le grandi imprese il maggiore. Il tetto reale di una PMI lo fissa il fatturato.
- In Italia i poteri sanzionatori nazionali non sono ancora operativi: la delega al Governo scade a ottobre 2026.
Le tre fasce dell'art. 99 (più una a parte)
L'art. 99 gradua le sanzioni su tre livelli:
| Violazione | Importo massimo | Riferimento |
|---|---|---|
| Pratiche di AI vietate (art. 5) | 35 milioni di euro o 7% del fatturato mondiale, se superiore | Art. 99, par. 3 |
| Obblighi degli operatori, inclusi deployer (art. 26) e trasparenza (art. 50) | 15 milioni o 3%, se superiore | Art. 99, par. 4 |
| Informazioni inesatte, incomplete o fuorvianti alle autorità | 7,5 milioni o 1%, se superiore | Art. 99, par. 5 |
La fascia intermedia è quella che interessa la maggior parte delle PMI: copre sia gli obblighi dei deployer di sistemi ad alto rischio (art. 26) sia la trasparenza dell'art. 50, dal chatbot che non si dichiara al deepfake senza etichetta.
Discorso a parte per l'art. 101: sanzioni per i fornitori di modelli GPAI (fino a 15 milioni o 3%), irrogate dalla Commissione europea. Riguardano chi sviluppa i modelli, non le PMI che li usano.
La regola PMI: vale sempre il tetto più basso
È il paragrafo che i titoli da 35 milioni dimenticano. L'art. 99, par. 6 dice testualmente:
"Nel caso delle PMI, comprese le start-up, ciascuna sanzione pecuniaria di cui al presente articolo è pari al massimo alle percentuali o all'importo di cui ai paragrafi 3, 4 e 5, se inferiore."
Tradotto: per le grandi imprese il massimo è il maggiore tra importo fisso e percentuale; per PMI e start-up è il minore dei due. Stessa violazione, tetto opposto.
Un esempio numerico, dichiaratamente ipotetico: una PMI con 2 milioni di euro di fatturato mondiale annuo viola un obbligo della fascia intermedia. Il 3% di 2 milioni è 60.000 euro: il suo tetto massimo è quello, non 15 milioni. È il calcolo del massimo teorico, non una previsione della multa: i criteri di proporzionalità possono ridurre parecchio l'importo effettivo.
Non è l'unica tutela: il par. 1 dell'art. 99 impone che le sanzioni nazionali "tengano conto degli interessi delle PMI, comprese le start-up, e della loro sostenibilità economica". In breve: la multa non deve distruggere l'impresa.
Il mantra, ancora: per una PMI il tetto reale lo fissa il fatturato, non il numero che fa titolo.
I criteri che decidono l'importo (art. 99, par. 7)
Tra zero e il tetto, l'autorità pesa la situazione concreta con i criteri del par. 7:
- natura, gravità e durata della violazione;
- numero di persone coinvolte e danno causato;
- sanzioni già inflitte da altre autorità;
- dimensioni, fatturato annuo e quota di mercato dell'operatore;
- aggravanti o attenuanti, come i benefici ottenuti o le perdite evitate;
- cooperazione con le autorità e azioni per attenuare il danno;
- grado di responsabilità, dolo o colpa;
- come l'autorità ha scoperto la violazione (autonotifica inclusa).
Cooperare, rimediare e autonotificare pesano a favore: chi documenta e reagisce bene parte da una posizione molto diversa.
Da quando si multa davvero
Le sanzioni colpiscono solo obblighi già applicabili, quindi le date contano:
| Data | Cosa scatta sul fronte sanzioni |
|---|---|
| 2 agosto 2025 | Regime sanzionatorio nazionale (Capo XII, escluso l'art. 101) |
| 2 agosto 2026 | Sanzioni GPAI della Commissione (art. 101) e trasparenza art. 50 |
| 2 dicembre 2027 | Sanzionabilità piena dell'alto rischio Allegato III (rinvio Omnibus: confermato dalle istituzioni UE, in attesa di pubblicazione in Gazzetta) |
Il calendario completo fino al 2030 è nel pillar sugli obblighi AI Act per le PMI.
Chi vigila e chi multa in Italia
La Legge 132/2025 (art. 20) assegna i ruoli: AgID autorità di notifica, ACN autorità di vigilanza del mercato e punto di contatto unico con l'UE, con Banca d'Italia, CONSOB e IVASS nei rispettivi settori e il Garante privacy per la protezione dei dati.
Un punto spesso trascurato: i poteri sanzionatori nazionali non sono ancora operativi. La legge ha designato le autorità, ma i poteri ispettivi e sanzionatori passano da una delega al Governo (art. 24) che scade a ottobre 2026. Il 10 giugno 2026 il Consiglio dei ministri ha approvato in via preliminare due schemi di decreto attuativo; l'adozione definitiva è da confermare. Fanno eccezione le sanzioni GPAI dell'art. 101, in capo alla Commissione europea dal 2 agosto 2026.
Questo vuoto non è però una zona franca: gli obblighi europei valgono comunque, e i comportamenti di oggi peseranno quando i decreti arriveranno.
Cosa rischia davvero una PMI nel 2026
Tre profili, in ordine di esposizione crescente.
Usi strumenti generativi e hai formato il team: rischio basso. Chi usa ChatGPT o simili, ha censito gli usi e documentato la formazione è nella fascia di rischio più bassa. Gli obblighi sui modelli gravano sui fornitori, non su di te.
Chatbot che non si dichiara o contenuti generati senza etichetta: esposizione concreta dal 2 agosto 2026. È la fascia dell'art. 99, par. 4 (15 milioni o 3%, per una PMI il minore dei due): non la violazione più grave, ma la più facile da commettere per distrazione e la più semplice da sistemare.
Usi pratiche vietate: l'unico caso serio. Analisi delle emozioni dei dipendenti, social scoring, manipolazione: la fascia massima (par. 3) esiste per questo, ed è in vigore dal 2 febbraio 2025. Se un vendor te lo propone, la risposta prudente è no.
E la formazione? Nell'elenco dell'art. 99 non c'è una sanzione dedicata all'obbligo di alfabetizzazione dell'art. 4. Ma pesa eccome: nei criteri del par. 7, un team mai formato racconta un'azienda poco diligente; uno formato e documentato, il contrario.
Come ridurre l'esposizione: quattro mosse
- Conformità documentata. Censimento degli usi di AI, registro di ciò che hai fatto, valutazioni dei vendor: in un controllo, la carta fa la differenza.
- Trasparenza a posto entro agosto. Chatbot che si dichiara al primo contatto, etichette sui contenuti generati dove servono.
- Formazione per ruolo, con attestati. Copre l'art. 4 e migliora la tua posizione su ogni criterio di diligenza.
- Cooperazione se qualcosa va storto. Rispondere, rimediare e, nei casi giusti, autonotificare: il par. 7 li conta tutti a favore.
Per costruire le competenze, dal nostro catalogo: per la parte normativa il Master LUISS in AI, regolamentazione, etica e società (8.000 euro); per chi governa il tema AI per il business di SDA Bocconi (2.500 euro); per una base solida il Corso Base di Aulab (99 euro) e Introduction to Generative AI di Google (gratuito). Altri percorsi nella categoria AI, etica e regolamentazione. Alcuni link sono affiliati: per te il prezzo non cambia. I prezzi sono quelli del nostro catalogo: verifica sulla pagina del formatore, possono variare.
Domande frequenti
Le multe dell'AI Act sono già operative in Italia? Non del tutto. Il regime sanzionatorio europeo si applica dal 2 agosto 2025, ma le autorità italiane non hanno ancora i poteri sanzionatori: servono i decreti attuativi della delega, attesi entro ottobre 2026. Le sanzioni GPAI dell'art. 101 le gestisce la Commissione dal 2 agosto 2026.
L'art. 4 sull'alfabetizzazione ha una sanzione? No, nell'elenco dell'art. 99 non c'è una sanzione dedicata all'art. 4. La formazione mancante però pesa come criterio di diligenza nella commisurazione di qualunque altra multa (par. 7): un team formato e documentato è un'attenuante concreta, oltre che il modo migliore per non violare il resto.
Le sanzioni da 35 milioni valgono anche per le PMI? Il massimo di 35 milioni o 7% riguarda solo le pratiche vietate dell'art. 5. E per PMI e start-up l'art. 99, par. 6 applica sempre il minore tra importo fisso e percentuale del fatturato: il tetto reale di una piccola impresa è una frazione di quei numeri.
Quanto rischia una PMI che usa solo ChatGPT? Poco, se ha fatto i compiti: gli obblighi sui modelli gravano su chi li fornisce. Restano l'alfabetizzazione del personale (art. 4, già in vigore) e la trasparenza dal 2 agosto 2026 per chatbot e contenuti pubblicati. Con formazione documentata, il profilo di rischio è basso.
Chi decide l'importo della multa? L'autorità di vigilanza competente (in Italia sarà ACN, salvo i settori di Banca d'Italia, CONSOB e IVASS), con i criteri dell'art. 99, par. 7: gravità, durata, danno, dimensioni, cooperazione, autonotifica, dolo o colpa. Per le PMI valgono inoltre il tetto più basso e la sostenibilità economica.
Fonti
- Regolamento (UE) 2024/1689, testo italiano su EUR-Lex (artt. 99, 101, 113)
- Legge 23 settembre 2025, n. 132, Gazzetta Ufficiale Serie generale n. 223 del 25-9-2025 (artt. 20 e 24)
- Parlamento europeo, comunicato sul voto del Digital Omnibus, 16 giugno 2026
- Consiglio dell'UE, accordo provvisorio sul Digital Omnibus, 7 maggio 2026
La multa si evita prima, non si negozia dopo: la via più concreta per ridurre l'esposizione è avere processi in ordine e persone formate. È il lavoro che facciamo ogni settimana con le PMI, anche in presenza: parliamone.