EU AI Act per le PMI: cosa cambia davvero (e cosa no)
Devi adeguarti anche tu all'AI Act? Per quasi tutte le PMI la risposta è più tranquilla del previsto. Deployer contro provider, i quattro livelli di rischio, quando l'onere diventa serio, il legame con GDPR e DPIA e il quadro italiano del Garante — in lingua piana e senza allarmismi.
Da quando l'EU AI Act è entrato in vigore, la domanda che sentiamo più spesso da imprenditori e manager di PMI è una sola, e nasce dall'ansia: «devo adeguarmi anch'io? E quanto mi costa?». La risposta breve, per la stragrande maggioranza delle piccole e medie imprese italiane, è più tranquillizzante di quanto la stampa lasci intendere — ma va capita bene, perché «tranquillo» non vuol dire «non riguarda me».
Proviamo a mettere ordine, in lingua piana, su cosa cambia davvero per una PMI e — altrettanto importante — su cosa non cambia.
Prima distinzione: sei un utilizzatore, non un produttore
L'AI Act separa nettamente due ruoli, e per capire i tuoi obblighi devi sapere in quale ti trovi. Il fornitore (provider) è chi sviluppa o immette sul mercato un sistema di AI: OpenAI, Google, un software house che vende un proprio modello. L'utilizzatore (deployer) è chi quel sistema lo usa nella propria attività — l'azienda che adotta un copilota per le vendite, un assistente per il supporto clienti, uno strumento per generare contenuti marketing.
Quasi tutte le PMI sono deployer, non provider. È una notizia buona: gli obblighi dell'articolo 26 dell'AI Act, quelli che gravano su chi usa l'AI, sono reali ma molto più leggeri di quelli imposti a chi la costruisce. Il grosso del peso normativo resta a monte, sul fornitore.
I quattro livelli di rischio (e dove finisce quasi tutta l'AI di una PMI)
Il cuore dell'AI Act è un approccio basato sul rischio: non tutti gli usi dell'AI sono trattati allo stesso modo. La sintesi ufficiale del regolamento definisce quattro livelli:
- Rischio inaccettabile — vietato. Sistemi come il social scoring di stampo governativo o la manipolazione comportamentale. Non è terreno d'impresa: semplicemente non si possono usare.
- Rischio alto — permesso, ma con obblighi seri. Riguarda usi «sensibili» elencati nell'Allegato III: selezione e gestione del personale, scoring creditizio, identificazione biometrica, istruzione, servizi essenziali. Qui l'AI decide su diritti e opportunità delle persone.
- Rischio limitato — obblighi di trasparenza. Il caso tipico: un chatbot deve dichiarare all'utente che sta parlando con una macchina; un contenuto generato dall'AI va segnalato come tale.
- Rischio minimo — nessun obbligo specifico. Filtri antispam, suggerimenti interni, la gran parte dei copiloti di produttività.
Il punto che ribalta l'ansia iniziale: gli usi AI più comuni in una PMI — un assistente per le vendite, la generazione di bozze marketing, un bot di supporto interno, l'automazione di attività di operations — ricadono quasi sempre in rischio limitato o minimo. La macchina pesante dell'articolo 26 scatta solo per gli usi ad alto rischio.
Quando l'onere diventa serio davvero
Vale la pena sapere quando si entra nella fascia impegnativa, perché è lì che un progetto va disegnato con attenzione fin dall'inizio. Se usi l'AI per decisioni sul personale (screening di CV, valutazioni, promozioni), per valutare l'affidabilità creditizia di un cliente, o per identificazione biometrica, sei con ogni probabilità in ambito alto rischio. In quel caso l'articolo 26 chiede al deployer, tra le altre cose, di:
- usare il sistema secondo le istruzioni del fornitore;
- garantire una supervisione umana effettiva sulle decisioni;
- assicurarsi che i dati in ingresso siano pertinenti allo scopo;
- monitorarne il funzionamento e conservare i log per almeno sei mesi;
- segnalare gli incidenti gravi.
Non è un adempimento impossibile, ma non è nemmeno «accendi il tool e vai». La regola pratica è semplice: gli usi ad alto rischio vanno tenuti distinti fin dal disegno del progetto, non scoperti a valle. È la ragione per cui, nel nostro metodo, ogni workflow porta con sé un livello di rischio dichiarato prima ancora di scegliere lo strumento.
Attenzione: il GDPR non è sparito
Un errore frequente è pensare che l'AI Act sostituisca la privacy. È l'opposto: si aggiunge. Se il tuo uso dell'AI tratta dati personali — e quasi sempre è così — resta in gioco il GDPR, con un passaggio spesso trascurato: la valutazione d'impatto (DPIA) dell'articolo 35. È obbligatoria quando il trattamento è «probabilmente ad alto rischio», e tre casi la fanno scattare in automatico: decisioni automatizzate con effetti giuridici o significativi, trattamento su larga scala di categorie particolari di dati, monitoraggio sistematico di aree pubbliche.
C'è un dettaglio che i modelli di DPIA generici sbagliano: sono nati prima dell'AI e non coprono rischi specifici dei sistemi intelligenti — l'opacità del modello, la memorizzazione dei dati di addestramento, la deriva delle risposte nel tempo, il conflitto tra il diritto alla cancellazione e un modello già addestrato. Una DPIA seria per l'AI ha bisogno di una sezione dedicata a questi rischi, non del solito modulo copiato.
In Italia: il Garante è già al lavoro
In Italia il quadro non è solo europeo. Il Garante per la protezione dei dati personali mantiene una pagina tematica sull'intelligenza artificiale che aggiorna con frequenza, ed è attivamente impegnato in verifiche sull'uso dell'AI. Sul piano legislativo, il Paese si è dotato di una propria cornice di principi generali sull'AI che, tra le altre cose, amplia l'ambito della valutazione d'impatto rispetto alla sola base GDPR. È un'area in movimento: prima di dare per assodato un obbligo specifico conviene sempre verificare il testo vigente, perché le regole e le sanzioni si stanno definendo proprio adesso.
E le scadenze? La verità è che sono un bersaglio mobile
Molti articoli allarmistici ruotano attorno a una data precisa. La realtà è più sfumata: l'AI Act non è entrato in vigore tutto insieme, ma a scaglioni distribuiti su più anni, e parte del calendario è stato riaperto e rinegoziato dalle istituzioni europee — alcune scadenze per gli usi ad alto rischio sono state spostate in avanti mentre scriviamo. Tradotto per chi guida un'impresa: inseguire la singola data è meno utile che conoscere la direzione.
La direzione è chiara e non cambierà: trasparenza sugli usi visibili, supervisione umana sugli usi che toccano le persone, tracciabilità di ciò che l'AI decide. Chi imposta bene queste tre cose è pronto qualunque sia la data definitiva.
Cosa fare adesso, in pratica
Non serve un progetto di conformità da grande impresa. Per una PMI il percorso ragionevole è corto:
- Fai l'inventario di dove già usi l'AI (spesso più di quanto pensi: strumenti di scrittura, CRM, supporto). Per ciascuno, chiediti in quale livello di rischio ricade.
- Isola gli usi sensibili — personale, credito, biometria: sono gli unici che richiedono la macchina dell'articolo 26. Trattali a parte, con controlli dedicati.
- Metti trasparenza e supervisione umana dove l'AI parla con i clienti o incide su una decisione. Sono i controlli a più alto ritorno e più basso costo.
- Verifica se ti serve una DPIA e, se sì, che copra i rischi specifici dell'AI e non solo il GDPR generico.
È esattamente la logica del nostro overlay di conformità: a ogni AI Workflow Design che progettiamo agganciamo il livello di rischio AI Act, il controllo DPIA, l'etichetta di rischio secondo una tassonomia riconosciuta (MIT AI Risk Repository) e la nota italiana dove serve. La conformità non è un capitolo separato da affrontare dopo: è parte del disegno, dal primo giorno.
Il punto di partenza è sempre lo stesso
Prima ancora della conformità viene la posizione: capire dove sei e da quale reparto conviene partire. Se non l'hai ancora fatto, il primo passo è misurare la tua AI readiness — poi, reparto per reparto, si sceglie cosa automatizzare e con quali controlli attorno. Automatizzare senza controlli è il modo più veloce per doversi fermare dopo; automatizzare con i controlli giusti è ciò che rende un innesto capace di attecchire e durare.
Abbiamo trasformato questo primo passo in una valutazione self-serve e gratuita: poche domande e un'indicazione su da dove partire, con quanta attenzione alla conformità. Fai la valutazione di AI-readiness — poi, se ha senso, ne parliamo.
Questo articolo ha scopo puramente orientativo e riflette il quadro normativo a una fase in cui diverse scadenze dell'EU AI Act sono ancora in via di definizione: non costituisce consulenza legale né una valutazione di conformità. Per gli adempimenti concreti della tua azienda fai riferimento al testo vigente del regolamento, alle indicazioni del Garante e a un supporto legale qualificato.
Dalla teoria al tuo business. Innestiamo l'AI.
Vuoi capire da quale reparto conviene partire nella tua azienda? La valutazione gratuita ti dà una prima risposta in due minuti — poi, se ha senso, ne parliamo.