Regolamento UE sull'IA per PMI — Guida obbligatoria 2026

Il Regolamento UE sull'IA (Regolamento (UE) 2024/1689 del 13 giugno 2024) è la prima regolamentazione legale completa dell'intelligenza artificiale al mondo. Obbliga tutte le imprese che utilizzano, sviluppano o commercializzano sistemi di IA nell'UE — indipendentemente dalle loro dimensioni o sede. Ciò significa: anche un'impresa artigiana con 12 dipendenti a Kempten è soggetta al Regolamento UE sull'IA se utilizza strumenti di IA. Definizione (diretta, art. 3 Regolamento UE sull'IA): un sistema di IA è un sistema basato su macchine che, a partire da un insieme di input, genera output quali previsioni, raccomandazioni, decisioni o contenuti che possono influenzare ambienti fisici o virtuali. Nella pratica significa: ChatGPT, chatbot IA sul proprio sito web, filtri automatizzati di candidature, controlli del credito assistiti dall'IA e videosorveglianza intelligente rientrano tutti in questa definizione. Chi è interessato? Secondo l'art. 2 Regolamento UE sull'IA, il regolamento si applica a: — Fornitori (produttori/sviluppatori di sistemi di IA, anche in paesi terzi se il sistema è utilizzato nell'UE) — Deployer (imprese che utilizzano sistemi di IA nelle proprie operazioni — la maggioranza delle PMI) — Importatori e distributori di sistemi di IA — Persone interessate (non tenute alla conformità, ma definite come oggetto di tutela) Secondo uno studio Bitkom del 2025, il 64% delle PMI tedesche non sa di essere interessato dal Regolamento UE sull'IA. Eppure, secondo Statista (2025), il 47% delle aziende di medie dimensioni in Germania utilizza già almeno uno strumento di IA nelle attività operative — dai chatbot IA al software contabile automatizzato fino agli strumenti HR assistiti dall'IA. Particolarmente critico: il regolamento non differenzia in base alle dimensioni dell'impresa. Una start-up di 3 persone che utilizza un classificatore IA ad alto rischio per le candidature ha gli stessi obblighi di conformità di un grande gruppo. I requisiti si articolano esclusivamente in base al rischio del sistema di IA, non alle dimensioni dell'impresa. Perché il Regolamento UE sull'IA è rilevante adesso? La legge entra in vigore per fasi. La prima grande ondata è arrivata il 2 febbraio 2025 con i divieti per il rischio inaccettabile. Il 2 agosto 2026 entrano in vigore gli obblighi centrali per l'alto rischio — è la scadenza alla quale le PMI devono prepararsi già oggi. Secondo la Commissione UE (2025) si stima che 15 000 PMI in Germania siano direttamente interessate dai requisiti per l'alto rischio. Lo ZEW (Centro Leibniz per la Ricerca Economica Europea) stima in uno studio del 2024 che i costi una tantum di conformità per una PMI possano variare tra 50 000 e 400 000 €, a seconda del numero e della classe di rischio dei sistemi di IA utilizzati. Una preparazione tempestiva permette risparmi considerevoli — chi inizia solo nel 2026 paga di più.

Il cuore del Regolamento UE sull'IA è un approccio basato sul rischio: più alto è il rischio di un sistema di IA per i diritti fondamentali e la sicurezza, più severi sono i requisiti. Esistono quattro classi di rischio. 1. Rischio inaccettabile (sistemi di IA vietati) — art. 5 Regolamento UE sull'IA Questi sistemi di IA sono vietati dal 2 febbraio 2025. Nessuna impresa può utilizzarli: — Punteggio sociale da parte di organismi statali (come noto in Cina) — Sorveglianza biometrica in tempo reale in spazi pubblici da parte delle autorità (con eccezioni rigorose) — Manipolazione subliminale del comportamento che danneggia le persone — Sfruttamento delle vulnerabilità (età, disabilità) per influenzare il comportamento — Riconoscimento delle emozioni sul luogo di lavoro e negli istituti di formazione (con poche eccezioni) — Sistemi di IA per la profilazione di persone basata su caratteristiche protette Particolarmente rilevante per le PMI: chi utilizza analisi dell'umore o delle emozioni assistite dall'IA sui dipendenti deve disattivarla immediatamente. 2. Sistemi di IA ad alto rischio — art. 6, allegato III Regolamento UE sull'IA I sistemi ad alto rischio possono continuare a essere utilizzati, ma sono soggetti a requisiti severi. Sono elencati nell'allegato III del Regolamento sull'IA. Aree ad alto rischio rilevanti per le PMI: — HR e gestione del personale: sistemi di preselezione automatica dei candidati, valutazioni delle prestazioni con IA, IA di raccomandazione salariale. Riguarda ogni PMI che utilizza l'IA nel lavoro HR. — Concessione di credito: verifiche di solvibilità e scoring creditizio assistiti dall'IA. Rilevante per fintech e imprese con strumenti finanziari IA. — Istruzione e formazione: sistemi di IA per valutare gli studenti o decisioni di ammissione. Rilevante per le imprese di formazione. — Infrastrutture critiche per la sicurezza: IA nell'approvvigionamento idrico, energia, trasporti. — Giustizia e amministrazione: IA a supporto delle decisioni nei procedimenti giuridici. — Categorizzazione biometrica: sistemi che categorizzano le persone in base a caratteristiche come razza, nazionalità, opinioni politiche. Obblighi per i deployer ad alto rischio: redigere documentazione tecnica, eseguire valutazione di conformità, apporre la marcatura CE (per i fornitori), implementare un sistema di gestione dei rischi, garantire la trasparenza nei confronti degli utenti, assicurare la supervisione umana, obbligo di notifica in caso di incidenti gravi. 3. Sistemi di IA a rischio limitato — art. 50 Regolamento UE sull'IA Questa classe comprende i sistemi di IA con un potenziale di inganno basso ma reale. L'obbligo principale è la trasparenza: — I chatbot devono dichiarare che l'utente sta comunicando con un'IA — I deepfake e i media sintetici devono essere identificati come generati dall'IA — I testi generati dall'IA di carattere informativo (notizie, comunicazione ufficiale) devono essere contrassegnati Per la maggior parte delle PMI è la classe più rilevante: chi utilizza un chatbot IA sul sito web deve assicurarsi che gli utenti sappiano di parlare con un'IA. È semplice da implementare, ma è già controllato dall'autorità di vigilanza. 4. Rischio minimo — nessun obbligo specifico La maggior parte delle applicazioni di IA rientra in questa categoria: filtri antispam, personaggi IA nei giochi, IA semplice di editing immagini, algoritmi di raccomandazione senza contesto critico. Qui non vi sono obblighi di conformità — solo codici di condotta volontari. Regola pratica per le PMI: verifichi anzitutto se utilizza l'IA nelle aree HR, credito, istruzione o infrastrutture critiche. In caso affermativo, è probabilmente nell'area ad alto rischio. Se utilizza l'IA solo per marketing, assistenza clienti o generazione di testo, di solito è nell'area a rischio limitato o minimo.

Il Regolamento UE sull'IA entra in vigore in modo scaglionato. Le date chiave per la Sua impresa in sintesi: 1° agosto 2024 — Entrata in vigore Il Regolamento (UE) 2024/1689 è entrato in vigore il 1° agosto 2024. Con esso è iniziato il termine ufficiale di attuazione. 2 febbraio 2025 — Si applicano i divieti per il rischio inaccettabile Dal 2 febbraio 2025 (6 mesi dopo l'entrata in vigore) tutte le pratiche di IA vietate elencate all'art. 5 sono illegali. Le imprese che ancora gestiscono sistemi a rischio inaccettabile — come il riconoscimento delle emozioni sul luogo di lavoro o la pubblicità manipolativa con IA — agiscono illegalmente da quella data e rischiano sanzioni immediate. 2 agosto 2025 — Obblighi GPAI e struttura delle autorità Dal 2 agosto 2025 (12 mesi dopo l'entrata in vigore) si applicano le norme per i modelli di IA per finalità generali (General Purpose AI, GPAI) come GPT-4, Claude o Gemini. I fornitori di tali modelli devono mettere a disposizione documentazione tecnica, pubblicare politiche sul diritto d'autore e adottare ulteriori misure di sicurezza in caso di rischi sistemici. Per le PMI, in qualità di utenti di questi modelli, ciò significa: potrà utilizzare solo modelli GPAI di fornitori che soddisfano i nuovi requisiti di conformità. I LLM non conformi vanno utilizzati con cautela da questa data. Contemporaneamente, le autorità nazionali di vigilanza del mercato diventano operative. 2 agosto 2026 — La scadenza critica per la maggior parte delle PMI Dal 2 agosto 2026 (24 mesi dopo l'entrata in vigore) si applicano integralmente tutti i requisiti del Regolamento UE sull'IA — compresi gli ampi obblighi per l'alto rischio degli artt. 6 e seguenti. Per i deployer di sistemi di IA ad alto rischio significa: — Deve essere disponibile la documentazione tecnica completa — La valutazione di conformità deve essere conclusa — Il sistema di gestione dei rischi deve essere implementato e documentato — La supervisione umana deve essere ancorata istituzionalmente — Gli obblighi di trasparenza e informazione nei confronti degli utenti devono essere adempiuti — Gli obblighi di notifica degli incidenti all'autorità nazionale devono essere stabiliti Importante: per i sistemi ad alto rischio in settori già regolamentati (marcatura CE secondo altre direttive) si applica un periodo transitorio prolungato fino al 2 agosto 2027. 2 agosto 2027 — Ultimo termine transitorio Fino al 2 agosto 2027, i fornitori e i deployer di sistemi di IA ad alto rischio già soggetti a procedure di marcatura CE secondo altre direttive di armonizzazione (ad es. dispositivi medici, veicoli) hanno tempo per soddisfare i nuovi requisiti del Regolamento sull'IA. Per tutti gli altri: la conformità completa era già obbligatoria dall'agosto 2026. Raccomandazione per le PMI: inizi ora con l'inventario IA (quali strumenti di IA utilizzo?), la classificazione del rischio e la costruzione della documentazione di conformità. Chi inizia solo nella primavera 2026 non potrà realisticamente rispettare la scadenza di agosto in modo pulito.

Il Regolamento UE sull'IA prevede uno dei sistemi sanzionatori più severi del diritto economico europeo. Le sanzioni si articolano in base al tipo e alla gravità della violazione (art. 99 Regolamento UE sull'IA): Livello più elevato: fino a 35 mln € o il 7% del fatturato annuo mondiale Questo quadro sanzionatorio si applica alle violazioni dei divieti dell'art. 5 (pratiche di IA vietate) e a violazioni gravi dei requisiti di protezione dei dati del Regolamento sull'IA. Per una PMI con fatturato annuo di 10 mln € significa: sono possibili sanzioni fino a 700 000 € — già con una sola violazione provata. Livello intermedio: fino a 15 mln € o il 3% del fatturato annuo Questo quadro si applica alle violazioni dei requisiti per l'alto rischio (mancata gestione dei rischi, mancata documentazione, obblighi di trasparenza non adempiuti). È l'area che colpirà la maggior parte delle PMI. Livello più basso: fino a 7,5 mln € o l'1% del fatturato annuo Per informazioni false o ingannevoli alle autorità, ad esempio nella valutazione di conformità. Norma speciale per PMI e start-up: l'art. 99, par. 6 Regolamento UE sull'IA prevede che, nella commisurazione delle sanzioni, si tenga conto della proporzionalità e che per PMI e start-up valga il valore inferiore tra i due (limite massimo assoluto o quota percentuale del fatturato). È un certo cuscinetto di protezione — ma non un lasciapassare. Azioni private di risarcimento: oltre alle sanzioni amministrative, le persone interessate possono far valere il risarcimento ai sensi dell'art. 82 GDPR (e in futuro ai sensi del diritto nazionale sulla responsabilità in materia di IA). L'EU AI Liability Act (ancora in preparazione, stato maggio 2026) amplierà ulteriormente queste possibilità di azione. Applicazione amministrativa: ogni Stato membro dell'UE deve designare un'autorità nazionale di vigilanza del mercato per l'IA. In Germania assumerà presumibilmente questo ruolo la Bundesnetzagentur (decisione attesa al Ministero federale degli Affari digitali e dei Trasporti). L'autorità riceve ampi poteri di indagine ed esecuzione — comprese verifiche senza preavviso. Danno reputazionale: oltre alle sanzioni finanziarie, le violazioni del Regolamento sull'IA comportano un notevole danno reputazionale. Il Regolamento UE sull'IA prevede una banca dati europea in cui i sistemi ad alto rischio e gli incidenti sono accessibili al pubblico. Un'iscrizione per violazione della conformità è dannosa per l'attività delle imprese B2B.

Il percorso verso la conformità al Regolamento UE sull'IA non è un progetto una tantum, ma un processo strutturato. Ecco un approccio collaudato in 6 fasi per le PMI: Fase 1: redigere un inventario IA (settimane 1–2) Inizi con un inventario completo di tutti i sistemi di IA utilizzati. Sembra banale, ma non lo è: molte PMI sottovalutano il numero di strumenti di IA in uso. Punti ciechi tipici sono le funzioni IA nei software standard (ad es. scoring IA in HubSpot, assistente di scrittura IA in Microsoft 365, prioritizzazione automatica nel sistema di helpdesk). Crei una tabella con: nome dello strumento, fornitore, finalità d'uso, reparto interessato, numero di persone interessate e categoria di rischio preliminare. Secondo un'indagine McKinsey (2024), il 73% delle imprese che si considerano «poco intensive in IA» ha individuato, dopo un inventario sistematico, oltre 15 funzioni IA distinte. Fase 2: classificazione del rischio (settimane 3–4) Classifichi ogni sistema di IA individuato secondo le quattro classi di rischio del Regolamento UE sull'IA. Lavori a tal fine con il testo concreto dell'allegato III del regolamento e gli orientamenti della Commissione UE (stato attuale: atto delegato sui sistemi ad alto rischio, ottobre 2024). In caso di dubbi sulla classificazione si raccomanda la consulenza di un avvocato specializzato in diritto dell'IA. Fase 3: analisi delle lacune e definizione delle priorità (settimane 5–6) Per ogni sistema ad alto rischio: verifichi lo stato attuale di conformità rispetto ai requisiti degli artt. 9–15 Regolamento UE sull'IA. Lacune tipiche nelle PMI: — Nessuna documentazione tecnica disponibile — Nessun sistema formale di gestione dei rischi — Nessuna responsabilità definita (AI Officer o equivalente) — Nessuna documentazione di trasparenza per l'utente — Nessun processo di escalation definito in caso di errori IA Fase 4: attuazione delle misure tecniche e organizzative (mesi 2–5) Attuazione delle misure individuate per priorità. Misure immediate collaudate nella pratica: — Politica di governance dell'IA: direttiva interna per l'uso dell'IA (modello disponibile presso Wito AI) — Designare un AI Officer: almeno una persona a livello dirigenziale che assuma la responsabilità della conformità — Documentazione tecnica: redigere per ogni sistema ad alto rischio la documentazione richiesta dal Regolamento sull'IA — Processi di supervisione umana: definire come e da chi vengono verificate le decisioni dell'IA — Avvisi di trasparenza: contrassegnare tutti i punti di contatto utente con l'IA Fase 5: valutazione di conformità (mesi 5–6) Per i sistemi ad alto rischio che Lei stesso sviluppa o modifica in modo significativo: eseguire una valutazione di conformità formale ai sensi dell'art. 43 Regolamento UE sull'IA (in molti casi possibile come autovalutazione). Per i sistemi ad alto rischio che Lei utilizza solo come deployer: verifichi la dichiarazione di conformità del fornitore e si assicuri che il fornitore sia conforme all'art. 16 Regolamento UE sull'IA. Fase 6: monitoraggio continuo e gestione degli incidenti (dal mese 7) La conformità non è un progetto una tantum. Implementi: — Revisione annuale dell'inventario IA — Registrazione delle decisioni IA (per quanto tecnicamente possibile) — Processo di escalation per incidenti IA con catena di segnalazione alla futura autorità nazionale — Formazione regolare per i dipendenti che utilizzano sistemi di IA — Tracciamento degli aggiornamenti: il Regolamento sull'IA viene ulteriormente sviluppato tramite atti delegati Impegno tipico per una PMI: secondo la Bundesverband IT-Mittelstand (BITMi, 2025), le PMI con 50–249 dipendenti necessitano in media di 120–280 ore per la prima documentazione di conformità. Con il supporto esterno questo impegno si riduce a 40–80 ore.

Molte PMI chiedono: «Siamo già conformi al GDPR — non basta?» La risposta chiara: no. GDPR e Regolamento UE sull'IA sono quadri normativi complementari ma autonomi, con focus diverso. GDPR (dal 2018): disciplina la protezione dei dati personali. Si concentra su minimizzazione dei dati, limitazione delle finalità, diritti degli interessati (accesso, cancellazione, opposizione). Si applica a ogni operazione di trattamento di dati personali — con o senza IA. Regolamento UE sull'IA (dal 2025/2026): disciplina l'uso dei sistemi di IA in base al loro livello di rischio. Si concentra su trasparenza, supervisione umana, documentazione e valutazione di conformità. Si applica ai sistemi di IA — anche quando non trattano dati personali. Sovrapposizioni: per i sistemi di IA che trattano dati personali si applicano contemporaneamente ENTRAMBI i quadri. Uno strumento HR IA per la selezione dei candidati è al tempo stesso rilevante per il GDPR (trattamento di dati dei candidati) e per il Regolamento sull'IA (classificazione ad alto rischio). Gli obblighi di conformità si sommano, non si sostituiscono. Differenze chiave in sintesi: — Il GDPR si applica a tutti i trattamenti di dati, il Regolamento sull'IA solo ai sistemi di IA — Il GDPR non ha un approccio per prodotto, il Regolamento sull'IA è legato al prodotto — Sanzioni GDPR: fino al 4% del fatturato annuo mondiale; Regolamento sull'IA: fino al 7% (pratiche vietate) o 3% (alto rischio) — La responsabilità GDPR ricade sul titolare del trattamento, il Regolamento sull'IA distingue tra fornitore e deployer Suggerimento pratico: utilizzi la Sua documentazione GDPR esistente come base. Molti elementi — valutazione d'impatto sulla protezione dei dati (DPIA), registro dei trattamenti, misure tecniche di sicurezza — possono essere riutilizzati e integrati per il Regolamento sull'IA, anziché ripartire da zero.

Wito AI è un'agenzia digitale e di IA full-service focalizzata sulle PMI. Accompagniamo le PMI attraverso tutte e sei le fasi della conformità — dal primo inventario al monitoraggio continuo. Cosa offriamo concretamente: — Digitalisierungs-Check gratuito: la nostra valutazione web (ass.wito.ai) identifica in 3 minuti il Suo attuale utilizzo dell'IA e fornisce una prima stima della rilevanza del Regolamento sull'IA. 100% gratuito, senza necessità di registrazione. — Inventario IA e classificazione del rischio: elaboriamo insieme a Lei un elenco completo di tutti i sistemi di IA e li classifichiamo secondo il Regolamento UE sull'IA. — Documentazione di conformità: documentazioni tecniche, AI Governance Policy, sistema di gestione dei rischi ai sensi dell'art. 9 Regolamento UE sull'IA — il tutto da un'unica fonte. — Formazioni per il Suo team: workshop pratici sulle basi del Regolamento UE sull'IA, classificazione del rischio e mantenimento continuo della conformità. — Modello CDOaaS continuativo: in qualità di Chief Digital Officer esterno, accompagniamo la Sua impresa in modo duraturo e manteniamo aggiornata la Sua conformità di fronte ai cambiamenti normativi. Perché Wito AI? Combiniamo know-how tecnico in IA con la comprensione giuridica della conformità. Il nostro team ha già accompagnato oltre 40 PMI nella conformità GDPR e IA. Non parliamo gergo giuridico — traduciamo i requisiti normativi in misure aziendali pragmatiche. Con il modello CDOaaS a partire da 990 €/mese, le piccole e medie imprese ottengono un esperto esterno che tratta la conformità come un tema continuo — non come un progetto una tantum.