OpenAI ha rilasciato GPT-5.6 con accesso differenziato per livello di piano. Anthropic ha aggiornato i termini di utilizzo commerciale di Claude tre volte negli ultimi dodici mesi. La Commissione Europea ha pubblicato le prime linee guida operative sull'AI Act. E le PMI B2B, nel frattempo, stanno costruendo processi critici sopra API che non controllano.
Questo è il punto: la dipendenza tecnologica da modelli AI chiusi non è un rischio futuro. È già dentro i processi di molte aziende, spesso senza che nessuno l'abbia deciso consapevolmente.
In questo articolo vediamo cosa sta cambiando con la regolamentazione dei modelli AI, quali rischi concreti corrono le PMI B2B che adottano LLM senza una strategia, e quando ha senso valutare alternative.
L'AI Act europeo è entrato in vigore nel 2024 e la sua applicazione si fa progressivamente più concreta. Per le PMI che usano modelli di terze parti come strumenti (e non come provider), gli obblighi diretti sono limitati. Però c'è una catena di responsabilità che vale la pena capire.
I provider di modelli general-purpose (OpenAI, Anthropic, Google, Meta) devono rispettare requisiti di trasparenza, documentazione tecnica e gestione dei rischi sistemici. Questo si traduce, in pratica, in due cose per chi usa quelle API: i provider aggiornano i termini di servizio con più frequenza, e alcune funzionalità vengono rimosse o limitate per conformità normativa senza preavviso.
GPT-5.6 è un esempio diretto. L'accesso al fine-tuning avanzato e ad alcune funzionalità di retrieval è stato segmentato per tier commerciale. Chi era su un piano base e aveva costruito un workflow attorno a quelle feature si è trovato a dover riscrivere l'integrazione oppure a pagare di più.
La governance dei modelli AI per le aziende, quindi, non riguarda solo "cosa dice il regolatore". Riguarda anche come le decisioni dei provider si ripercuotono sui processi interni.
Partiamo dal più sottovalutato: il vendor lock-in cognitivo.
Quando un team costruisce prompt, workflow e logiche di business ottimizzati per un modello specifico (diciamo GPT-4o), migrare a un altro modello non è banale. Le risposte cambiano, i prompt vanno ricalibrati, i casi limite si ridistribuiscono. Questo costo di migrazione cresce proporzionalmente a quanto il modello è integrato nei processi.
Poi ci sono i rischi più visibili:
Cambi di prezzo. OpenAI ha modificato la struttura dei prezzi delle API più volte. Un'azienda che aveva costruito un modello di costo su una certa tariffa si è ritrovata a ricalcolare l'intera economia del progetto.
Interruzione di funzionalità. Alcune funzionalità di GPT-4 Vision sono state modificate o limitate dopo aggiornamenti di policy. Chi le usava in produzione ha dovuto adattarsi in tempi brevi.
Problemi di conformità GDPR. Se i dati dei clienti passano attraverso un'API esterna senza un Data Processing Agreement aggiornato, c'è un'esposizione legale concreta. Molte PMI lo scoprono solo quando qualcuno glielo chiede.
Questi non sono scenari ipotetici. Sono cose già successe, che succederanno ancora con frequenza crescente man mano che la regolamentazione stringe e i provider si adeguano.
L'alternativa ai modelli chiusi esiste ed è matura. Mistral, LLaMA 3, Qwen, Phi-3: ci sono modelli open-weight che per molti task aziendali performano in modo comparabile a GPT-4, con il vantaggio di poterli ospitare su infrastruttura propria.
Il punto di svolta economico, di solito, è il volume. Se un'azienda fa poche centinaia di chiamate API al giorno, le API di OpenAI o Anthropic restano più convenienti anche considerando il margine del provider. Quando si supera una certa soglia (variabile in base al task e al modello), il self-hosting diventa competitivo.
Ma c'è un costo nascosto che spesso non viene calcolato: la gestione infrastrutturale. Un modello in self-hosting richiede GPU, aggiornamenti, monitoraggio, e qualcuno che sappia cosa sta facendo. Per una PMI senza un team tecnico interno, questo può essere più costoso del risparmio sulle API.
La scelta giusta dipende da tre fattori: sensibilità dei dati trattati, volume di utilizzo, e disponibilità di competenze interne (o di un partner esterno affidabile).
Se stai valutando quale percorso fa per te, parlaci del tuo caso specifico: spesso bastano trenta minuti per capire se il self-hosting ha senso o se è una complicazione inutile.
C'è molta retorica su quante aziende "stanno adottando l'AI". La realtà, almeno in Italia, è più frammentata.
Una parte delle PMI B2B ha integrato LLM in processi reali: qualificazione dei lead, generazione di bozze documentali, supporto interno su knowledge base, classificazione di ticket. Queste sono le applicazioni che funzionano, dove il ROI è misurabile.
Un'altra parte sta sperimentando senza una strategia chiara: tool AI usati da singoli dipendenti in modo non coordinato, nessuna governance su quali dati escono dall'azienda, nessun piano se il provider cambia le condizioni.
Il nostro punto di vista netto su questo: l'adozione non coordinata di LLM nelle PMI è più rischiosa di quanto venga comunicato. Non perché l'AI sia pericolosa in sé, ma perché crea dipendenze invisibili che emergono nel momento peggiore, cioè quando qualcosa cambia e non c'è un piano B.
Non serve una strategia AI da multinazionale. Serve un approccio pratico che riduca l'esposizione senza bloccare l'adozione.
Il minimo praticabile per una PMI B2B:
Questo non richiede un reparto IT. Richiede che qualcuno in azienda se ne occupi consapevolmente.
C'è un aspetto della regolamentazione AI che viene poco discusso nelle PMI: le potenziali restrizioni settoriali all'uso di modelli AI per certi tipi di decisioni.
L'AI Act classifica come "alto rischio" i sistemi AI usati in ambiti come credito, selezione del personale, gestione di infrastrutture critiche. Se usi un LLM per supportare decisioni in questi ambiti, anche solo come strumento di sintesi, potresti ricadere in obblighi di audit e documentazione più stringenti.
Per molte PMI B2B che operano in settori come finanza, HR o logistica, questa non è una questione astratta. Conviene verificare adesso, prima che arrivi una richiesta di conformità.
Q: Cosa si intende con "modelli AI regolamentati" per le aziende?
A: Sono modelli linguistici soggetti a vincoli normativi europei o nazionali che impongono requisiti di trasparenza, audit e gestione dei dati. In alcuni casi includono restrizioni sull'accesso commerciale per certi settori. Non tutti i modelli AI sono regolamentati allo stesso modo: dipende dall'uso che se ne fa e dal contesto in cui operano.
Q: L'AI Act europeo si applica già alle PMI?
A: Le norme più stringenti riguardano i provider di modelli general-purpose e i sistemi ad alto rischio. Le PMI che usano modelli di terzi come utenti finali hanno obblighi diretti più limitati, ma devono verificare che il provider rispetti le regole e che i dati trattati siano conformi al GDPR. Ignorare questo aspetto non protegge dalla responsabilità.
Q: Quali rischi concreti corre una PMI B2B che dipende da un solo provider AI?
A: Cambio unilaterale dei termini di servizio, aumenti di prezzo, interruzione di funzionalità specifiche, impossibilità di auditare il modello in caso di errori. Diversificare o valutare modelli open-weight in self-hosting riduce questi rischi, ma richiede competenze tecniche interne o un partner esterno.
Q: Conviene alle PMI usare modelli open-source invece di GPT?
A: Dipende dal volume e dalla sensibilità dei dati. I modelli open-weight permettono il controllo totale dei dati e possono costare meno ad alto volume, ma richiedono infrastruttura e manutenzione. Per task semplici e volumi bassi, le API dei grandi provider restano più pratiche. La scelta va fatta caso per caso, non per principio.
Q: Come si gestisce la governance dei modelli AI in una PMI senza un team IT dedicato?
A: Il minimo praticabile: sapere quali modelli si usano e per quali processi, verificare che i dati inviati alle API non contengano informazioni sensibili non necessarie, avere un DPA aggiornato con ogni provider, e identificare almeno un'alternativa in caso di discontinuità del servizio. Non serve un reparto dedicato per fare questo.
Se stai costruendo processi su modelli AI e vuoi capire dove sei esposto, in Press Start lavoriamo su integrazioni AI con n8n e architetture che non creano dipendenze invisibili. Raccontaci il tuo caso.

