L'AI Act europeo è il primo quadro normativo organico sull'intelligenza artificiale, e come per il GDPR molte PMI italiane lo stanno scoprendo tardi. Entra in vigore a tappe scaglionate fino al 2027, e nel 2026 sono già operativi pezzi importanti. La reazione tipica del cliente, "non ci riguarda, non facciamo AI pericolosa", è spesso sbagliata. Vediamo perché, senza panico e senza vendere paura.
La logica: rischio, non tecnologia
L'AI Act non regola "l'AI" in astratto: classifica gli usi per livello di rischio. Quattro categorie: vietati (social scoring, manipolazione), alto rischio (selezione del personale, credito, dispositivi medici, infrastrutture critiche), rischio limitato (chatbot, sistemi che generano contenuti), rischio minimo (la maggioranza dei casi). La domanda giusta non è "uso l'AI?", ma "in quale categoria ricade il mio uso?".
Cosa tocca la PMI media nel 2026
Obblighi di trasparenza (rischio limitato)
Se il tuo prodotto ha un chatbot, l'utente deve sapere che sta parlando con una macchina. Se generi immagini, audio o testo sintetici, vanno etichettati come tali. È l'obbligo che colpisce più prodotti, ed è anche il più semplice da rispettare: una riga di UI e una policy chiara.
Modelli general purpose (GPAI)
Chi fornisce modelli general purpose ha obblighi specifici di documentazione e trasparenza. La buona notizia per la PMI: se usi un modello di OpenAI, Anthropic o Google via API, gran parte di questi obblighi restano sul fornitore, non su di te. Ma tu diventi responsabile di come lo integri e per quale scopo.
La trappola dell'alto rischio nascosto
Qui casca la PMI convinta di essere fuori. Un gestionale HR che usa l'AI per fare screening dei CV? Alto rischio. Un tool che valuta l'affidabilità creditizia di un cliente? Alto rischio. Non serve costruire il modello: basta usarlo per una di quelle finalità per entrare nel perimetro degli obblighi pesanti (valutazione del rischio, documentazione, sorveglianza umana).
Cosa fare ora, in concreto
- Mappa i tuoi usi di AI: elenca ogni punto del prodotto dove c'è AI e assegna una categoria di rischio. Il 90% delle volte sei in "rischio minimo" o "limitato" e finisce lì.
- Sistema la trasparenza: dichiara i chatbot, etichetta i contenuti sintetici. Costa poco, chiude l'obbligo più diffuso.
- Verifica i casi HR e credito: se tocchi selezione del personale o scoring, fatti seguire da qualcuno che conosce la norma. Lì il rischio è reale.
- Tieni traccia dei fornitori: sapere quale modello usi e con quali termini è parte della tua due diligence. Serve anche per il GDPR.
Il parallelo con il GDPR
Nel 2018 il GDPR fu vissuto come apocalisse e poi normalizzato. L'AI Act seguirà la stessa curva: prima panico e consulenti che vendono paura, poi maturazione e strumenti standard. La PMI che si muove ora con ordine, mappatura, trasparenza, attenzione ai casi ad alto rischio, arriva pronta senza spendere in allarmismo.
Verdetto
L'AI Act non è un muro per chi costruisce prodotti sensati con l'AI. Per la maggioranza delle PMI si traduce in trasparenza e un po' di documentazione. Il rischio vero è ignorarlo e scoprire troppo tardi di essere in categoria "alto rischio" per un uso HR o creditizio che sembrava banale. Mappa gli usi adesso: è un pomeriggio di lavoro che ti evita mesi di rincorsa.