Hai già sentito parlare dell'AI Act europeo. Forse hai anche aperto il testo ufficiale, letto tre righe e chiuso la scheda. Non sei il solo.
Il problema è che tra il regolamento UE e la realtà operativa di una PMI italiana c'è un passaggio che spesso manca: il decreto legislativo di recepimento nazionale, atteso per il 2026, che trasforma le disposizioni europee in obblighi direttamente applicabili nel nostro ordinamento, con sanzioni, autorità di vigilanza e responsabilità penali concrete.
Questo articolo non è una sintesi del testo normativo. È un'analisi di cosa cambia per chi in azienda usa, compra o sviluppa sistemi AI, con un focus sugli aspetti che le PMI tendono a sottovalutare.
Prima di capire quali obblighi si applicano, serve sapere in quale categoria rientra il sistema che usi o che stai per adottare.
La normativa costruisce una piramide a quattro livelli.
In cima ci sono i sistemi vietati: manipolazione subliminale, social scoring governativo, identificazione biometrica remota in tempo reale in spazi pubblici (con eccezioni molto limitate per le forze dell'ordine). Qui non ci sono deroghe.
Subito sotto ci sono i sistemi ad alto rischio, che è il livello che interessa la maggior parte delle PMI attive in ambito digitale. Rientrano in questa categoria i sistemi usati per:
Poi ci sono i sistemi a rischio limitato, soggetti solo a obblighi di trasparenza (per esempio, un chatbot deve dichiarare di essere un AI). E infine i sistemi a rischio minimo, praticamente liberi da vincoli specifici.
Il punto su cui molte PMI si perdono: la classificazione dipende dall'uso, non dalla tecnologia. Un modello di machine learning usato per fare previsioni di magazzino è a rischio minimo. Lo stesso modello, riadattato per valutare l'affidabilità creditizia dei clienti, diventa ad alto rischio.
Se il tuo sistema rientra nella categoria ad alto rischio, la normativa impone un set di requisiti che non sono opzionali e non si esauriscono con la firma di un contratto con il fornitore.
Gestione del rischio. Serve un processo documentato e continuativo di identificazione, valutazione e mitigazione dei rischi del sistema AI. Non basta farlo una volta al lancio: va aggiornato ogni volta che il sistema cambia o che cambiano le condizioni d'uso.
Documentazione tecnica. Il sistema deve essere accompagnato da documentazione che descrive come funziona, su quali dati è stato addestrato, quali sono i limiti noti, come viene monitorato. Questa documentazione deve essere disponibile per l'autorità di vigilanza su richiesta.
Registrazione nel database UE. Prima della messa in uso, i sistemi ad alto rischio vanno registrati in un database centralizzato gestito dalla Commissione europea. Chi sviluppa il sistema è responsabile della registrazione; chi lo usa deve verificare che sia avvenuta.
Supervisione umana. I sistemi ad alto rischio devono essere progettati in modo da permettere a un operatore umano di monitorarli, intervenire e, se necessario, disattivarli. Questo non significa che ogni decisione vada confermata a mano: significa che il sistema non può essere configurato in modo da rendere impossibile l'override umano.
Trasparenza verso gli utenti finali. Se il sistema prende o supporta decisioni che riguardano persone fisiche (dipendenti, clienti, pazienti), queste persone hanno diritto a sapere che un sistema AI è coinvolto nel processo.
Qui si apre il capitolo che la maggior parte delle guide non tratta abbastanza: le implicazioni penali.
Il decreto di recepimento italiano introduce la fattispecie del reato di omissione della sicurezza AI, che si configura quando chi gestisce un sistema ad alto rischio non adotta le misure di controllo previste dalla normativa e da questo deriva un danno a persone fisiche.
Non è un reato intenzionale: è colposo. Basta non aver fatto quello che la legge richiedeva.
Per le PMI questo significa che il responsabile tecnico o il legale rappresentante può essere esposto a responsabilità penale se un sistema AI causa un danno (per esempio, una decisione discriminatoria in fase di selezione del personale) e non esiste documentazione che dimostri che i controlli richiesti erano stati implementati.
Questa è, secondo noi, la parte più sottovalutata dell'intera normativa. Le sanzioni amministrative si pagano e si archiviano. Un procedimento penale, anche se si chiude con un'archiviazione, ha costi legali, reputazionali e di tempo che una PMI difficilmente regge.
I sistemi di riconoscimento biometrico meritano un paragrafo separato perché il mercato li sta proponendo come soluzioni standard per il controllo accessi, la gestione presenze e persino per il monitoraggio della produttività.
La normativa è chiara: qualsiasi sistema che identifichi o categorizzi persone fisiche sulla base di caratteristiche biometriche rientra nella categoria ad alto rischio, con tutti gli obblighi che ne derivano. I sistemi di identificazione biometrica remota in tempo reale in spazi accessibili al pubblico sono invece direttamente vietati, salvo eccezioni molto ristrette.
Se stai valutando un sistema di riconoscimento facciale per il badge d'ingresso o un sistema di analisi delle emozioni per la valutazione dei dipendenti, sappi che il secondo è probabilmente vietato tout court, e il primo richiede una documentazione tecnica e una valutazione d'impatto che il fornitore del sistema deve essere in grado di fornirti. Se non la fornisce, il problema è tuo, non suo.
Se la tua PMI ha un team tecnico che ha costruito o sta costruendo un sistema AI per uso interno, la normativa ti considera fornitore, non solo utilizzatore. Questo cambia tutto.
Come fornitore, sei responsabile della conformità tecnica del sistema, della documentazione, della registrazione nel database UE. Non puoi scaricare la responsabilità su un vendor esterno perché il vendor sei tu.
Questo riguarda, per fare esempi concreti: un modello di scoring interno per la gestione del credito verso i clienti, un sistema di raccomandazione per le assunzioni, un tool di analisi comportamentale degli utenti su una piattaforma digitale proprietaria.
Se hai costruito qualcosa del genere, o ci stai lavorando, è il momento di fare una mappatura onesta di cosa rientra nel perimetro normativo.
Se vuoi capire se i sistemi AI che stai sviluppando o usando rientrano nel perimetro del decreto, scrivici e vediamo insieme la situazione.
La compliance AI non si risolve con un documento scaricato da internet e firmato. Richiede un processo, anche se la tua PMI è piccola.
Il primo passo è la mappatura dei sistemi AI in uso o in sviluppo, classificandoli per categoria di rischio. Molte aziende si accorgono in questa fase di avere sistemi ad alto rischio che non avevano riconosciuto come tali.
Il secondo è la verifica della catena di fornitura: i vendor che ti forniscono sistemi AI hanno la documentazione tecnica richiesta? Sono registrati nel database UE? Se non sai rispondere, è un problema da risolvere prima che lo faccia un'ispezione.
Il terzo è la definizione delle procedure di supervisione umana: chi in azienda è responsabile del monitoraggio del sistema? Con quale frequenza? Cosa succede se il sistema produce un output anomalo?
Il quarto, spesso trascurato, è la formazione del personale. La normativa richiede che chi usa sistemi AI ad alto rischio abbia una competenza sufficiente per capire i limiti del sistema e intervenire quando necessario. Non basta consegnare un manuale.
Q: Quali PMI italiane rientrano nel perimetro del decreto AI 2026?
A: Quelle che sviluppano, distribuiscono o usano sistemi AI classificati ad alto rischio: strumenti di selezione del personale, scoring del credito, sistemi biometrici, software per infrastrutture critiche. Le dimensioni aziendali contano meno del tipo di sistema impiegato.
Q: Cosa si rischia se si ignora la normativa AI?
A: Le sanzioni per le violazioni più gravi arrivano a decine di milioni di euro o a una percentuale del fatturato globale. Per le PMI il rischio più immediato è però la responsabilità civile in caso di danno causato da un sistema non conforme, e la responsabilità penale per omissione della sicurezza.
Q: I sistemi AI sviluppati internamente sono soggetti agli stessi obblighi?
A: Sì. Chi sviluppa un sistema AI per uso proprio è considerato "fornitore" ai fini della normativa, non solo "utilizzatore". Questo è uno degli aspetti meno noti e più rilevanti per le PMI con team tecnici interni.
Q: Cosa prevede la normativa per i sistemi di riconoscimento biometrico?
A: I sistemi biometrici rientrano quasi sempre nella categoria ad alto rischio. Richiedono documentazione tecnica completa, registrazione nel database UE e, spesso, una valutazione d'impatto sui diritti fondamentali. Alcuni usi specifici, come l'identificazione biometrica remota in tempo reale in spazi pubblici, sono direttamente vietati.
Q: Esiste una procedura semplificata per le PMI?
A: L'AI Act prevede alcune misure di proporzionalità per PMI e startup, soprattutto per ridurre i costi della documentazione tecnica. Gli obblighi sostanziali però restano invariati: trasparenza, supervisione umana, gestione del rischio si applicano indipendentemente dalle dimensioni aziendali.
Se stai integrando sistemi AI nel tuo business e vuoi capire dove sei rispetto agli obblighi del decreto, in Press Start possiamo aiutarti a fare una prima mappatura tecnica. Raccontaci il tuo caso
