EU AI ACT: cosa c’è da sapere per le PMI!

eu-ai-act-per-le-pmi-aziende

Il 2 agosto 2025 è entrata in vigore una nuova normativa europea sull’Intelligenza Artificiale, l’Artificial Intelligence Act. Questo articolo chiarisce l’impatto per le PMI e cosa fare per evitare sanzioni.

Eu AI ACT: COS’É, DATE importanti e a CHI si applica

L’AI Act è un Regolamento dell’Unione Europea (pubblicato il 12 luglio 2024) che mira a stabilire principi etici e di sicurezza per l’uso delle tecnologie basate sull’Intelligenza Artificiale (AI). È la prima normativa globale sull’AI, e il suo testo, pur essendo un punto di partenza fondamentale, è ancora in fase di perfezionamento.

L’Artificial Intelligence Act non distingue chiaramente tra soggetti, ma classifica le entità in due categorie principali: Provider e User. I Provider sono coloro che sviluppano, modificano e vendono modelli AI con scopo di lucro. Gli User sono i semplici utilizzatori, come i dipendenti di una PMI o micro-azienda che usano ChatGPT per le email.

 📌 2 Agosto 2025Start AI ACT

Questa data ha segnato l’inizio degli adempimenti per gli Stati Membri, che devono individuare le autorità preposte all’applicazione e al controllo della normativa. In Italia, sono state individuate l’AGID e l’ACN (Agenzia Cybersecurity Nazionale), che si occupa anche della normativa NIS2.

Eu AI ACT per i fornitori AI – Provider

I provider, coloro che sviluppano e/o modificano modelli di GPAI per profitto devono, dal 2 agosto 2025 ed entro il 2 agosto 2027, fornire:

  1. Documentazione tecnica sui modelli AI (architettura, addestramento, ecc.).
  2. Un elenco delle fonti utilizzate per l’addestramento.
  3. Trasparenza: istruzioni d’uso chiare, informazioni sui rischi e sui soggetti terzi coinvolti.
  4. Regole sui diritti d’autore (Copyright) relative ai dati di addestramento.
  5. Eventuale adesione al codice di condotta una volta approvato.

Eu AI ACT per TUTTI, anche PMI e MICROIMPRESE

Il 2 agosto 2025 ha stabilito una linea di demarcazione per TUTTI, provider e aziende utilizzatrici di modelli GPAI, riguardo agli OBBLIGHI DI BASE da adottare entro il 2 febbraio 2026:

  • TRASPARENZA: Dal 2 agosto, è obbligatorio per le aziende dichiarare se si utilizzano modelli GPAI. Se documenti, presentazioni, report o email sono stati elaborati con l’AI, è necessario indicarlo al destinatario (es. nel disclaimer delle mail o in un’informativa), fornire dettagli sull’uso dei dati per l’addestramento, le fonti, l’eventuale condivisione con terzi e i diritti sul copyright. 
  • FORMAZIONE e ALFABETIZZAZIONE: Attività prioritaria per tutte le aziende (grandi, medie, PMI e Micro-Imprese). È essenziale fornire a chiunque utilizzi modelli GPAI in azienda le conoscenze minime per un uso corretto e sicuro dell’Intelligenza Artificiale. La formazione dovrebbe essere differenziata e personalizzata in base all’utente (es. reparto commerciale, amministrativo, marketing).

La modifica sostanziale di un modello AI, anche da parte di un semplice utilizzatore, e la sua successiva pubblicazione potrebbe far ricadere l’azienda che lo fornisce fra i provider. Altra particolare attenzione andrà posta a chi utilizza sistemi ad alto rischio nel campo della sanità o che potrebbero generare comportamenti pericolosi per l’individuo.

Il DDL AI di Settembre 2025

Al momento in cui questo articolo è in redazione è stato approvato alla Camera il primo DDL AI, che serve per armonizzare la normativa Italiana al Regolamento e di cui anticipiamo i punti chiave.

I 10 PUNTI CHIAVE del DDL AI Italia

  • Deleghe al Governo, entro 12 mesi dovranno essere adottati decreti legislativi per armonizzare la normativa italiana all’AI Act e regolare l’uso dei dati e degli algoritmi per l’addestramento dei sistemi di AI;
  • regime duale, AgID e ACN saranno le Autorità di competenza, previo coordinamento con la Presidenza del Consiglio, per presidiare sicurezza, qualità e trasparenza dei sistemi;
  • utilizzo dell’AI per supporto a diagnosi e cure, senza sostituire la decisione umana del medico, con l’obbligo di informare adeguatamente i pazienti;
  • progetti di ricerca e sperimentazioni su sistemi di AI;
  • possibilità di “riuso” per finalità di ricerca/sperimentazione, essenziale per il training algoritmico;
  • obbligo per il datore di lavoro (e per i professionisti vs clienti/assistiti) di informare sull’uso dell’AI, con istituzione di un Osservatorio nazionale;
  • uso vietato agli under 14 in assenza di consenso dei genitori;
  • diritto d’autore con riconoscimento della protezione delle opere generate dall’AI se opera dell’ingegno umano, con limitazioni per l’estrazione/riproduzione da dataset coperti da diritti;
  • nuovo reato di illecita diffusione di contenuti generati o manipolati dall’AI (con pene da 1 a 5 anni di reclusione);
  • un miliardo di euro tramite Cdp Venture Capital per sostenere PMI e imprese innovative attive in AI, cyber sicurezza, quantistica e TIC.

COSA devono FARE le PMI per aumentare la sicurezza AI e non incorrere in sanzioni

Prima di avviare la formazione, probabilmente il tassello principale per i non provider come le PMI, è fondamentale effettuare un’analisi interna delle reali esigenze di strumenti AI, individuando reparti, funzioni, utenti, responsabilità, piattaforme e fornitori AI, in base a criteri di conformità, sicurezza, costi e prestazioni.

Altra attività strategica è stabilire un piano d’azione che includa analisi preliminare, governance e monitoraggio continuo, tramite attività  di test, auditing, documentazione e procedure costantemente aggiornate, adottando un approccio By Design e By Default simile a quello previsto dal GDPR.

Il tutto dovrà tenere conto dei livelli di rischio previsti dal Regolamento, che adesso vediamo.

Cosa sono i LIVELLI di RISCHIO previsti dal EU AI ACT

È cruciale mappare i modelli di AI ad ALTO RISCHIO, suddivisi dal Regolamento AI ACT  in 6 categorie

livelli-rischio-ai-commissione-ue-piramide-graficaCredit Image UE Commission

La FORMAZIONE: uno dei pilastri per la compliance!

Una tra le attività da mettere in cima alla lista per essere conformi all’AI ACT è senza ombra di dubbio la formazione e l’alfabetizzazione da erogare a partire dai piani alti fino alle maestranze. Tutti e proprio tutti, devono essere informati, istruiti, e consapevolizzati sui rischi e sulle modalità per utilizzare al meglio l’AI senza mettere a repentaglio i dati critici e sensibili.

 👨‍👩‍👧‍👦 E quando diciamo tutti diciamo proprio tutti!

Difatti, anche l’ultimo dei magazzinieri potrebbe essere tentato di usare ChaptGpt, di cui ne ha sentito parlare un gran bene dal “cuggino” o dal collega di turno, per farsi aiutare a scrivere quella mail al titolare o al fornitore top per fare bella figura. 

Cos’è un sistema GPAI

I modelli GPAI, ovvero quelli che sono a livello basso di rischio ma che comunque devono sottostare ai principi di trasparenza, valutazione e mitigazione, sono sicuramente i più utilizzati.

🤓 Chi non ha mai resistito alla tentazione di farsi aiutare da CHAPT GPT per redigere una mail o una relazione aziendale?

L’AI ACT definisce un sistema GPAI o General Purpose Artificial Intelligence come: “Un modello di intelligenza artificiale che può essere utilizzato per una vasta gamma di compiti, non specificamente progettato o limitato a un’applicazione particolare.

Il GPAI è uno strumento AI di base, utilizzabile così com’è da un utente finale per creare testi, immagini, video, report, presentazioni, traduzioni, ecc. 

Quale IMPATTO avrà l’EU AI ACT su PMI e MICRO IMPRESE

La crescente diffusione dell’AI comporta profonde riflessioni sui rischi in termini di sicurezza ed etica. Le regolamentazioni sono benvenute per stabilire limiti e guidare la tecnologia in quanto un uso indiscriminato e inconsapevole di qualsiasi tecnologia non può che offrire il rovescio della medaglia tra cui possibili violazioni dei diritti individuali e dei perimetri di sicurezza.

L’AI Act è un tassello normativo fondamentale che riguarda tutti, senza limiti dimensionali o settoriali

Anche le PMI e le Micro Imprese quindi dovranno affrontare un percorso di compliance, che sarà proporzionato all’effettivo impatto dell’AI nel business aziendale.

Non bisogna incorrere nell’errore di pensare che una piccola azienda sia esente da pericoli dovuti ad un utilizzo errato e non consapevole dell’IA e quindi, ben venga questa regolamentazione che sarà probabilmente una pietra miliare cui seguiranno altre normative più o meno specifiche.

Vuoi maggiori informazioni su questi argomenti? Contattaci
    You May Also Like
    miglior-libro-intelligenza-artificiale-AI
    5 Agosto 2025I migliori libri su Intelligenza Artificiale da leggere sotto l’ombrellone!

    L’Intelligenza Artificiale (AI - Artificial Intelligence) è probabilmente una delle tecnologie più rivoluzionarie da quando...

    registro-rifiuti-rentri-normativa-soluzioni
    11 Luglio 2025RENTRI, il registro rifiuti digitale al via per tutti!

    RENTRI: il nuovo registro rifiuti speciali al via per TUTTI! Il DM 59/2023 aveva anticipato...

    gpsr-regolamento-sicurezza-prodotti
    20 Gennaio 2025GPSR il nuovo regolamento per la sicurezza dei prodotti

    Il 13 Dicembre 2024 è andato in vigore il nuovo Regolamento Europeo per la sicurezza...

    Contattaci