27 Aprile 2026

FAQ AI Act: guida pratica per PMI e startup su obblighi, sanzioni e conformità

La piena entrata in vigore dell’AI ACT si avvicina e le imprese italiane sono sempre più sotto pressione per essere conformi a questo importante regolamento a livello europeo. In questo articolo rispondiamo ad una serie di domande interessanti in particolare per le MPMI e start up in merito ad obblighi, sanzioni, incentivi e conformità dell’AI ACT in Italia.
L’AI Act non è un regolamento uniforme per tutti gli operatori. Il testo legislativo è stato costruito attorno al principio di proporzionalità: le regole infatti tengono conto delle dimensioni aziendali e sono studiate per non rappresentare un onere economico eccessivo per il tessuto produttivo.
Le piccole e medie imprese e le start-up godono infatti di un trattamento privilegiato all’interno della normativa. L’obiettivo dichiarato è favorire l’innovazione, evitando che i costi di conformità diventino un ostacolo insormontabile per le realtà più piccole. Per questo motivo, l’attuazione delle misure di sicurezza e trasparenza deve essere sempre proporzionata alle dimensioni dell’organizzazione.

> Leggi anche: “AI ACT e legge italiana sull’IA: una checklist di compliance per i Manager”

Q1. AI Act: quali sono gli obblighi per sviluppa intelligenza artificiale?

Per la stragrande maggioranza delle PMI europee che costruiscono applicazioni basate sull’IA o integrano modelli per scopi generali (GPAI – General Purpose AI Model) nei propri processi, chiedersi quali sono gli obblighi significa innanzitutto analizzare l’uso previsto del sistema. La destinazione d’uso è infatti l’unico elemento che determina i loro obblighi normativi.
L’impresa deve verificare se la sua specifica applicazione rientra in una di queste tre categorie:

  • Sistemi proibiti: pratiche di IA completamente vietate dal regolamento.
  • Sistemi ad alto rischio: categoria che impone requisiti severi in materia di documentazione, gestione dei dati e della qualità.
  • Sistemi con obblighi di trasparenza speciali: sistemi disciplinati dall’Articolo 50 che richiedono comunicazioni specifiche (ad esempio, l’obbligo di informare esplicitamente l’utente finale che sta interagendo con un’intelligenza artificiale).

Se un’azienda sviluppa un sistema ad alto rischio, deve documentare un sistema di gestione della qualità. Tuttavia, per agevolare le PMI, la Commissione Europea svilupperà moduli speciali e semplificati per la documentazione tecnica, pensati in particolare per le piccole e microimprese. Questi moduli semplificati saranno legalmente accettati dalle autorità nazionali ai fini della valutazione di conformità.

Inoltre, le microimprese possono adempiere ad alcuni elementi del sistema di gestione della qualità in forma semplificata, sulla base di specifiche linee guida che la Commissione pubblicherà per non compromettere il livello di protezione richiesto.

Se una PMI agisce eccezionalmente come fornitore di un modello per scopi generali (GPAI), deve redigere la documentazione tecnica del modello, fornire informazioni ai fornitori a valle, istituire una policy sul diritto d’autore e pubblicare un riassunto dei contenuti usati per l’addestramento.

Q2. AI Act: quali sono gli obblighi per chi usa l’intelligenza artificiale?

Molto più spesso, la PMI agisce come sviluppatore a valle o utilizzatore che integra un modello GPAI. In questo caso, per poter integrare gli strumenti in sicurezza, la PMI ha il diritto di ricevere dal fornitore originale del modello tutta le informazioni e la documentazione tecnica necessaria. Questi documenti servono a far comprendere a chi integra il modello capacità e limiti del sistema, facilitando l’adempimento normativo.

Per stabilire se un modello GPAI presenta un “rischio sistemico”, la legge fissa una precisa soglia tecnica: si presume che rientri in questa fascia se la potenza di calcolo cumulativa impiegata per l’addestramento è superiore a $10^{25}$ FLOP. Si tratta di una cerchia molto ristretta che richiede investimenti enormi e che, a febbraio 2025, conta solo circa 15 modelli al mondo (come GPT-4o, Gemini 1.0 Ultra e Mistral Large 2).

Per la stragrande maggioranza delle PMI italiane questa classificazione non cambia nulla in termini di conformità: agendo come utenti, non ereditano gli oneri di conformità del rischio sistemico, i quali ricadono interamente sul fornitore primario (ad esempio, OpenAI).

Esiste solo una rarissima eccezione: se una PMI dovesse effettuare una modifica profonda, come un’importante operazione di fine-tuning, su un modello a rischio sistemico impiegando più di un terzo della potenza di calcolo originale, diventerebbe legalmente fornitore di un nuovo modello a rischio sistemico. Data l’enormità delle risorse infrastrutturali necessarie, si tratta di un’eventualità al momento irrealistica per le piccole imprese.

Q3. Applicare l’AI Act in azienda: è obbligatorio nominare un “AI Officer” dedicato?

L’AI Act non impone esplicitamente alle PMI l’obbligo di assumere o nominare una figura dedicata esclusivamente all’Intelligenza Artificiale, come potrebbe essere, ad esempio, un “AI Officer” o un Data Protection Officer in ambito GDPR. Tuttavia, l’approccio alla gestione dell’IA richiede che le responsabilità siano esplicitamente assegnate all’interno dell’azienda, con obblighi che variano a seconda del livello di rischio.

Se una PMI opera come fornitore di un sistema di IA ad alto rischio, è tenuta a istituire un sistema di gestione della qualità. All’interno di questo sistema, l’impresa deve definire un “quadro di responsabilità” (accountability framework) per stabilire chiaramente quali sono i compiti della dirigenza e degli altri membri del personale rispetto a tutti gli aspetti legati alla conformità.

Il Regolamento specifica che l’attuazione di queste misure deve essere proporzionata alle dimensioni dell’organizzazione. Questo significa che un’impresa non ha bisogno di creare una nuova figura ad hoc, ma deve assegnare in modo esplicito i nuovi compiti di supervisione sull’IA tra i ruoli aziendali e la dirigenza già esistente.

Inoltre, sono previste ulteriori semplificazioni:

  • Microimprese: le aziende con meno di 10 dipendenti e un fatturato o bilancio annuo inferiore a 2 milioni di euro, che non hanno imprese collegate, potranno adempiere a questi obblighi organizzativi in forma semplificata, seguendo apposite linee guida della Commissione.
  • Settore finanziario: se la PMI è un istituto finanziario già soggetto a normative dell’Unione Europea relative alla governance interna, l’obbligo di istituire un sistema di gestione della qualità per l’IA si considera in larga parte già assolto rispettando le regole vigenti.

Regole di governance significativamente più complesse (come l’assegnazione puntuale di ruoli di monitoraggio e la protezione per i whistleblower) sono previste per i modelli GPAI con rischio sistemico. Tuttavia, questa casistica difficilmente riguarderà una PMI, poiché si applica a una piccolissima cerchia globale di colossi tecnologici.

Q4. Quale livello di AI literacy deve essere garantito all’interno delle aziende?

Invece di richiedere una figura dedicata per gestire l’AI act in azienda, la normativa punta a elevare le competenze diffuse, ovvero l’AI literacy. L’obiettivo principale è garantire alla PMI l’utilizzo efficace, etico e corretto degli strumenti specifici di intelligenza artificiale in azienda.
Si ricorda che la formazione in AI literacy è obbligatoria per chiunque utilizzi degli strumenti di intelligenza artificiale sul posto di lavoro: devono quindi sottostare alla formazione obbligatoria anche i dipendenti che, per esempio, utilizzano Gemini per riassumere i documenti o tradurre le comunicazioni.

> Scopri il nostro corso in e-learning per l’AI literacy dei dipendenti.

Partendo dal presupposto che le piccole e medie imprese spesso mancano delle risorse legali e strutturali per potersi formare in totale autonomia, l’AI Act impone precisi doveri anche alle istituzioni. Gli Stati membri sono tenuti a organizzare specifiche attività di sensibilizzazione e formazione, progettate “su misura” per le esigenze operative di PMI e start-up. Questo supporto è rivolto sia alle aziende che sviluppano IA, sia a quelle che la utilizzano.
A queste attività si aggiungeranno le campagne di comunicazione dell’Ufficio europeo per l’IA e la creazione di canali di consulenza dedicati a livello nazionale, per accompagnare le PMI fornendo indicazioni chiare e strumenti didattici gratuiti.

EU AI ACT

Q5. Quali sono gli obblighi di trasparenza per le PMI e startup?

Le piccole e medie imprese (PMI) e le start-up devono rispettare obblighi di trasparenza che variano in base al ruolo che ricoprono e al tipo di sistema o modello di Intelligenza Artificiale trattato. Per la stragrande maggioranza delle PMI europee che costruiscono applicazioni basate sull’IA o integrano modelli GPAI nei propri processi, gli obblighi dipendono dall’uso previsto del sistema. Tali imprese dovranno conformarsi agli obblighi previsti se il loro sistema rientra tra i sistemi ad alto rischio o tra i sistemi soggetti a speciali obblighi di trasparenza disciplinati dall’Articolo 50 del regolamento.

Gli obblighi di trasparenza sulla documentazione e sulle istruzioni ai fornitori a valle non si applicano se il modello di IA è rilasciato gratuitamente con una licenza libera e open-source (i cui parametri e l’architettura siano resi pubblici), a meno che il modello non presenti un rischio sistemico.

Oltre agli obblighi di trasparenza, le PMI e le Startup devono sottostare ai seguenti obblighi di sicurezza e di diritto d’autore dal Code of Practice:

  • Diritto d’autore (valido per tutti i modelli GPAI): richiede ai fornitori di adottare una solida politica interna sul copyright che rispetti la legge dell’Unione. Le aziende devono assicurarsi che il prelievo dei dati (web crawling) sia lecito, rispettare i segnali in formato leggibile dalle macchine (come le esclusioni dei robots.txt) ed evitare i siti segnalati per violazione di copyright. Inoltre, devono stabilire un canale diretto ed efficiente per i titolari dei diritti che vogliono presentare reclamo
  • Sicurezza (valido esclusivamente per i modelli GPAI a rischio sistemico): le aziende devono redigere e aggiornare costantemente dei framework di sicurezza per identificare in modo proattivo i rischi sistemici, valutare se tali rischi sono accettabili prima del rilascio, garantire elevatissimi standard di cybersicurezza, segnalare tempestivamente gli incidenti gravi alle autorità e istituire una rigorosa gerarchia di responsabilità interne a livello di governance

Per validare la sicurezza e la trasparenza dei tool GPAI: https://oecd.ai/en/catalogue/tools

Q6. Esistono agevolazioni specifiche nell’AI Act per PMI e startup?

L’AI Act prevede un ecosistema di supporto concreto per facilitare l’implementazione in azienda. Le PMI e le start-up godono infatti di misure pensate appositamente per garantire loro un accesso semplificato agli ambienti di test, ai servizi di consulenza e a tutti gli strumenti pratici necessari per raggiungere la conformità normativa.

Sistemi di IA ad alto rischio

  • Moduli di documentazione semplificati: per agevolare le PMI, la Commissione Europea svilupperà moduli speciali e semplificati per la documentazione tecnica dei sistemi di IA ad alto rischio, pensati in particolare per le piccole e microimprese. Questi moduli semplificati saranno legalmente accettati dalle autorità nazionali ai fini della valutazione di conformità.
  • Sistema di gestione della qualità: i fornitori di sistemi ad alto rischio devono documentare un sistema di gestione della qualità che copra vari aspetti (procedure di test, gestione dei dati, monitoraggio post-commercializzazione, ecc.). Tuttavia, le microimprese possono adempiere ad alcuni elementi di questo obbligo in modo semplificato. La Commissione pubblicherà linee guida specifiche su come redigere questa documentazione senza compromettere il livello di protezione richiesto.

Modelli di IA per scopi generali (GPAI)

Se una PMI agisce come fornitore di un modello per scopi generali, la documentazione richiesta comprende:

  • La documentazione tecnica del modello, che deve includere i processi di addestramento e test, e i risultati delle valutazioni (delineata nell’Allegato XI del regolamento).
  • La documentazione e le informazioni per i fornitori a valle, che devono consentire a chi integra il modello di comprenderne capacità e limiti (delineata nell’Allegato XII).

Anche in questo ambito, il legislatore ha stabilito che l’adempimento di tali obblighi debba tenere conto delle dimensioni dell’azienda, prevedendo modalità di conformità semplificate per le PMI e le start-up affinché non si trovino a dover sostenere costi eccessivi.

Le sandbox normative per l’IA

Le “sandbox” sono ambienti di test supervisionati dalle autorità competenti, che permettono alle aziende di sviluppare, addestrare, convalidare e testare sistemi di IA prima di immetterli sul mercato.

Per le PMI e le startup, l’accesso a questi ambienti avviene attraverso modalità particolarmente agevolate:

  • Accesso prioritario e gratuito: gli Stati membri devono garantire una corsia preferenziale per le piccole imprese e le start-up. La partecipazione è completamente gratuita, fatto salvo il recupero equo e proporzionato di eventuali costi eccezionali.
  • Burocrazia semplificata: le procedure di ammissione, partecipazione e uscita sono snelli, semplici e comunicate in modo chiaro, per venire incontro a chi ha capacità amministrative e legali limitate. Il processo si basa sull’accordo su un sandbox plan condiviso con l’autorità.
  • Scudo dalle sanzioni: Un vantaggio fondamentale è che, se l’azienda rispetta in buona fede il piano concordato e le indicazioni delle autorità, non sarà soggetta a sanzioni amministrative in caso di violazioni accidentali del Regolamento durante i test. Inoltre, il piano della sandbox e il rapporto di uscita (exit report) possono essere utilizzati dall’impresa come valido supporto documentale per dimostrare la conformità e accelerare le normali procedure di valutazione.

Supporto tecnico e diretto

Per rispondere ai dubbi normativi, il legislatore impone la creazione di sportelli di supporto diretto. Gli Stati membri devono istituire nuovi canali di comunicazione dedicati esclusivamente alle PMI, alle start-up e agli utilizzatori.

Il compito di questi “helpdesk” istituzionali (un esempio citato è il Service Desk for AI già operativo in Austria) è fornire consulenza, indicazioni su come accedere alle sandbox e rispondere a domande pratiche sull’attuazione delle regole. A questo supporto si aggiunge una agevolazione economica diretta: i costi per le procedure di valutazione della conformità saranno ridotti in modo proporzionale alle dimensioni dell’azienda e alla sua quota di mercato.

Oltre al supporto diretto, l’Ufficio europeo per l’IA e gli Stati membri creeranno un ecosistema di strumenti per abbattere i costi di conformità:

  • Piattaforma e Modelli standardizzati: verrà messa a disposizione una piattaforma informatica unica e centralizzata con informazioni di facile consultazione. L’Ufficio per l’IA fornirà modelli (template) standardizzati e semplificati per aiutare la PMI nella corretta stesura della documentazione tecnica.
  • Supporto tecnico e scientifico: le imprese verranno indirizzate verso hub specializzati, come i Poli Europei dell’Innovazione Digitale (European Digital Innovation Hubs), le piattaforme di “AI-on-demand” e le strutture di test e sperimentazione. Questi enti offriranno supporto concreto, aiutando le aziende a orientarsi nella standardizzazione e nella certificazione dei propri prodotti.

Q7. Entrata in vigore dell’AI ACT: da quando inizieranno i controlli ufficiali?

Le regole dell’AI Act relative ai modelli di Intelligenza Artificiale per scopi generali (GPAI) sono ufficialmente entrate in vigore il 2 agosto 2025 per tutti i nuovi modelli rilasciati a partire da tale data. Tuttavia, per quanto riguarda l’entrata in vigore delle vere e proprie azioni di controllo (enforcement) da parte della Commissione Europea, l’avvio è fissato un anno dopo, a partire dal 2 agosto 2026.

Questo periodo di tolleranza è stato specificamente previsto per dare ai fornitori il tempo necessario per collaborare con l’AI Office in modo da adeguarsi ai nuovi standard normativi. Inoltre, per i modelli rilasciati prima del 2 agosto 2025, le aziende avranno tempo addirittura fino al 2 agosto 2027 per mettersi definitivamente in regola.

Per quanto riguarda il focus delle supervisioni e delle indagini, la Commissione adotterà un approccio collaborativo, graduale e proporzionato. Le azioni della Commissione potranno includere richieste di informazioni, verifiche e accesso diretto ai modelli ed ritiro dei modelli dal mercato nel caso in cui si rivelasse necessario. L’intensità di queste azioni varierà a seconda che l’azienda abbia o meno sottoscritto un “Codice di Condotta” (Code of Practice).

Il codice di condotta

Il Codice di Condotta (Code of Practice) sull’IA per scopi generali non è un documento giuridicamente vincolante, pertanto nessun operatore è obbligato a firmarlo per legge. È rivolto specificamente ai fornitori di modelli di intelligenza artificiale per scopi generali (GPAI). Queste aziende possono scegliere volontariamente di aderirvi per avere a disposizione uno strumento pratico e pre-approvato che permetta loro di dimostrare la conformità ai nuovi obblighi dell’AI Act (Articoli 53 e 55), in attesa che vengano elaborati e adottati gli standard tecnici europei definitivi.

Ad oggi, la maggior parte delle aziende che sviluppano i modelli GPAI più avanzati a livello globale ha scelto di siglare il Codice. Tra i principali firmatari troviamo grandi colossi tech e promettenti realtà del settore, tra cui: Google, Microsoft, Amazon, IBM, OpenAI, Anthropic, Mistral AI, Cohere, Aleph Alpha. Meta e le aziende con sede in Cina hanno deciso di non firmare il Codice di Condotta. Queste aziende sono comunque tenute a rispettare i requisiti del Regolamento sull’IA, ma dovranno dimostrare la loro conformità attraverso mezzi alternativi adeguati da sottoporre alla valutazione della Commissione.

Q8. AI Act: quali sono le sanzioni e come vengono calcolate per le MPMI?

Il Regolamento sull’IA prevede un sistema di sanzioni per chi non rispetta le regole, stabilendo importi massimi che variano significativamente a seconda della gravità della violazione commessa:

  • Pratiche di IA vietate (Sistemi proibiti): l’inosservanza del divieto delle pratiche di IA considerate inaccettabili (disciplinate dall’Articolo 5) è punita con le sanzioni più severe, che possono arrivare fino a 35.000.000 di euro o, nel caso in cui il trasgressore sia un’impresa, fino al 7% del fatturato annuo mondiale totale dell’esercizio precedente, scegliendo tra i due l’importo più alto
  • Violazione di altri obblighi normativi: il mancato rispetto degli altri obblighi previsti dal Regolamento (come i requisiti per i sistemi ad alto rischio, gli obblighi di trasparenza, o le regole per importatori e distributori) comporta multe fino a 15.000.000 di euro o fino al 3% del fatturato annuo mondiale totale, optando per la cifra più alta
  • Fornitura di informazioni inesatte: se un operatore fornisce informazioni inesatte, incomplete o fuorvianti alle autorità nazionali competenti o agli organismi notificati in risposta a una richiesta, può incorrere in sanzioni fino a 7.500.000 di euro o fino all’1% del fatturato annuo mondiale totale, se superiore.

La legge impone che le sanzioni debbano sempre essere efficaci, proporzionate e dissuasive, ma richiede esplicitamente di tenere conto degli interessi delle PMI (incluse le start-up) e della loro sostenibilità economica. Per tutelare queste realtà più piccole, il Regolamento inverte il meccanismo di calcolo: in caso di sanzione, alle PMI e alle start-up viene applicata sempre la cifra o la percentuale più bassa tra quelle previste per la specifica infrazione, invece di quella più alta

In ogni caso, quando le autorità (o i tribunali nazionali) decidono di imporre una multa e ne stabiliscono l’importo, non applicano automaticamente il massimale, ma valutano le circostanze specifiche del caso. Tra i fattori considerati rientrano:

  • La natura, gravità e durata della violazione, includendo il numero di persone colpite e il livello del danno subito;
  • Le dimensioni, il fatturato annuo e la quota di mercato dell’azienda trasgressore;
  • Il carattere intenzionale o negligente dell’infrazione e le eventuali azioni intraprese dall’operatore per mitigare i danni;
  • Il grado di cooperazione con le autorità per rimediare al problema e mitigare gli effetti avversi;
  • L’esistenza di sanzioni amministrative già applicate da altre autorità per la medesima infrazione.

Q9. Chi sono le istituzioni di riferimento in Italia?

In Italia i punti di contatto istituzionali per l’AI Act si concentrano su poche autorità chiave (AgID, ACN e le autorità settoriali), affiancate da sportelli informativi europei e nazionali per imprese e PMI.

La Legge 132/2025 designa formalmente due “Autorità nazionali per l’intelligenza artificiale”, responsabili di applicazione e attuazione della normativa UE e nazionale in materia di IA:

  • AgID – Agenzia per l’Italia Digitale
    • Promuove l’innovazione e lo sviluppo dell’IA in Italia.
    • Definisce procedure e svolge funzioni in materia di notifica, valutazione, accreditamento e monitoraggio degli organismi che verificano la conformità dei sistemi di IA.
  • ACN – Agenzia per la Cybersicurezza Nazionale
    • Responsabile della vigilanza sui sistemi di IA, incluse attività ispettive e sanzionatorie, secondo normativa nazionale e UE.innovazione.
    • Cura anche gli aspetti di cybersicurezza legati all’IA e, insieme ad AgID, gestisce gli spazi di sperimentazione (sandbox) per sistemi di IA conformi.

Sempre l’art. 20 della legge italiana conferma che alcune autorità settoriali fungono da autorità di vigilanza del mercato per i sistemi di IA nei rispettivi ambiti:

  • Banca d’Italia – sistemi di IA in ambito bancario e di pagamento.
  • CONSOB – mercati finanziari e servizi di investimento.
  • IVASS – assicurazioni; è già attiva con sandbox regolamentare fintech/insurtech che può integrare casi d’uso IA.

La normativa italiana prevede anche un Comitato di coordinamento presso la Presidenza del Consiglio per favorire collaborazione tra le autorità (AgID, ACN, Garante Privacy, AGCOM, autorità finanziarie, ecc.). Oltre alle autorità “regolatrici”, esistono punti di contatto pratici per informazione e orientamento:

  • AI Act Service Desk – piattaforma unica europea, disponibile anche in italiano, con FAQ, AI Act Explorer e strumenti di supporto specificamente pensati per startup e PMI. Disponibile a questo link.
  • Camere di Commercio e Poli di Innovazione Digitale (EDIH) – alcune camere stanno attivando sportelli informativi per l’AI Act, offrendo prima consulenza e indirizzando le PMI verso professionisti e risorse specialistiche.

Sul portale dell’UE dedicato all’AI ACT è anche disponibile gratuitamente un “Compliance Checker”: puoi trovarlo a questo link.

Fonti:

Chalisa Veesommai Sillberg, et al. Navigating Compliance. Springer, 25 May 2026.

EU Artificial Intelligence Act. “Small Businesses’ Guide to the AI Act | EU Artificial Intelligence Act.” Artificialintelligenceact.eu, 2025, artificialintelligenceact.eu/small-businesses-guide-to-the-ai-act/. Accessed 27 Apr. 2026.