Innovation Manager Formatori di Docenti e in Imprese, insegnanti e informatici Consulenti gestionali e finanziari Dal 2022
Mantova · Brescia · Bergamo · Cremona · Verona di persona; ma internet non ha limiti fisici: in tutta Italia.
AI per l'Impresa

AI Act 2026: cosa deve fare davvero una PMI

"AI Act" suona come un problema da grande azienda con un ufficio legale dedicato. In realtà il regolamento europeo riguarda anche le PMI, e nella maggior parte dei casi gli adempimenti sono molto più semplici di quanto si tema. Il rischio vero non è la sanzione: è usare l'AI senza regole, perdendo controllo su dati e know-how. Vediamo cosa serve davvero, senza burocratese.

Cos'è l'AI Act, in un minuto

L'AI Act è il Regolamento UE 2024/1689, la prima normativa organica al mondo sull'intelligenza artificiale. Non vieta l'AI: la classifica in base al rischio dell'uso che se ne fa e impone obblighi proporzionati. Più l'applicazione può incidere su diritti e sicurezza delle persone, più gli obblighi crescono.

L'AI Act non chiede "che software usi", ma "per fare cosa, su quali dati e con quali tutele".

"La mia è una piccola impresa, mi riguarda?"

Quasi sempre sì, ma come utilizzatore (in gergo deployer), non come sviluppatore. Se i tuoi collaboratori usano ChatGPT per scrivere email, un assistente AI per il customer care o uno strumento di analisi automatica dei CV, stai già impiegando sistemi di AI nella tua attività. Gli obblighi per chi usa l'AI sono molto più leggeri di quelli per chi la produce — ma esistono, soprattutto in tema di trasparenza e di tutela dei dati.

I livelli di rischio (e dove si colloca una PMI)

  • Rischio inaccettabile — pratiche vietate (es. social scoring). Non riguarda l'operatività tipica di una PMI.
  • Alto rischio — usi delicati come selezione del personale o valutazione del merito creditizio: qui scattano obblighi seri di controllo e documentazione.
  • Rischio limitato — è il caso più comune per una PMI: chatbot e contenuti generati dall'AI, dove conta soprattutto la trasparenza verso clienti e dipendenti.
  • Rischio minimo — la grande maggioranza degli usi quotidiani, con obblighi minimi.
In pratica: la maggior parte delle PMI ricade tra rischio limitato e minimo. L'adempimento centrale non è tecnico, è organizzativo: sapere chi usa cosa, su quali dati, e averlo messo per iscritto.

Cosa deve fare concretamente una PMI

  • Fare l'inventario degli usi AI — quali strumenti, in quali reparti, su quali dati (clienti, dipendenti, documenti riservati).
  • Adottare una policy d'uso interna — regole chiare su cosa si può e non si può inserire negli strumenti AI, responsabilità e tutela dei dati.
  • Garantire trasparenza — segnalare quando un contenuto o una risposta è generata dall'AI, verso clienti e collaboratori.
  • Presidiare il GDPR — l'AI Act non sostituisce la privacy: i due piani vanno tenuti insieme.
  • Formare le persone — la regola serve a poco se chi lavora non sa come applicarla. Una breve formazione mirata risolve gran parte dei rischi.

Le scadenze che contano

Il regolamento si applica per fasi: alcuni divieti e obblighi di alfabetizzazione sono già operativi, mentre gli obblighi più stringenti (legati agli usi ad alto rischio) entrano in vigore in modo scaglionato nei mesi successivi. Per una PMI il messaggio pratico è semplice: non serve aspettare la scadenza per dotarsi di una policy e di un minimo di governance — è il modo più economico per non trovarsi impreparati.

In sintesi

Per la maggior parte delle PMI, essere "in regola con l'AI Act" significa sapere come l'AI viene usata in azienda, averlo scritto in una policy e aver formato chi la usa. È un lavoro alla portata di tutti, e si fa una volta sola per poi mantenerlo. È esattamente il percorso dell'AI Test Aziendale, riunito con policy e formazione nel Kit AI Compliance.

Domande frequenti

Sì. Si applica anche a chi usa sistemi di AI nella propria attività (i deployer), non solo a chi li sviluppa. Gli obblighi sono proporzionati al livello di rischio dell'uso che ne fai.

Oltre alle sanzioni previste dal regolamento, il rischio concreto per una PMI è la perdita di controllo sui dati, problemi GDPR e l'uso non governato dell'AI da parte dei collaboratori. Una policy interna riduce questi rischi.

Da una fotografia di come l'AI viene già usata in azienda: quali strumenti, su quali dati, da chi. Da lì si definiscono policy e piano di formazione. È esattamente ciò che fa l'AI Test Aziendale.

Vuoi mettere ordine nell'uso dell'AI?

Parti dal colloquio gratuito: fotografiamo come usi l'AI oggi e definiamo policy e formazione su misura.