AI Act e PMI: cosa fare davvero entro agosto 2026
La maggior parte delle PMI italiane ha sentito parlare del 2 agosto 2026 come di una scadenza importante per l'AI Act. Molte aspettano ancora di capire cosa devono fare concretamente. Alcune pensano di essere già in ritardo su qualcosa di grande.
La situazione reale è diversa: a fine giugno 2026, il calendario è cambiato in modo significativo, e la scadenza più impegnativa è stata rinviata. Quello che rimane valido per agosto riguarda un insieme specifico di obblighi — gestibili, ma da non ignorare.
Il Digital Omnibus ha cambiato il calendario
Il Parlamento europeo (16 giugno 2026) e il Consiglio UE (29 giugno 2026) hanno approvato definitivamente il Digital Omnibus, un pacchetto di semplificazione normativa che include modifiche sostanziali all'AI Act.
Le novità più rilevanti per le aziende:
- I sistemi AI ad alto rischio autonomi elencati nell'Allegato III (sistemi HR per selezione del personale, scoring creditizio automatizzato, biometria, sistemi per l'accesso a servizi essenziali) hanno visto la loro scadenza di conformità spostata dal 2 agosto 2026 al 2 dicembre 2027.
- I sistemi AI integrati come componenti di sicurezza in prodotti già regolamentati (dispositivi medici, macchinari industriali, veicoli — Allegato I) hanno tempo fino al 2 agosto 2028.
Questa modifica alleggerisce notevolmente la pressione immediata su chi opera in settori dove l'AI Act avrebbe avuto l'impatto maggiore: HR tech, fintech, healthcare AI. Per la grande maggioranza delle PMI italiane, il quadro al 2 agosto 2026 è più circoscritto di quanto molti stiano comunicando.
Cosa rimane obbligatorio il 2 agosto 2026
Anche dopo il Digital Omnibus, la data del 2 agosto mantiene due obblighi concreti.
Trasparenza sui sistemi AI interattivi (Art. 50)
Se la tua azienda espone un chatbot o un sistema AI conversazionale agli utenti finali — clienti sul sito, utenti di un'app, interlocutori di un servizio di supporto automatizzato — devi informarli in modo chiaro che stanno interagendo con un sistema AI. L'obbligo scatta prima dell'inizio dell'interazione, non in una nota legale sepolta nel footer.
La stessa logica si applica ai contenuti AI-generati: immagini, audio e video prodotti artificialmente che potrebbero essere confusi con materiale reale devono essere identificabili come tali. I deepfake non consensuali vanno dichiarati esplicitamente.
La sanzione per violazione dell'Art. 50: fino a €15 milioni o il 3% del fatturato annuo globale.
Il regime sanzionatorio diventa pienamente operativo
Da agosto 2026, le autorità nazionali di vigilanza acquisiranno i pieni poteri sanzionatori previsti dall'Art. 99 del Regolamento. Violazioni già in corso — inclusa la mancata AI literacy del personale in vigore dal febbraio 2025 — possono tradursi in procedimenti formali. Non è una scadenza per iniziare a pensarci: è una scadenza per aver già fatto qualcosa.
I quattro livelli di rischio: dove si colloca la tua PMI
L'AI Act classifica i sistemi AI in quattro categorie. Capire dove si posiziona la tua azienda è il primo passo operativo.
Pratiche vietate (Art. 5) — In vigore dal 2 febbraio 2025. Include manipolazione subliminale, sfruttamento di vulnerabilità psicologiche, social scoring governativo. Quasi certamente non pertinente per una PMI standard.
Alto rischio (Allegato III) — Le otto aree specifiche comprendono: sistemi per selezione e valutazione del personale, scoring creditizio automatizzato, biometria, sistemi per l'accesso a servizi essenziali e benefici, infrastrutture critiche, istruzione e formazione, attività di contrasto, migrazione e controllo delle frontiere. Se usi o sviluppi sistemi in queste aree, hai obblighi pesanti — ma ora la scadenza è dicembre 2027.
Rischio limitato — Chatbot verso utenti finali, sistemi di riconoscimento delle emozioni, contenuti AI-generati: obblighi di trasparenza (Art. 50) dal 2 agosto 2026.
Rischio minimo — Filtri antispam, raccomandatori di prodotti, strumenti AI per l'efficienza interna su dati propri: nessun obbligo specifico. La maggior parte degli usi interni aziendali di strumenti come ChatGPT su documenti interni o Copilot nelle email rientra qui.
Cosa vale già dal 2025 (e che potresti aver trascurato)
L'Art. 4 sull'AI literacy è in vigore dal 2 febbraio 2025. Impone a fornitori e deployer di garantire che il personale che usa sistemi AI abbia una comprensione adeguata di questi strumenti: cosa fanno, come possono sbagliare, quando l'output va verificato.
Non è richiesto un certificato formale o un corso strutturato. Un registro degli interventi formativi — anche una sessione interna documentata — è sufficiente a dimostrare che l'obbligo è stato considerato. Ma qualcosa deve esserci.
Secondo l'Osservatorio AI del Politecnico di Milano (febbraio 2026), solo il 15% delle grandi imprese italiane monitorate ha avviato progetti strutturati di adeguamento all'AI Act. La percentuale per le PMI è presumibilmente inferiore.
Se i tuoi dipendenti usano strumenti AI in azienda senza aver mai affrontato una conversazione su come funzionano e sui loro limiti, sei tecnicamente fuori compliance da oltre un anno. Per la parte formativa, l'articolo Formazione AI per le PMI: obblighi AI Act e come iniziare copre nel dettaglio i criteri dell'Art. 4 e da dove partire.
Checklist pratica per luglio 2026
Entro il 2 agosto (urgente):
- I chatbot o assistenti AI che esponi agli utenti finali dichiarano esplicitamente di essere sistemi AI prima che l'interazione inizi?
- I contenuti AI-generati che pubblichi verso l'esterno (immagini, audio, video) sono identificabili come tali?
Già in vigore dal febbraio 2025 (verifica ora):
- Hai documentato che il personale che usa sistemi AI è stato informato su come funzionano e sui loro limiti?
- Hai un inventario — anche informale — dei sistemi AI che usi in azienda?
Da fare nel corso del 2026:
- Hai classificato i sistemi AI che usi rispetto all'Allegato III? (Se hai dubbi su sistemi HR o scoring, un parere legale vale l'investimento.)
- I contratti di trattamento dati (DPA) con i tuoi provider AI sono aggiornati e coprono i dati che passate attraverso i loro sistemi?
Per la grande maggioranza delle PMI italiane, il quadro immediato è gestibile. L'errore più frequente non è la non-conformità su sistemi ad alto rischio — quelli hanno ora un calendario più lungo — ma il disinteresse totale: nessuna formazione documentata, nessun inventario, nessuna disclosure sui chatbot.
Se volete valutare concretamente dove si trova la vostra azienda rispetto a questi obblighi, siamo disponibili per un confronto senza impegno.