Salta al contenuto
AImpact
IT EN
AI in azienda 5 min di lettura

EU AI Act: cosa deve fare concretamente una PMI italiana nel 2025

AI Act spiegato senza legale-ese. Cosa si applica alle PMI italiane, entro quando, con quali sanzioni. Checklist operativa per capire se la tua azienda è a rischio.

Pubblicato: 3 giugno 2025

Il 2 agosto 2026 entra in vigore l’AI Act nella parte che conta di più per le PMI. Se hai dipendenti che usano AI al lavoro — o software con moduli AI per HR, credito, o sorveglianza — riguarda anche te.

Non devi assumere un legale adesso. Devi capire in quale categoria cade il tuo uso, e cosa fare in base a quella.

Le 3 categorie che ti riguardano

Vietato dal 2 febbraio 2025. Queste cose sono già illegali: social scoring, manipolazione psicologica subliminale, riconoscimento facciale in tempo reale in spazi pubblici, sistemi che inferiscono emozioni dei dipendenti per valutarli. Se stai facendo una di queste cose, smetti.

Alto rischio — scadenza agosto 2026. Sistemi che impattano su decisioni significative sulle persone. Per una PMI italiana, i casi più comuni sono: software di selezione CV con ranking automatico, sistemi di valutazione dipendenti che influenzano promozioni o licenziamenti, credit scoring su clienti o fornitori, monitoraggio produttività con AI. Se usi un ATS, un HCM, o un CRM con moduli di scoring automatico, probabilmente rientri qui.

Rischio minimo — nessun obbligo aggiuntivo. ChatGPT per scrivere email, Copilot per il codice, filtri spam, raccomandatori di contenuto. La grande maggioranza degli usi AI in azienda cade qui.

C’è anche il rischio limitato: chatbot che parlano con clienti. L’unico obbligo è dichiarare che è un sistema AI. Un messaggio iniziale del tipo “Stai parlando con un assistente AI” è sufficiente — fallo adesso, non aspettare.

Cosa devi fare se hai sistemi ad alto rischio

Gli obblighi sono reali ma non sono rocket science. Entro agosto 2026 ti servono:

  • Documentazione tecnica: descrizione del sistema, dati usati per addestrarlo, metriche di performance, valutazione dei rischi.
  • Supervisione umana reale: un sistema di screening CV che prende decisioni finali senza che nessuno le controlli non è conforme. Deve esserci un umano che può bloccare o sovrascrivere la decisione.
  • Audit trail: il sistema deve loggare le decisioni per permettere verifiche successive.

Se il sistema ad alto rischio è software di un fornitore (quasi sempre lo è), chiedi a loro: “Questo rientra nell’Allegato III dell’AI Act? Qual è la vostra roadmap di conformità?” Documenta la risposta per iscritto. Tu come deployer hai comunque obblighi propri, ma la responsabilità è condivisa.

Le sanzioni in breve

Violazione dei divieti assoluti: fino a 35 milioni di euro o 7% del fatturato mondiale. Violazione degli obblighi alto rischio: fino a 15 milioni o 3%. Per le PMI le autorità tengono conto delle dimensioni — non è un’esenzione, è un’attenuante.

In Italia l’enforcement sarà AGID + Garante Privacy. I controlli iniziali si concentreranno sui sistemi ad alto rischio, non su chi usa Copilot per scrivere email. Ma il rischio reale per una PMI non viene solo dalle sanzioni pubbliche: viene da contenziosi con dipendenti o clienti se un sistema automatizzato ha preso decisioni sbagliate su di loro.

Cosa fare

  • Fai un inventario: elenca tutti gli usi AI in azienda, inclusi i moduli AI nei software di terze parti (HR, CRM, ERP). “Il nostro gestionale usa un modello per predire il churn” è un sistema AI rilevante.
  • Classifica ogni uso: usa la tabella sopra. Per i dubbi, il portale ufficiale è artificialintelligenceact.eu.
  • Per l’alto rischio, coinvolgi un legale tech entro fine 2025: non serve un progetto da 50K€ — bastano 4-8 ore di consulenza (800–2.000€) per sapere dove sei e cosa ti manca.