AI Act 2 agosto 2026: cosa scatta per le PMI manifatturiere italiane
Cosa scatta per le PMI il 2 agosto 2026 con l'AI Act. Cosa è rinviato al 2027, cosa no, e le tre cose pratiche da fare entro l'estate senza spendere 50.000 euro.
AI Act 2 agosto 2026: cosa scatta per le PMI manifatturiere italiane
La cosa che molti CEO stanno fraintendendo
Il 7 maggio 2026 il Parlamento UE e il Consiglio hanno raggiunto un accordo provvisorio sul Digital Omnibus. La sintesi che circola sulla stampa generalista è "AI Act rinviato". È una sintesi imprecisa che sta facendo abbassare la guardia a centinaia di PMI italiane.
Quello che è rinviato sono i sistemi ad alto rischio: l'Annex III autonomo va al 2 dicembre 2027, l'Annex I integrato in prodotti regolamentati (macchinari, dispositivi medici) va al 2 agosto 2028. Quello che resta in vigore al 2 agosto 2026 sono gli obblighi di trasparenza dell'Art. 50: chatbot rivolti a dipendenti o clienti, disclosure su contenuti generati da AI, watermarking obbligatorio dei contenuti sintetici dal 2 dicembre 2026.
Se la vostra PMI ha attivato Copilot per i venditori, un chatbot interno per la knowledge base, ChatGPT Plus per la stesura preventivi o uno scoring AI per la selezione candidati: siete dentro gli obblighi che scattano fra dieci settimane. Non fra diciotto mesi.
Le sanzioni sono concrete. Fino a 35 milioni di euro o 7% del fatturato mondiale per violazione dei divieti. Fino a 15 milioni o 3% per violazione degli obblighi sui sistemi ad alto rischio. Per le PMI il regolamento prevede che si applichi l'importo più basso fra cifra fissa e percentuale, ma quel più basso parte comunque sopra i 7,5 milioni. Non sono cifre da audit di chiusura bilancio.
Cosa significa "deployer" per una PMI
L'AI Act distingue tra provider (chi sviluppa e immette sul mercato un sistema AI) e deployer (chi lo usa nell'attività professionale). La quasi totalità delle PMI manifatturiere italiane è deployer, non provider. Questa è la categoria che spesso non ci si rende conto di abitare.
Se installate ChatGPT Enterprise per i vostri commerciali, siete deployer. Se attivate Microsoft Copilot per Office, siete deployer. Se comprate un chatbot da un fornitore italiano per gestire le richieste sul sito, siete deployer. Se usate uno strumento HR con scoring automatico dei CV, siete deployer di un sistema potenzialmente ad alto rischio.
Gli obblighi del deployer sul rischio limitato (la categoria in cui ricade la maggior parte dell'uso PMI) sono questi:
- Trasparenza: chi interagisce con il sistema deve sapere di parlare con un AI, non con una persona. Pratico: ogni chatbot interno o esterno deve avere disclaimer visibile.
- AI literacy: chiunque maneggia sistemi AI in azienda deve avere formazione adeguata al ruolo (Art. 4, già in vigore dal 2 febbraio 2025).
- Disclosure contenuti sintetici: immagini, audio, testi generati da AI devono essere etichettati come tali. Watermarking obbligatorio per i contenuti dal 2 dicembre 2026.
- Inventario sistemi in uso: non scritto nell'AI Act letteralmente ma necessario per dimostrare compliance in caso di audit. Il Garante chiederà l'elenco.
Gli obblighi del deployer sul rischio alto (HR scoring, scoring credito, valutazione prestazione lavoratori) sono molto più pesanti: assessment dei rischi, monitoring continuo, registro decisionale, garanzia di supervisione umana. Questi slittano al 2 dicembre 2027 (Annex III autonomo) o 2 agosto 2028 (Annex I integrato). Ma slittare non significa esimersi: significa avere più tempo per prepararsi.
Le tre cose da fare entro luglio 2026
Lo dico in modo diretto: non vi serve un consulente da cinquantamila euro. Vi servono tre cose fatte bene, in casa, in due settimane di lavoro distribuite su un mese.
1. Inventario sistemi AI in uso (mezzo giorno)
Una pagina A4. Tre colonne: nome del sistema, chi lo usa, che dati processa. Un esempio operativo:
| Sistema | Chi lo usa | Dati trattati |
|---|---|---|
| ChatGPT Plus (account aziendale) | 3 commerciali | Bozze email, riassunti meeting |
| Microsoft Copilot (M365 Business) | Tutto il team office (15 persone) | Documenti aziendali, email |
| HiBob (HR con scoring CV) | HR (2 persone) | CV candidati, valutazioni |
| Chatbot sito (vendor X) | Esterno, automatico | Form contatti, richieste |
Questo elenco lo fate voi col CFO o l'IT Manager. Tempo reale: 2-3 ore di interviste interne. Quasi sempre emerge che esistono almeno 2-3 sistemi "shadow AI" non autorizzati, attivati da singoli reparti senza coinvolgere la direzione. Trovarli ora costa zero, trovarli durante un audit costa molto.
2. Policy AI Usage interna (mezza giornata)
Due pagine. Cosa è ammesso, cosa no, chi è responsabile, cosa fare in caso di dubbio. Quattro paragrafi base:
- Sistemi autorizzati: l'elenco al punto 1, con la persona responsabile per ogni voce.
- Dati non condivisibili: dati personali clienti senza consenso, dati di lotto sensibili, segreti industriali, dati finanziari pre-pubblicazione.
- Uso responsabile: ogni contenuto pubblicato all'esterno generato da AI deve essere revisionato da un umano; ogni decisione che incide su un dipendente o cliente non può essere automatizzata al 100%.
- Cosa fare in caso di dubbio: contattare la persona X (il vostro DPO se ce l'avete, altrimenti il CFO o un IT Manager).
Modello "buono enough": cinque paragrafi, un foglio. Non vi serve un manuale di trecento pagine come per ISO 27001. Vi serve qualcosa che chiunque in azienda legga in dieci minuti e capisca.
3. Formazione AI literacy (mezza giornata per tutti, due giornate per chi maneggia dati sensibili)
L'Art. 4 dell'AI Act è in vigore dal 2 febbraio 2025 e impone "AI literacy" al personale che usa o gestisce sistemi AI. Le linee guida UE distinguono tre livelli:
- Base (4 ore): per chiunque usa AI in azienda. Cosa è un sistema AI, cosa sono i bias, perché non si incollano dati personali in ChatGPT, cos'è un'allucinazione, quando chiedere il supporto umano.
- Intermedio (8-16 ore): per chi maneggia dati sensibili, integra AI in flussi decisionali, configura sistemi. Aggiunge: introduzione GDPR + AI Act, gestione confidence threshold, escalation human-in-the-loop.
- Avanzato (40+ ore): per il DPO, il responsabile IT, chi prende decisioni di scelta vendor. Aggiunge: assessment rischi, contract negotiation, audit interno.
Per una PMI tipica: 4 ore di formazione base per tutto l'office, 16 ore per le 3-5 persone chiave. Costo realistico: 1.500-4.000 euro per un corso esterno strutturato. Costo zero se preparate il materiale internamente (il Politecnico Milano ha pubblicato dispense in open access).
Quello che non vi serve
Non vi serve un consulente AI Act che vende un audit da 50.000 euro per dirvi quello che sta scritto in questo articolo. I consulenti AI Act seri ci sono e fanno la differenza per le grandi imprese con sistemi ad alto rischio reali. Per una PMI manifatturiera con tre chatbot e Copilot in azienda, è esagerato.
Non vi serve una piattaforma di "AI governance" software-as-a-service. Sono utili per chi ha 50+ sistemi AI da governare in parallelo. Per voi è un foglio Excel aggiornato due volte all'anno.
Non vi serve un DPO esterno se non ne avete già uno. Se siete sotto i 250 dipendenti e non trattate categorie particolari di dati, la nomina del DPO non è obbligatoria. Se avete già un consulente privacy esistente per GDPR, è quello che vi aggiorna il registro trattamenti con la voce AI.
Non vi serve aspettare che "qualcuno chiarisca le linee guida ufficiali italiane". La Legge 132 del 10 ottobre 2025 ha già designato l'Agenzia per la Cybersicurezza Nazionale e AgID come autorità nazionali competenti. Le linee guida saranno emanate progressivamente, ma gli obblighi UE valgono indipendentemente dai chiarimenti italiani.
Cosa cambia davvero per voi
Cambia poco se il vostro uso AI è circoscritto e governato. Cambia molto se non avete nemmeno un elenco di cosa state usando.
I primi mesi di applicazione (agosto-dicembre 2026) il Garante e AgID si concentreranno verosimilmente sui casi visibili: chatbot rivolti al pubblico senza disclaimer, contenuti generati AI distribuiti come "scritti da umani", scoring HR senza informativa esplicita. Le ispezioni a tappeto su PMI medie arriveranno dopo, probabilmente 2027.
Quello che potete fare nei prossimi 60 giorni: l'inventario, la policy, la formazione base. Tre cose che insieme fanno della vostra azienda una PMI "consapevole", nella categoria che il Garante non sanziona prima e che gestisce le sanzioni con il minimo della tariffa quando sanziona.
Se vi serve un punto di confronto neutro su dove siete oggi, mezz'ora di audit gratuito senza pitch è il modo onesto di iniziare la conversazione. Senza obbligo di proseguire.
Quante di queste ore perdi anche tu?
Il check-up te lo dice in 3 minuti: 12 domande, risultato subito, senza registrazione. Se non c'è un caso forte, lo vedi dai tuoi numeri. Niente proposta finta.