Immagina questa scena: sei il titolare di una PMI a Roma. Ogni mattina, la tua assistente usa ChatGPT per rispondere alle email dei clienti. Il tuo responsabile HR ha iniziato a usare un tool di IA per scremare i curriculum. Il customer service? Chatbot con IA integrata. Tutto fila liscio, tutti contenti. Poi un giorno arriva una lettera dall’autorità di controllo. E ti ritrovi con una sanzione da capogiro perché nessuno nella tua azienda sapeva cosa fosse l’AI Act.
Fantascienza? No. È quello che sta succedendo — o sta per succedere — a migliaia di aziende italiane che usano l’IA senza nemmeno sapere di essere soggette a una normativa europea precisa e già in vigore.
Cos’è l’AI Act (e perché ti riguarda anche se non sei un’azienda tech)
L’AI Act è il Regolamento Europeo sull’Intelligenza Artificiale. È la prima legge al mondo che regola in modo organico l’uso dell’IA. Non è una direttiva, non è una raccomandazione, non è un “sarebbe carino se…”. È un regolamento, il che significa che è direttamente applicabile in tutti gli Stati membri dell’UE, Italia compresa.
Il regolamento è entrato in vigore e l’Articolo 4 — quello che riguarda la alfabetizzazione in materia di IA (IA literacy) — è applicabile già da febbraio 2025. Sì, hai letto bene. Non dal 2027, non “in futuro”. Adesso.
In pratica, l’Articolo 4 dice una cosa molto semplice: chiunque nella tua azienda utilizzi, sviluppi o supervisioni sistemi di IA deve avere una formazione adeguata. Non è un suggerimento. Non è un consiglio tra amici. È legge.
Chi è soggetto all’AI Act? (Spoiler: quasi sicuramente anche tu)
Ecco il punto che la maggior parte degli imprenditori italiani non ha ancora capito: non devi essere un’azienda tecnologica per rientrare nel perimetro dell’AI Act. Basta che tu usi sistemi di IA nella tua attività. Punto.
Facciamo qualche esempio concreto:
- Usi ChatGPT per scrivere email ai clienti o redigere documenti? Rientri nell’AI Act.
- Hai implementato un chatbot con IA sul sito per il customer service? Rientri nell’AI Act.
- Il tuo ufficio HR usa un software di IA per lo screening dei CV? Rientri nell’AI Act (e con requisiti molto più stringenti, tra l’altro).
- Utilizzi strumenti di IA per l’analisi dei dati dei clienti? Rientri nell’AI Act.
- Usi Copilot, Gemini o qualsiasi altro assistente IA? Indovina un po’.
La verità scomoda è che la stragrande maggioranza delle PMI italiane sta già usando l’IA in qualche forma, spesso senza nemmeno rendersene conto. E quasi nessuna ha fatto quello che la legge richiede.
Le sanzioni: non sono bruscolini
Parliamo di soldi, che è il linguaggio che tutti capiscono. Le sanzioni previste dall’AI Act possono arrivare fino a 35 milioni di euro o al 7% del fatturato annuo globale (si applica l’importo maggiore) per le violazioni più gravi. Per le violazioni relative alla mancata formazione e agli obblighi di trasparenza, le cifre sono inferiori ma parliamo comunque di milioni di euro.
Ora, è probabile che le prime azioni di enforcement si concentreranno sui casi più eclatanti. Ma aspettare che “tocchi agli altri” non è una strategia. È speranza. E la speranza, come sanno bene gli imprenditori, non è un business plan.
Le quattro categorie di rischio: come funziona il sistema
L’AI Act adotta un approccio basato sul rischio. Non tratta tutta l’IA allo stesso modo — e questo, va detto, è un approccio sensato. Ci sono quattro livelli:
1. Rischio inaccettabile (vietato)
Alcuni usi dell’IA sono semplicemente banditi. Social scoring come in certi regimi? Vietato. Manipolazione subliminale delle persone? Vietato. Sorveglianza biometrica di massa in tempo reale? Vietato (con eccezioni molto limitate per le forze dell’ordine). Se stavi pensando di usare l’IA per dare un “punteggio sociale” ai tuoi dipendenti, lascia perdere.
2. Rischio alto (regole stringenti)
Qui le cose si fanno serie. Rientrano in questa categoria i sistemi di IA usati per:
- Selezione e gestione del personale
- Valutazione del credito
- Accesso a servizi essenziali
- Sistemi biometrici di identificazione
- Infrastrutture critiche
Se usi l’IA per scremare CV o valutare candidati, sei in questa categoria. Servono valutazione di conformità, documentazione tecnica, gestione del rischio, supervisione umana e molto altro. Non è roba che si improvvisa.
3. Rischio limitato (obblighi di trasparenza)
Chatbot, deepfake, contenuti generati dall’IA. L’obbligo principale è la trasparenza: devi informare le persone che stanno interagendo con un sistema di IA o che un contenuto è stato generato dall’IA. Quel chatbot sul tuo sito? I tuoi clienti devono sapere che stanno parlando con una macchina, non con Mario dell’assistenza.
4. Rischio minimo (libertà quasi totale)
Filtri antispam, IA nei videogiochi, sistemi di raccomandazione generici. Per questi, nessun obbligo specifico oltre a quelli generali di alfabetizzazione. Ma attenzione: l’obbligo di formazione del personale dell’Articolo 4 si applica comunque.
Cosa devi fare concretamente: la checklist per le aziende italiane
Basta teoria. Ecco cosa deve fare una PMI italiana, passo dopo passo, per mettersi in regola con l’AI Act.
Passo 1: Audit degli strumenti di IA
Prima di tutto, devi sapere cosa stai usando. Fai un censimento completo di tutti gli strumenti di IA presenti nella tua azienda. E non pensare solo ai software “ufficiali” — conta anche il dipendente che usa ChatGPT dal suo smartphone per scrivere le risposte ai clienti. Conta l’IA integrata in Microsoft 365. Conta tutto.
Crea un registro che includa: nome dello strumento, fornitore, scopo di utilizzo, chi lo usa, quali dati vengono trattati.
Passo 2: Formazione del personale
Questo è l’obbligo più immediato e quello che meno ammette scuse. L’Articolo 4 richiede che tutto il personale coinvolto con sistemi di IA abbia un livello adeguato di alfabetizzazione in materia di IA. La formazione deve essere proporzionata al ruolo: chi usa l’IA per scrivere email ha bisogno di una formazione diversa da chi la usa per prendere decisioni sulle assunzioni.
Non basta un PDF da far firmare. Serve formazione vera, documentata, tracciabile. Il tipo di corso che, se arriva un controllo, puoi dimostrare di aver erogato.
Passo 3: Documentazione dell’utilizzo
Documenta come la tua azienda usa l’IA. Per ogni sistema, dovresti avere: una descrizione di cosa fa, perché lo usi, quali decisioni influenza, chi è responsabile della supervisione, come gestisci gli errori. Non deve essere un trattato — deve essere chiaro, aggiornato e accessibile.
Passo 4: Valutazione del rischio
Per ogni sistema di IA che usi, valuta in quale categoria di rischio rientra. Se scopri di avere sistemi ad alto rischio (tipico caso: software di screening CV), devi adottare misure specifiche e più rigorose. Se non sai come classificare un sistema, chiedi a un esperto. Questo non è il momento del fai-da-te.
Consigli pratici per la piccola impresa
Lo so cosa stai pensando: “Ma io ho 12 dipendenti e un fatturato che a stento copre i costi, e adesso devo pure preoccuparmi dell’AI Act?”. Capisco. Ma la legge non fa distinzioni di dimensione (anche se le sanzioni sono proporzionate).
La buona notizia è che per una piccola impresa che usa l’IA a livello base — ChatGPT per le comunicazioni, qualche automazione, magari un chatbot — mettersi in regola non è così traumatico. Ecco un approccio pragmatico:
- Inizia dalla formazione: è l’obbligo già attivo e il più semplice da soddisfare. Un corso ben fatto risolve il problema dell’Articolo 4.
- Fai l’inventario: dedica mezza giornata a elencare tutti gli strumenti di IA che usi. Rimarrai sorpreso da quanti ne troverai.
- Crea policy interne: non servono documenti da 200 pagine. Una policy chiara su come i dipendenti possono e devono usare l’IA, cosa possono condividere con i sistemi di IA, e cosa è vietato.
- Verifica la trasparenza: se hai un chatbot, assicurati che i clienti sappiano di parlare con un’IA. Se generi contenuti con l’IA, valuta se devi dichiararlo.
- Tieni traccia: conserva la documentazione della formazione erogata, delle decisioni prese, degli strumenti adottati e dismessi.
Niente panico, ma niente immobilismo
Detto tutto questo, il messaggio che voglio passare non è “siamo tutti spacciati”. L’AI Act non è stato creato per uccidere l’innovazione o per torturare i piccoli imprenditori. È nato per garantire che l’IA venga usata in modo responsabile, trasparente e rispettoso dei diritti delle persone. Obiettivi condivisibili, no?
Il problema è che troppe aziende italiane stanno ancora nella fase del “non mi riguarda” o del “vediamo cosa succede”. E questo è un errore. Non perché domani arriverà la Guardia di Finanza dell’IA a bussare alla porta, ma perché mettersi in regola è più facile oggi che fra un anno, quando le regole saranno ancora più stringenti e i controlli più serrati.
L’AI Act è un regolamento a implementazione progressiva: alcune parti sono già in vigore, altre entreranno nei prossimi mesi e anni. Chi si muove adesso ha il vantaggio del tempo. Chi aspetta si ritroverà a rincorrere.
Il mio punto di vista
Da esperto di IA che lavora ogni giorno con aziende di ogni dimensione a Roma e in tutta Italia, vedo una cosa chiarissima: il gap tra chi usa l’IA e chi capisce l’IA è enorme. Tantissime aziende hanno adottato strumenti di intelligenza artificiale — spesso con ottimi risultati in termini di produttività — senza avere la minima idea delle implicazioni normative, etiche e pratiche.
L’AI Act, con tutti i suoi limiti, costringe le aziende a fare una cosa che avrebbero dovuto fare comunque: usare l’IA con consapevolezza. Non per paura della multa, ma perché un’azienda che usa l’IA senza capirla è un’azienda che sta costruendo su sabbie mobili.
La formazione non è solo un obbligo normativo. È un investimento. Un team che capisce l’IA la usa meglio, commette meno errori, identifica più opportunità e — sì — tiene l’azienda al riparo dalle sanzioni. Nei miei corsi di formazione sull’IA, progettati proprio per soddisfare i requisiti dell’AI Act, vedo imprenditori che entrano preoccupati e escono entusiasti. Perché quando capisci come funziona davvero l’IA, smetti di temerla e inizi a sfruttarla sul serio.
Il mio consiglio? Non aspettare la sanzione per muoverti. Non aspettare nemmeno che il tuo commercialista ti dica qualcosa (con tutto il rispetto, non è il suo mestiere). Prenditi una settimana, fai il punto della situazione nella tua azienda, e inizia a metterti in regola. Il futuro dell’IA è luminoso, ma solo per chi ci arriva preparato.
Pasqualino Ferrari — Super Squalo, esperto IA a Roma. Se hai domande sull’AI Act o vuoi capire come adeguare la tua azienda, contattami. Ne parliamo senza legalese, promesso.
Leggi anche
- Agenti IA: cosa sono e come funzionano nel 2026
- ChatGPT vs Claude vs Gemini vs Grok: quale scegliere
Vuoi portare l’intelligenza artificiale nella tua azienda a Roma? Scopri i servizi di consulenza IA di Super Squalo → Esperto Intelligenza Artificiale Roma
