In sintesi. L’EU AI Act è il Regolamento (UE) 2024/1689, pubblicato nella Gazzetta Ufficiale dell’Unione Europea il 12 luglio 2024 ed entrato in vigore il 1 agosto 2024. È la prima legge organica al mondo sull’intelligenza artificiale. Si applica a tutte le imprese che sviluppano o utilizzano sistemi di AI nel proprio lavoro, comprese le PMI italiane, senza eccezioni legate alla dimensione aziendale. L’applicazione delle norme è scaglionata fra il 2025 e il 2027. Il primo obbligo già in vigore è l’AI Literacy del personale (Art. 4), dal 2 febbraio 2025.
Questa guida copre tutto quello che una PMI italiana deve sapere per essere in regola: definizioni, ambito di applicazione, calendario, sanzioni, checklist operativa, errori da evitare. È pensata per essere letta da imprenditori, direttori HR, responsabili legali e IT manager che non hanno tempo di leggere 458 pagine di regolamento.
Cos’è l’EU AI Act?
L’EU AI Act è la prima legge europea organica sull’intelligenza artificiale. Pubblicato come Regolamento (UE) 2024/1689 il 12 luglio 2024, classifica i sistemi di AI in base al rischio (inaccettabile, alto, limitato, minimo) e impone obblighi proporzionati. Si applica direttamente in tutti gli Stati membri dell’Unione Europea senza necessità di recepimento nazionale.
Il regolamento ha un’impostazione “risk-based”: non vieta l’intelligenza artificiale, ma stabilisce regole differenti in base all’uso. Una piattaforma di scoring del credito basata su AI è ad alto rischio (Allegato III). Un chatbot per il servizio clienti rientra invece negli obblighi di trasparenza (Art. 50). L’uso di AI per categorizzare le persone in base a opinioni politiche o orientamento sessuale è proibito (Art. 5).
Tre punti chiave da tenere a mente. Primo: il regolamento è già in vigore dal 1 agosto 2024, ma gli obblighi diventano applicabili in fasi successive. Secondo: si applica anche alle PMI, senza esenzioni dimensionali, anche se il regolamento prevede misure di supporto specifiche per piccole e medie imprese (Art. 62-63). Terzo: la responsabilità della conformità è del datore di lavoro che usa o sviluppa l’AI, non del fornitore del modello.
A chi si applica?
L’EU AI Act si applica a chiunque sviluppi o utilizzi sistemi di intelligenza artificiale per finalità professionali nell’Unione Europea, comprese le PMI italiane. Il regolamento distingue principalmente fra due ruoli: provider (chi sviluppa e mette sul mercato un sistema di AI) e deployer (chi lo utilizza nel proprio lavoro). La stragrande maggioranza delle PMI italiane è deployer.
Per una PMI italiana, il punto critico è l’estensione dell’ambito soggettivo. Sei un deployer ai sensi del regolamento se la tua azienda usa anche solo strumenti generalisti come ChatGPT, Claude, Microsoft Copilot, Gemini, Perplexity quando questi sono impiegati nel lavoro quotidiano. Non conta che il tool sia gratuito, non conta che sia stato installato autonomamente dal dipendente: conta l’uso professionale.
L’errore più comune è pensare che il regolamento riguardi solo chi “sviluppa AI”. Falso. Riguarda anche chi la usa. E poiché praticamente ogni PMI italiana oggi ha almeno un dipendente che usa un assistente conversazionale per scrivere email, preparare verbali, riassumere documenti o cercare informazioni, praticamente ogni PMI italiana ricade nell’ambito di applicazione.
Cosa dice l’Articolo 4?
L’Articolo 4 del Regolamento (UE) 2024/1689 obbliga i provider e i deployer a garantire un livello sufficiente di alfabetizzazione in materia di AI (“AI literacy”) al personale e ad altri soggetti che si occupano del funzionamento e dell’uso dei sistemi di AI per loro conto. È applicabile dal 2 febbraio 2025. La formulazione è volutamente aperta: il regolamento fissa un risultato (livello sufficiente di literacy), non un programma standard.
Tre elementi sono particolarmente importanti per l’interpretazione operativa. Ambito soggettivo: l’obbligo si estende a “personale e altri soggetti”, quindi non solo dipendenti diretti ma anche consulenti, collaboratori esterni, fornitori che operano sui sistemi di AI per conto dell’azienda. Ambito oggettivo: la literacy deve essere proporzionata “al contesto in cui i sistemi di AI sono utilizzati” e al ruolo della persona. Esito atteso: l’organizzazione deve poter dimostrare di aver adottato misure ragionevoli per il risultato.
L’apparente vaghezza della norma è un’arma a doppio taglio per le PMI. Da un lato, lascia flessibilità nel costruire una soluzione proporzionata alla propria realtà aziendale. Dall’altro, sposta sull’impresa il peso di definire cosa significhi “livello sufficiente” e di documentarlo. In caso di audit o contestazione, l’autorità di vigilanza valuterà se le misure adottate sono adeguate al contesto.
Cos’è l’AI Literacy? Le quattro aree
L’AI literacy è definita dall’Articolo 3(56) del Regolamento come “le competenze, le conoscenze e la comprensione che consentono ai fornitori, ai deployer e alle persone interessate di impiegare i sistemi di AI in modo informato, di essere consapevoli delle opportunità e dei rischi, e di riconoscere i possibili danni.” Operativamente, si declina in quattro aree di competenza che devono essere coperte in modo proporzionato al ruolo della persona.
Comprensione tecnologica
Capire, a un livello funzionale non tecnico, come funziona un sistema di AI: cosa è un modello linguistico, perché può produrre output errati, perché due richieste simili possono dare risultati diversi. Non si tratta di saper programmare: si tratta di smettere di considerare l’AI una scatola magica.
Conoscenza applicativa
Saper riconoscere quali compiti del proprio lavoro sono candidati all’uso dell’AI e quali no. Saper distinguere un uso appropriato da uno inappropriato. Saper inserire correttamente l’AI in un processo esistente senza disperdere valore.
Pensiero critico
La capacità di non fidarsi mai di un output dell’AI senza verificarlo. Riconoscere allucinazioni, bias, informazioni datate. Mantenere la responsabilità della decisione finale in capo all’essere umano. È l’area dove un corso generico sull’uso degli strumenti non basta: serve metodo.
Conformità normativa
Conoscere le regole applicabili nel proprio contesto lavorativo: il regolamento europeo, eventuali norme settoriali (sanitario, finanziario, scolastico), il GDPR, le policy aziendali interne. La conformità normativa non è solo una questione di sapere, ma di documentare in modo dimostrabile.
Un’azienda in regola con l’Art. 4 è un’azienda in cui le persone che usano sistemi di AI hanno competenze documentabili in queste quattro aree, in modo proporzionato al loro ruolo e al loro impiego operativo dell’AI.
Obblighi pratici per una PMI
In assenza di un programma di literacy prescritto dal regolamento, ogni PMI italiana deve costruire una propria soluzione proporzionata. Le azioni operative ricadono in quattro tipologie: mappatura, policy, formazione, registrazione. Una PMI è in regola quando ha implementato tutte e quattro in modo documentato.
Mappatura degli usi effettivi. Censire quali sistemi di AI sono effettivamente utilizzati in azienda, da chi, per quali compiti. La maggior parte delle PMI scopre, facendo questo esercizio, di avere un’esposizione molto più ampia di quanto pensasse — non solo licenze enterprise, ma anche tool installati autonomamente dai dipendenti.
Policy d’uso. Un documento aziendale che definisca cosa è permesso, cosa richiede autorizzazione, cosa è vietato. Come gestire dati riservati. Come documentare l’uso dell’AI quando produce output rilevanti. La policy non deve essere lunga, ma deve esistere, essere comunicata e firmata.
Formazione documentata. Erogare formazione che copra le quattro aree dell’AI literacy in modo proporzionato al ruolo. La formazione deve produrre tracce: registri di partecipazione, materiali consegnati, eventuali certificazioni di profitto.
Registrazione e mantenimento. Tenere un registro: chi ha partecipato a che cosa, quando, con quali risultati. Aggiornare periodicamente formazione e policy in funzione dell’evoluzione degli strumenti e della normativa.
Quali sono le sanzioni?
Il regolamento prevede un sistema di sanzioni amministrative pecuniarie scaglionato in base alla gravità della violazione. Le sanzioni più severe arrivano fino a 35 milioni di euro o il 7% del fatturato annuo globale, scegliendo il valore maggiore. Le sanzioni sono previste dall’Articolo 99 del regolamento e diventano applicabili dal 2 agosto 2025.
Tre fasce di sanzioni. Fascia massima (Art. 99(3)): violazione del divieto di pratiche di AI proibite (Art. 5) — fino a 35 milioni di euro o 7% del fatturato annuo globale, il maggiore dei due. Fascia intermedia (Art. 99(4)): violazione di altri obblighi del regolamento per provider e deployer — fino a 15 milioni di euro o 3% del fatturato annuo globale. Fascia inferiore (Art. 99(5)): comunicazione di informazioni non corrette, incomplete o fuorvianti alle autorità — fino a 7,5 milioni di euro o 1,5% del fatturato annuo globale.
Per le PMI il regolamento prevede una previsione specifica: gli importi delle sanzioni amministrative pecuniarie per le PMI sono ridotti rispetto a quelli sopra indicati, applicandosi la minore fra le due alternative (importo fisso vs percentuale di fatturato). Resta comunque un rischio significativo: una PMI con fatturato di 5 milioni di euro potrebbe rischiare fino a 150.000 euro di sanzione per violazione di obblighi della fascia intermedia.
Tempistiche di applicazione
Il regolamento è entrato in vigore il 1 agosto 2024 ma le sue norme diventano applicabili in fasi successive distribuite su tre anni. Conoscere il calendario è essenziale per pianificare la compliance aziendale.
| Data | Norme applicabili |
|---|---|
| 1 agosto 2024 | Entrata in vigore del regolamento |
| 2 febbraio 2025 | Pratiche AI proibite (Capo II, Art. 5). AI Literacy obbligatoria (Art. 4) |
| 2 agosto 2025 | Governance e autorità di vigilanza. Obblighi sui modelli AI per finalità generali (GPAI). Sanzioni applicabili |
| 2 agosto 2026 | Maggior parte degli obblighi sui sistemi di AI ad alto rischio (Allegato III) |
| 2 agosto 2027 | Sistemi di AI ad alto rischio integrati in prodotti regolamentati (Allegato I — es. dispositivi medici, giocattoli, ascensori) |
Per la maggior parte delle PMI, le due date chiave sono 2 febbraio 2025 (literacy già in vigore — molte PMI sono ancora in ritardo) e 2 agosto 2026 se l’azienda sviluppa o usa sistemi ad alto rischio.
Checklist compliance per HR/Legal — 10 punti
Una checklist operativa per verificare lo stato di compliance della tua PMI rispetto all’Art. 4. Se rispondi “no” a più di tre voci, sei in stato di rischio.
- Censimento usi AI. Esiste in azienda un censimento documentato dei sistemi di AI effettivamente utilizzati, da chi e per quali compiti?
- Policy d’uso. Esiste un documento aziendale scritto che definisce cosa si può fare con l’AI, cosa richiede autorizzazione, cosa è vietato?
- Comunicazione policy. La policy è stata formalmente comunicata a tutti i dipendenti e firmata o accettata (anche digitalmente)?
- Mappatura ruoli. Sono stati identificati i ruoli aziendali che utilizzano AI e il livello di literacy richiesto per ciascuno?
- Piano formativo. Esiste un piano formativo che copre le quattro aree dell’AI literacy (comprensione tecnologica, conoscenza applicativa, pensiero critico, conformità normativa)?
- Formazione erogata. La formazione è stata effettivamente erogata e completata almeno una volta?
- Registri formazione. Esistono registri scritti di chi ha partecipato a quale formazione, quando, con quali esiti?
- Aggiornamento. È previsto un meccanismo di aggiornamento della formazione e della policy in funzione dell’evoluzione degli strumenti?
- Responsabile. Esiste in azienda una figura formalmente responsabile della conformità AI Act (HR, Legale, IT manager o consulente esterno)?
- Documentazione audit-ready. Tutta la documentazione è raccolta in un punto unico, prontamente accessibile in caso di richiesta da parte di un’autorità di vigilanza?
Errori comuni delle PMI
Tre errori si ripetono nella maggioranza dei casi che vedo. Riconoscerli prima è il modo più rapido per recuperare il gap di compliance.
Errore #1: confondere literacy con training su uno strumento. Un corso di tre ore su come usare Microsoft Copilot non è, da solo, conforme all’Art. 4. Può essere una componente del piano formativo, ma non lo esaurisce. La literacy richiede copertura sulle quattro aree, non sull’interfaccia di un singolo software.
Errore #2: affidarsi a webinar gratuiti generalisti. Sono utili come introduzione iniziale, ma non producono né competenze documentate né tracce sufficienti per dimostrare conformità in caso di verifica. La documentabilità è il requisito normativo, non la quantità di slide consumate.
Errore #3: considerarsi in regola perché l’azienda non usa “vere” applicazioni di AI. Falso. Se qualcuno in azienda apre ChatGPT nel browser per scrivere una lettera a un cliente, l’AI è in uso, e l’obbligo si applica. Il livello di esposizione è proporzionale all’uso effettivo, non al numero di licenze enterprise acquistate.
A questi si aggiunge un quarto errore strategico: delegare la compliance al solo reparto IT. L’AI literacy è un tema trasversale che riguarda HR, Legal, IT, le linee operative. Un approccio solo tecnico non copre il requisito normativo.
Come dimostrare conformità in caso di audit
Non esiste ancora, alla data di questa guida, una procedura standard di audit sull’Art. 4 da parte delle autorità italiane. Ma dall’analogia con le ispezioni del Garante Privacy sul GDPR e con la prassi delle autorità di vigilanza europee, si può ragionevolmente prevedere quali elementi saranno richiesti in caso di verifica.
Documenti che è ragionevole produrre in audit: la policy d’uso AI con prova di comunicazione/firma dei dipendenti, il piano formativo aziendale con date e contenuti, i registri di partecipazione alle attività formative, eventuali certificati di formazione individuali, l’organigramma con indicazione del responsabile compliance AI, il documento di censimento degli usi AI in azienda, una breve relazione sulla strategia adottata e sulla proporzionalità delle misure rispetto al contesto aziendale.
Il principio guida è la dimostrabilità: l’autorità non chiede di aver formato perfettamente ogni dipendente, chiede di aver adottato misure ragionevoli e di poterle documentare. Un’azienda che mostra di aver pensato alla questione, di aver scritto qualcosa, di aver fatto qualcosa, sarà valutata in modo molto diverso da una che non ha nessun documento.
Da dove iniziare se non hai fatto ancora nulla
Il punto di partenza più utile, per una PMI che oggi non ha fatto nulla, è una mappatura onesta dell’esistente. Non ipotetica: reale. Quali strumenti di AI sono effettivamente in uso oggi nella tua azienda? Da chi? Per quali attività? La maggior parte delle PMI italiane non lo sa con precisione.
Da quella mappa nasce naturalmente la policy (regole proporzionate all’uso reale), e dalla policy il piano formativo (proporzionato al ruolo e al livello di esposizione). È un percorso che si può completare in 8-12 settimane, anche per una PMI di 30-50 dipendenti.
Riferimenti normativi e fonti
- Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 — testo ufficiale e Allegati pubblicati nella Gazzetta Ufficiale dell’Unione Europea L 2024/1689 del 12.7.2024
- Articolo 3 — Definizioni (in particolare 3(56) “AI literacy”)
- Articolo 4 — Alfabetizzazione in materia di intelligenza artificiale
- Articolo 5 — Pratiche di AI vietate
- Articolo 50 — Obblighi di trasparenza per determinati sistemi di AI
- Articolo 99 — Sanzioni
- Allegato III — Sistemi di AI ad alto rischio
- EU AI Act Compliance Checker — strumento ufficiale della Commissione Europea per verificare l’applicabilità del regolamento al proprio caso
Questa guida è aggiornata a maggio 2026. Per dubbi specifici sulla tua PMI o per progettare un percorso di compliance proporzionato, scrivimi. Rispondo entro 24 ore lavorative.