N. 01 — Marzo 2026
IT EN DE
Il magazine europeo sull'AI privata

Guida

AI Act 2026: cosa devono sapere le PMI

Guida completa all'AI Act europeo per le PMI. Obblighi, scadenze, sanzioni, legge italiana 132/2025 e come prepararsi con soluzioni AI conformi come ORCA.

L’AI Act in breve

L’AI Act (Regolamento UE 2024/1689) è la prima legislazione al mondo che disciplina l’intelligenza artificiale in modo organico. Approvato dal Parlamento Europeo nel marzo 2024, stabilisce regole chiare per lo sviluppo, la distribuzione e l’uso di sistemi AI nell’Unione Europea.

Le date chiave:

Scadenza Obbligo
Febbraio 2025 Divieto dei sistemi AI a rischio inaccettabile
Agosto 2025 Obblighi per i modelli AI general-purpose (GPAI)
Agosto 2026 Obblighi per i sistemi AI ad alto rischio
Agosto 2027 Piena applicazione per tutti i sistemi

Cosa cambia per le PMI

L’AI Act non riguarda solo le big tech. Ogni azienda che usa, sviluppa o distribuisce sistemi AI in Europa deve valutare la propria posizione.

Classificazione del rischio

L’AI Act classifica i sistemi AI in quattro livelli:

  1. Rischio inaccettabile (vietati): social scoring, manipolazione subliminale, sorveglianza biometrica di massa
  2. Alto rischio (regolamentati): AI in ambito sanitario, finanziario, HR, istruzione, infrastrutture critiche
  3. Rischio limitato (obblighi di trasparenza): chatbot che devono dichiarare di essere AI
  4. Rischio minimo (nessun obbligo specifico): filtri spam, AI nei videogiochi

Cosa devono fare le PMI

Se la tua azienda usa un chatbot AI per interagire con clienti o analizzare dati sensibili, potresti rientrare nelle categorie a rischio limitato o alto. In tal caso, devi:

  • Documentare il sistema AI e il suo funzionamento
  • Garantire trasparenza: gli utenti devono sapere che interagiscono con un’AI
  • Implementare supervisione umana: un operatore deve poter intervenire
  • Mantenere un registro delle decisioni prese dall’AI
  • Valutare l’impatto sui diritti fondamentali

Il problema delle soluzioni cloud americane

Usare ChatGPT, Claude o Gemini attraverso le API cloud solleva criticità specifiche per l’AI Act:

  • Mancanza di trasparenza: non sai come funziona il modello internamente
  • Nessun controllo: non puoi intervenire sul comportamento dell’AI
  • Dati fuori dall’UE: i dati transitano su server non europei
  • Aggiornamenti unilaterali: il provider può cambiare il modello senza preavviso

La soluzione: AI on-premise conforme

Una piattaforma AI on-premise come ORCA risolve queste criticità:

  • Modelli open-source: trasparenza totale sul funzionamento
  • On-premise: i dati restano nell’infrastruttura aziendale
  • Audit trail: tracciabilità completa di ogni interazione
  • Controllo versioni: l’azienda decide quando e come aggiornare i modelli
  • Supervisione umana: integrata nell’architettura del sistema

HT-X supporta le aziende nel percorso di conformità AI Act, dalla valutazione del rischio all’implementazione di soluzioni conformi.

La legge italiana: Legge 132/2025

Oltre all’AI Act europeo, l’Italia ha approvato una propria legge nazionale sull’intelligenza artificiale: la Legge 23 settembre 2025, n. 132 (“Disposizioni e deleghe al Governo in materia di intelligenza artificiale”), vigente dal 2025.

La legge italiana non introduce obblighi aggiuntivi rispetto al Regolamento UE 2024/1689 (art. 3, comma 5), ma ne recepisce i principi e disciplina aspetti specifici per il contesto nazionale.

Cosa prevede per le aziende

Principi generali (art. 3): i sistemi AI devono essere sviluppati e utilizzati nel rispetto di trasparenza, proporzionalità, sicurezza, protezione dei dati personali, non discriminazione e sostenibilità. Deve essere sempre assicurata la sorveglianza e l’intervento umano.

Cybersicurezza (art. 3, comma 6): la sicurezza informatica è una precondizione essenziale lungo tutto il ciclo di vita dei sistemi AI, con un approccio proporzionale e basato sul rischio.

Lavoro (art. 11): l’AI in ambito lavorativo deve essere sicura, affidabile e trasparente. Il datore di lavoro è tenuto a informare il lavoratore dell’utilizzo dell’AI. È vietata ogni discriminazione.

Professioni intellettuali (art. 13): l’AI è consentita solo come supporto all’attività professionale, con prevalenza del lavoro intellettuale. Il professionista deve comunicare al cliente quali sistemi AI utilizza.

Pubblica amministrazione (art. 14): le PA possono usare l’AI per migliorare efficienza e servizi, ma la persona resta l’unica responsabile dei provvedimenti. Deve essere garantita la conoscibilità del funzionamento e la tracciabilità dell’uso.

Autorità nazionali (art. 20)

La legge designa due autorità nazionali per l’AI:

  • AgID (Agenzia per l’Italia Digitale): promuove l’innovazione e lo sviluppo dell’AI, gestisce le procedure di conformità e accreditamento
  • ACN (Agenzia per la Cybersicurezza Nazionale): vigila sui sistemi AI, incluse attività ispettive e sanzionatorie, e cura la cybersicurezza

Le due agenzie gestiscono congiuntamente gli spazi di sperimentazione (sandbox) per lo sviluppo di sistemi AI conformi.

Sanzioni penali (art. 26)

La legge introduce un’aggravante penale per i reati commessi mediante sistemi AI quando questi costituiscano mezzo insidioso o ostacolino la difesa. Introduce inoltre il reato di diffusione illecita di contenuti generati o alterati con AI (deepfake), punito con la reclusione da 1 a 5 anni.

Cosa significa per le PMI

La Legge 132/2025 conferma che il quadro normativo italiano è allineato all’AI Act europeo. Per le PMI, i punti chiave sono:

  1. Obbligo di informazione: se usi AI nel rapporto con clienti, dipendenti o pazienti, devi comunicarlo chiaramente
  2. Supervisione umana obbligatoria: la decisione finale resta sempre alla persona
  3. Cybersicurezza: i sistemi AI devono essere sicuri lungo tutto il loro ciclo di vita
  4. Sandbox disponibili: AgID e ACN offrono spazi di sperimentazione per sviluppare soluzioni conformi

Una soluzione on-premise come ORCA permette di rispettare nativamente questi requisiti: trasparenza, tracciabilità, supervisione umana e sicurezza dei dati sono integrate nell’architettura.

Prepararsi ora: i 5 passi

  1. Inventario AI: elenca tutti i sistemi AI che la tua azienda usa o sviluppa
  2. Classificazione rischio: determina il livello di rischio per ciascun sistema
  3. Gap analysis: identifica cosa manca per la conformità
  4. Migrazione: adotta soluzioni trasparenti e controllabili (come ORCA)
  5. Formazione: prepara il personale sugli obblighi e le best practice

Domande frequenti

L'AI Act (Regolamento UE 2024/1689) è la prima legge al mondo che regola l'intelligenza artificiale. È stato approvato nel 2024 e gli obblighi principali per le aziende entrano in vigore progressivamente tra il 2025 e il 2027. Dal 2026, le aziende che usano sistemi AI ad alto rischio devono essere conformi.

Sì. L'AI Act si applica a tutte le aziende che sviluppano, distribuiscono o usano sistemi AI nell'Unione Europea, indipendentemente dalla dimensione. Le PMI hanno alcune agevolazioni (sandbox regolamentari, costi ridotti per la conformità), ma non sono esentate dagli obblighi fondamentali.

Le sanzioni possono arrivare fino a 35 milioni di euro o il 7% del fatturato globale annuo (se superiore). Per le PMI, le sanzioni sono proporzionate, ma rimangono significative. La non conformità può anche comportare il divieto di commercializzare il sistema AI.

I passi fondamentali sono: 1) Inventariare tutti i sistemi AI in uso, 2) Classificare il livello di rischio di ciascun sistema, 3) Implementare la documentazione tecnica richiesta, 4) Adottare soluzioni AI trasparenti e tracciabili come ORCA, 5) Formare il personale sugli obblighi.

Sì. ORCA è progettato per la conformità AI Act: offre trasparenza totale (modelli open-source), tracciabilità completa (audit trail), controllo umano (supervisione integrata), e documentazione tecnica. Essendo on-premise, l'azienda mantiene il pieno controllo del sistema.

Sì. La Legge 23 settembre 2025, n. 132 è la legge italiana sull'intelligenza artificiale. Si applica in conformità al Regolamento UE 2024/1689 (AI Act) e disciplina principi, obblighi settoriali (sanità, lavoro, PA, giustizia, professioni) e designa AgID e ACN come Autorità nazionali per l'AI.

Cerchi un ChatGPT privato per la tua azienda?

ORCA è la piattaforma AI on-premise di HT-X (Human Technology eXcellence): i tuoi dati restano tuoi, conforme GDPR e AI Act.

Scopri ORCA