EU AI Act: cosa devi fare entro il 2 agosto 2026 (checklist)
17.04.2026 · 10 min
L'EU AI Act (Regolamento UE 2024/1689) è entrato in vigore l'1 agosto 2024 e si applica progressivamente. Il 2 agosto 2026 è la deadline che conta: scattano la maggior parte degli obblighi per aziende che usano AI. Sanzioni fino a 35 milioni € o 7% del fatturato globale. Ecco cosa fare, in ordine di urgenza.
Cosa è l'AI Act in 2 minuti
Classifica i sistemi AI in 4 livelli di rischio:
- Inaccettabile — vietati (social scoring, manipolazione, biometria pubblica).
- Alto rischio — soggetti a obblighi pesanti (HR, credito, infrastrutture critiche, sanità, giustizia).
- Limitato — solo trasparenza (chatbot, deepfake).
- Minimo — nessun obbligo specifico.
Per la maggior parte delle aziende italiane, gli AI usati sono "limitato" (chatbot, generazione testi). Pochi obblighi, ma reali.
La checklist 10 punti — fallo entro luglio 2026
1. Inventario AI System (Art. 49)
Censimento di TUTTI i sistemi AI in uso in azienda. Per ognuno: nome, fornitore, scopo, dati trattati, classificazione rischio. È un Excel base, ma deve esistere.
2. AI Literacy del personale (Art. 4) — OBBLIGATORIO
Ogni dipendente che usa AI nel lavoro deve avere "livello sufficiente di AI literacy". Significa formazione documentata. Vedi i percorsi formativi. Senza formazione = violazione.
3. Policy interna AI
Documento aziendale con: AI ammessi, vietati, casi d'uso permessi, procedura di adozione nuove AI, gestione incidenti, escalation. Una pagina basta.
4. Trasparenza con utenti finali (Art. 50)
Quando un utente interagisce con AI deve saperlo. Chatbot: «Sono l'assistente AI di [BRAND]». Contenuti AI-generated: marcati come tali.
5. DPIA per sistemi a rischio elevato
Se usi AI per decisioni HR, credito, accesso servizi essenziali: DPIA obbligatoria. Devi farla con DPO o consulente.
6. Supervisione umana significativa
Per ogni decisione importante presa con supporto AI: deve esserci umano nel loop. Documentato chi, quando, come.
7. Registro incidenti AI
Quando un sistema AI sbaglia (decisione errata, allucinazione causa danno): si registra. Per learning interno e per audit.
8. Conformità GDPR rinforzata
L'AI Act non sostituisce GDPR, lo aggiunge. Tutto quello che fai con AI dev'essere già GDPR-compliant.
9. Contratti con fornitori AI con clausole specifiche
I tuoi contratti con OpenAI, Anthropic, Google devono includere: divisione responsabilità, audit right, no-training su tuoi dati, GDPR DPA, AI Act compliance. Per vendor smart c'è già tutto, controlla solo.
10. Designare un AI Officer (raccomandato non obbligatorio)
Per aziende >250 dipendenti che usano AI in modo strutturato. Funzione: tenere insieme tutto. Spesso è IT Manager o DPO esteso.
Le sanzioni
| Violazione | Sanzione max |
|---|---|
| AI vietate | 35 milioni € o 7% fatturato globale |
| Obblighi alto rischio | 15 milioni € o 3% fatturato |
| Trasparenza/AI literacy | 7.5 milioni € o 1.5% fatturato |
Domande frequenti
Si applica anche alle PMI?
Sì. La legge non distingue per dimensione (a parte alcuni alleggerimenti per micro-imprese su DPIA). Tutte le aziende che usano AI devono adempiere.
Vuoi capire come applicare tutto questo nella TUA azienda?
In 30 minuti gratuiti capiamo se l'AI può davvero aiutarti. Senza venditori invadenti.
Richiedi consulenza gratuita Leggi la guida completa →