A novembre 2025 il quadro regolatorio europeo sull’AI non è più teoria: i divieti per alcune pratiche sono già applicabili dal 2 febbraio 2025, gli obblighi per i modelli di uso generale (GPAI) hanno una prima soglia nell’agosto 2025, e la data di applicazione generale dell’AI Act per la maggior parte delle regole è fissata al 2 agosto 2026. Per le PMI che usano l’AI (selezione del personale, marketing, scoring, sicurezza sul lavoro) questo è il momento di impostare policy, log ed evidenze e di chiarire ruoli e contratti con i fornitori.
- Cosa cambia per chi usa l’AI in azienda
- Timeline 2025–2026: cosa fare e quando
- Processi ed evidenze: dal registro AI ai log e alla trasparenza
- Conclusioni
Cosa cambia per chi usa l’AI in azienda
L’AI Act distingue tra fornitori e utilizzatori (deployers). Le PMI rientrano spesso tra i deployers: chi mette in servizio o usa un sistema d’AI — ad esempio per recruiting, valutazione performance, assegnazione turni o scoring — deve rispettare obblighi specifici quando il sistema è ad alto rischio (risk management, supervisione umana qualificata, qualità dei dati, registri e log, monitoraggio e segnalazione di incidenti).
Queste regole per i deployer si applicano, in via generale, dal 2 agosto 2026. In ambito lavoro la norma chiede anche trasparenza verso i lavoratori prima della messa in servizio di sistemi che li riguardano.
Accanto agli alti rischi, l’atto prevede obblighi di trasparenza quando le persone interagiscono con un chatbot, sono esposte a deepfake o a sistemi che rilevano emozioni/caratteristiche: la comunicazione deve essere chiara e resa al più tardi al primo contatto; questi obblighi, salvo eccezioni specifiche, si applicano dal 2 agosto 2026.
Infine, alcune pratiche sono vietate sin d’ora (da febbraio 2025): per esempio la manipolazione che altera significativamente il comportamento di persone vulnerabili, il social scoring generalizzato e alcuni impieghi di dati biometrici. Sono già state pubblicate linee guida della Commissione per aiutare l’interpretazione di questi divieti.
Timeline 2025–2026: cosa fare e quando
Tra fine 2025 e metà 2026 le PMI dovrebbero passare da “progetti pilota” a processi strutturati. In pratica: individuare dove si usa l’IA (anche nella filiera, es. ATS con screening automatico), assegnare responsabilità interne (nasce il profilo dell’AI Compliance Manager), mappare fornitori e modelli e decidere come trattare i casi che cadono nella sfera ad alto rischio (HR, credito, safety).
Per i fornitori di modelli GPAI, il 2025 ha portato un Codice di condotta volontario della Commissione per dimostrare la conformità anticipando gli obblighi del 2025–2026; per le PMI-utenti è utile scegliere partner che aderiscono o che comunque diano garanzie equivalenti su sicurezza, trasparenza e diritti.
Guardando al 2 agosto 2026, data di applicazione generale, è prudente pianificare entro il Q2 2026 la messa a regime di: supervisione umana per gli usi ad alto rischio, log e tracciabilità delle decisioni, informative a utenti e lavoratori, procedure d’incidente e di cessazione d’uso se il rischio diventa inaccettabile. La Commissione e il Parlamento hanno ribadito nel 2025 che non sono previsti rinvii: conviene quindi impostare ora policy e prove.
Processi ed evidenze: dal registro AI ai log e alla trasparenza
Un’implementazione credibile per una PMI ruota attorno a quattro evidenze.
La prima è un registro dei sistemi AI in uso: per ciascun caso d’uso si documentano finalità, fornitore, versione/model card, dati trattati, basi giuridiche privacy (se rilevanti), ruolo (deployer vs fornitore), rischi e misure di controllo. Questo registro diventa la bussola per valutare classificazione del rischio e obblighi applicabili, e rende difendibili le scelte in caso di audit o reclami.
La seconda è la tracciabilità tecnica: per i sistemi ad alto rischio la norma chiede logging adeguato e monitoraggio in esercizio. In pratica: conservare log degli input e delle decisioni, annotare interventi umani e aggiornamenti del modello, e predisporre report di incidente qualora emergano rischi o malfunzionamenti significativi.
La terza riguarda la trasparenza esterna: quando l’utente interagisce con un chatbot o è esposto a contenuti sintetici, l’informazione va resa in modo distinguibile, chiaro e accessibile (per esempio su un percorso di assistenza al cliente o in comunicazioni HR). La regola è che la persona deve sapere di interagire con un’IA e poter chiedere, ove previsto, un intervento umano.
La quarta è la governance dei fornitori: scegliere soluzioni che espongano documentazione d’uso, limiti noti, metriche e, se parliamo di GPAI, un percorso di conformità (ad esempio adesione al Codice di condotta o impegni equivalenti su sicurezza, copyright e tracciabilità). Nei contratti conviene fissare obblighi di disclosure degli incidenti e la possibilità di audit proporzionati.
Conclusioni
Sul piano contrattuale, vale la pena aggiornare già nel 2025-2026:
1) ambito e limiti dell’automazione,
2) obblighi di trasparenza e incident disclosure del fornitore,
3) diritto di audit proporzionato,
4) trigger per sospendere o spegnere il sistema se il rischio supera le soglie.
Queste clausole, insieme alle evidenze descritte sopra, riducono il contenzioso quando dal 2 agosto 2026 molte regole diventeranno esigibili.
Il biennio 2025–2026 è la finestra per passare da “sperimentare l’AI” a governarla: mappa dei casi d’uso, responsabilità chiare, log ed evidence pack a prova di audit, fornitori allineati al Codice GPAI o a impegni equivalenti, e contratti che prevedano trasparenza e incident disclosure. Con un AI Compliance Manager la tua PMI può usare l’AI in sicurezza, trasformando l’AI Act da minaccia burocratica a vantaggio competitivo.
