AI Act rinviato al 2027: cosa cambia per la tua PMI (e come prepararsi senza budget enterprise)

Il 7 maggio 2026, Parlamento europeo e Consiglio UE hanno raggiunto un accordo provvisorio sul Digital Omnibus, il pacchetto che modifica il Regolamento UE 2024/1689 — noto come AI Act. La notizia ha fatto il giro delle redazioni: la scadenza per i sistemi di AI ad alto rischio slitta a dicembre 2027 (agosto 2028 per i componenti di sicurezza integrati in prodotti regolati). Ma dietro il titolo rassicurante si nasconde un dettaglio che la maggioranza delle PMI italiane ignora: le pratiche vietate, l'obbligo di alfabetizzazione AI e i vincoli di trasparenza sono già in vigore. Questo articolo smonta il FUD, spiega cosa conta davvero per un'impresa con 10-50 dipendenti e mostra perché il rinvio è un'opportunità, non un alibi per rimandare.

Cosa c'è già in vigore (e perché molte PMI non lo sanno)

Il calendario dell'AI Act è progressivo. Mentre l'attenzione mediatica si concentra sulle scadenze lontane, tre pilastri normativi sono già operativi e producono effetti concreti:

1. Pratiche vietate (Art. 5) — In vigore dal 2 febbraio 2025. Sono banditi il social scoring, la manipolazione comportamentale subliminale, la categorizzazione biometrica basata su dati sensibili, lo scraping massivo di immagini facciali e il riconoscimento delle emozioni sul luogo di lavoro o a scuola. La sanzione per violazione arriva fino a 35 milioni di euro o al 7% del fatturato annuo mondiale.
2. Alfabetizzazione AI (Art. 4) — In vigore dal 2 febbraio 2025. Chi fornisce o utilizza sistemi di AI deve promuovere (il Digital Omnibus ha attenuato il verbo da "garantire" a "promuovere", ma l'obbligo resta) un livello adeguato di competenze nel personale.
3. Trasparenza per chatbot e contenuti sintetici (Art. 50) — Applicabile dal 2 agosto 2026. Se il sito aziendale usa un chatbot, questo deve dichiarare di essere AI al primo contatto. I contenuti generati o manipolati da AI vanno etichettati.

Secondo i dati raccolti da AIPolicy.it, la maggioranza delle micro-imprese italiane che utilizza strumenti come ChatGPT, chatbot sul sito o software di screening CV non ha ancora adempiuto all'obbligo di AI literacy. Non si tratta di una dimenticanza burocratica: la mancata formazione del personale è considerata aggravante in caso di altre violazioni dell'AI Act.

Il punto critico è che l'ignoranza della norma non esonera. E il tessuto delle PMI italiane — 99,9% delle imprese attive, con meno di 250 dipendenti — è il più esposto proprio perché privo di uffici legali interni dedicati.

Il rinvio al 2027: cosa cambia (e cosa no)

L'accordo del 7 maggio 2026 — ancora in forma provvisoria e in attesa di adozione formale entro il 2 agosto 2026 — sposta in avanti tre scadenze chiave, come dettagliato da Studio Previti e confermato dal report di AI4Business:

Obbligo	Scadenza originale	Nuova scadenza
Sistemi alto rischio (applicazioni autonome: biometria, HR, istruzione, forze dell'ordine)	2 agosto 2026	2 dicembre 2027
Sistemi alto rischio (componenti di sicurezza in prodotti regolati: medicale, macchinari, giocattoli)	2 agosto 2026	2 agosto 2028
Watermarking contenuti AI (immagini, audio, video sintetici)	2 agosto 2026	2 dicembre 2026
Divieto nudifier e materiale pedopornografico generato da AI	Nuovo divieto (Digital Omnibus)	2 dicembre 2026

Cosa NON cambia con il rinvio: i requisiti sostanziali restano invariati. Valutazione ex ante, documentazione tecnica, registrazione, sorveglianza umana e trasparenza non vengono alleggeriti. Cambiano solo i termini. Come sintetizza efficacemente lo Studio Previti: «cambiano i termini ma non le regole».

Un'ulteriore novità riguarda le small mid-cap enterprises (250-749 dipendenti, fatturato fino a 150 milioni), che vengono equiparate alle PMI classiche per quanto riguarda le semplificazioni procedurali già previste dall'AI Act. Per il tessuto industriale italiano, dove queste imprese rappresentano una fascia significativa del manifatturiero avanzato, è un'estensione rilevante.

Quali sistemi AI "ad alto rischio" riguardano davvero le PMI italiane?

La classificazione dell'AI Act non dipende dal nome dello strumento, ma da cosa fa e su chi incide. Lo stesso software può essere a rischio minimo in un contesto e alto in un altro. Ecco i casi pratici che toccano le PMI italiane:

1. Screening automatizzato dei CV

Se l'azienda usa un software che filtra i curriculum con criteri automatici (punteggio, keyword matching, ranking), quel sistema ricade nell'Allegato III dell'AI Act come sistema ad alto rischio in ambito lavorativo. L'obbligo di documentazione tecnica, supervisione umana e valutazione di conformità scatterà dal 2 dicembre 2027, ma conviene iniziare a documentare subito: serve tracciare i criteri di selezione, i dati di addestramento (se applicabile) e le procedure di revisione umana.

2. Scoring creditizio o valutazione del merito

Qualsiasi sistema AI utilizzato per valutare l'affidabilità creditizia di persone fisiche o per determinare l'accesso a servizi finanziari è ad alto rischio. Riguarda non solo banche e finanziarie, ma anche aziende che offrono pagamenti rateizzati, noleggi a lungo termine o servizi con valutazione del cliente.

3. Controllo accessi biometrico

Sistemi di riconoscimento facciale o delle impronte digitali per il controllo presenze o l'accesso ai locali aziendali: se usano categorizzazione biometrica, sono ad alto rischio. Qui la soglia è sottile: un semplice badge RFID non lo è; un sistema che identifica univocamente il volto del dipendente, sì.

4. Chatbot con impatto decisionale

Un chatbot informativo sul sito aziendale è a rischio limitato (basta la trasparenza). Ma se lo stesso chatbot gestisce richieste di preventivi assicurativi, determina l'accesso a un servizio essenziale o valuta reclami, può scattare la classificazione alto rischio. La regola empirica suggerita da AIPolicy.it è: se il sistema AI incide su diritti delle persone o su decisioni importanti (lavoro, credito, salute), trattalo come alto rischio fino a verifica.

Audit AI per PMI: cosa serve davvero (e cosa è sovradimensionato)

Il mercato della consulenza AI Act sta già producendo offerte pensate per le grandi imprese, con audit da 15.000-40.000 euro, piattaforme di governance e contratti annuali. Per una PMI con 10-50 dipendenti, molto di quel pacchetto è sovradimensionato. Ecco cosa serve realisticamente, secondo tre livelli di profondità:

Livello essenziale: quello che serve a tutti (costo: 2-4 giorni di lavoro interno)

• Mappatura degli strumenti AI in uso: un foglio Excel con nome dello strumento, fornitore, finalità d'uso, dati trattati (personali sì/no), categoria di rischio presunta. Bastano 2-3 ore di lavoro di una persona che conosce i processi aziendali.
• Registro delle decisioni automatizzate: se c'è anche un solo processo decisionale automatizzato, va documentato: chi lo ha autorizzato, con quali criteri opera, chi lo supervisiona.
• Formazione minima documentata: una sessione di 2-3 ore per il personale che usa strumenti AI, con verbale e firme. L'obbligo di AI literacy non prescrive un formato specifico, ma la documentazione è la prova di adempimento.
• Verifica privacy policy: il GDPR richiede trasparenza sugli strumenti usati per trattare dati personali. Va aggiornata l'informativa privacy menzionando l'uso di sistemi AI, specialmente se comportano profilazione o decisioni automatizzate.

Livello intermedio: per chi usa AI in processi sensibili (costo: 3-6 settimane con supporto esterno)

• Valutazione d'impatto (DPIA): obbligatoria ai sensi GDPR se il trattamento AI comporta rischi elevati per i diritti delle persone. Si integra con la valutazione di conformità AI Act.
• Documentazione tecnica del sistema: descrizione dell'architettura, dati di addestramento, metriche di accuratezza, limiti noti. Per strumenti SaaS di terze parti (es. ChatGPT API), ci si basa sulla documentazione del fornitore, ma va raccolta e archiviata.
• Procedure di supervisione umana: chi revisiona le decisioni del sistema, con quale frequenza, con quale potere di override. Va formalizzato in una procedura scritta.
• Registro dei log: tracciamento delle decisioni del sistema AI, sufficiente a ricostruire cosa è successo in caso di contestazione.

Livello avanzato: quando serve davvero una piattaforma (costo: 8-15 settimane + licenze)

Questo livello riguarda aziende con sistemi AI sviluppati internamente, uso di dati sensibili su larga scala o processi decisionali completamente automatizzati. Qui entrano in gioco piattaforme di governance AI, sistemi di monitoring continuo e audit di terza parte. Per una PMI sotto i 50 dipendenti, questo livello è quasi sempre sovradimensionato: il rischio è pagare per un'infrastruttura di compliance pensata per realtà con 500+ dipendenti.

Secondo Prompti.it, per una PMI sotto i 500 dipendenti il time-to-compliance gestito internamente è 3-4 volte più lungo rispetto a un percorso con consulente esterno specializzato. Ma il consulente esterno non serve (solo) per la compliance: serve per evitare di produrre fascicoli tecnici che l'ACN possa contestare in fase di controllo. Il rischio del «fai-da-te» non è la multa immediata, ma documentazione insufficiente che espone a maggiori responsabilità in caso di incidente.

Documentazione interna vs. piattaforme UEM: quando conviene cosa

Una delle trappole più comuni nella consulenza AI Act è spingere le PMI verso piattaforme di gestione unificata degli endpoint (UEM) o suite di governance AI enterprise con la motivazione della compliance normativa. È utile distinguere due scenari:

Scenario A: PMI con AI usata come strumento di produttività (ChatGPT, Copilot, chatbot base)

Cosa serve: documentazione interna strutturata, registro degli strumenti, formazione documentata, aggiornamento privacy policy.
Cosa NON serve: piattaforme UEM, software di governance AI, audit di terza parte annuali.
Costo orientativo: 1.500-3.500€ (consulenza spot + tempo interno).
Trade-off: la documentazione fatta in casa è sufficiente per la conformità formale ma non scala se l'uso dell'AI cresce. Se l'azienda prevede di passare da 3 a 15 strumenti AI entro due anni, conviene iniziare con un'impostazione più strutturata.

Scenario B: PMI con AI in processi sensibili (screening CV, valutazione clienti, sicurezza)

Cosa serve: DPIA, documentazione tecnica approfondita, log delle decisioni, procedure di supervisione formalizzate, test periodici di accuratezza e bias.
Cosa può aiutare ma va valutato: sistemi di logging centralizzato già presenti in azienda (molte PMI li hanno senza saperlo: firewall aziendali, proxy, Microsoft 365 audit log).
Costo orientativo: 5.000-12.000€ (consulenza strutturata + eventuali tool di logging).
Trade-off: una piattaforma UEM enterprise può semplificare il controllo degli endpoint, ma per una PMI con 20 dispositivi è come usare un martello pneumatico per piantare un chiodo. Molto meglio investire in formazione del personale e logging di rete — due ambiti dove un ISP strutturato offre più valore di un vendor di software.

Perché un ISP come Neomedia è un alleato naturale nella compliance AI Act

C'è un paradosso nella consulenza sull'AI Act applicata alle PMI italiane: si parla molto di algoritmi, poco di infrastruttura. Eppure la conformità passa in misura significativa da rete, connettività, logging e protezione dei dati in transito — tutti ambiti in cui un Internet Service Provider con quasi trent'anni di presenza sul territorio è più attrezzato di un consulente normativo generalista.

Ecco i punti in cui l'infrastruttura di rete incrocia la compliance AI Act:

• Logging delle connessioni AI: ogni chiamata a un'API AI (OpenAI, Azure, Google) genera traffico di rete tracciabile. Un firewall aziendale configurato correttamente o un sistema di logging DNS — come quelli già attivi per la cybersecurity perimetrale — fornisce un registro automatico di chi ha usato cosa, quando e per quanto. Questo registro è esattamente ciò che l'AI Act richiede per i sistemi ad alto rischio: tracciabilità delle decisioni.
• Protezione dei dati in transito: le API AI trasmettono dati potenzialmente sensibili. Una connettività cifrata e segmentata (VPN aziendale, VLAN separate per i reparti che usano AI su dati sensibili) riduce il rischio di intercettazione e, in caso di incidente, dimostra l'adozione di misure tecniche adeguate. Neomedia, come ISP con infrastruttura cloud e backup integrata, può configurare questi livelli di protezione a monte.
• Segmentazione della rete: se l'azienda usa AI per processi decisionali (HR, credito), isolare quel traffico in una VLAN dedicata con policy di accesso restrittive è una misura di sicurezza che l'AI Act apprezzerà in sede di audit. Non serve una piattaforma enterprise: serve un networking competente.
• DNS filtering anti-esfiltrazione: sistemi AI che inviano dati a endpoint esterni non autorizzati rappresentano un rischio di violazione dati. Il DNS filtering a livello di rete, configurato correttamente, blocca questo rischio alla radice.
• Backup e disaster recovery: la documentazione di compliance e i log vanno conservati. Un sistema di backup cloud con strategia 3-2-1-1-0 garantisce che in caso di incidente (ransomware, guasto hardware) i dati di compliance non vadano persi — un'aggravante che l'ACN considera esplicitamente.

Il punto non è che un ISP sostituisce il consulente legale. Il punto è che la conformità ha uno strato infrastrutturale che molte PMI trascurano perché il consulente legale non lo vede e l'IT interno non ha il mandato per implementarlo. Un ISP italiano con presidio locale, come Neomedia, conosce la rete del cliente meglio di qualsiasi consulente esterno e può attivare queste misure senza stravolgere l'operatività.

Sanzioni AI Act: i numeri fanno paura, ma per una micro-PMI il rischio reale è diverso

I numeri girano molto: 35 milioni di euro o il 7% del fatturato. Sono cifre che, applicate a una PMI da 2 milioni di fatturato, significherebbero 140.000 euro — abbastanza per mettere in crisi un'impresa. Ma il meccanismo sanzionatorio dell'AI Act è più sfumato di quanto il FUD da consulenza lasci intendere.

Ecco come funziona davvero, basandosi sul testo del Regolamento e sull'analisi di Prompti.it:

Fascia	Violazione	Sanzione massima
Fascia 1	Pratiche vietate (Art. 5)	35M€ o 7% fatturato
Fascia 2	Non conformità obblighi sistemi ad alto rischio	15M€ o 3% fatturato
Fascia 3	Informazioni inesatte alle autorità	7,5M€ o 1% fatturato

Scenario realistico per una micro-PMI (10 dipendenti, fatturato 800.000€):

• È improbabile che un'azienda di queste dimensioni incorra nella Fascia 1: le pratiche vietate (social scoring, manipolazione) non fanno parte del suo modello di business. Il rischio vero è la Fascia 3 — per esempio, dichiarare all'ACN che un certo sistema non è ad alto rischio senza avere documentazione a supporto, e poi subire un incidente che lo smentisce.
• La sanzione più probabile in un controllo è nell'ordine di qualche migliaia di euro, accompagnata da un ordine di adeguamento. L'ACN ha potere discrezionale e, come tutte le autorità di vigilanza italiane, tende a modulare le sanzioni in base alla dimensione dell'impresa. L'Art. 99 dell'AI Act prevede esplicitamente sanzioni ridotte per PMI e startup.
• Il rischio maggiore non è la multa ma la perdita di clienti: le imprese più grandi stanno già inserendo clausole di conformità AI Act nei contratti con i fornitori. Una PMI che non può dimostrare la compliance rischia di essere esclusa da filiere che fatturano molto più della multa stessa.
• Le sanzioni AI Act sono cumulative con quelle GDPR. In scenari peggiori, una violazione combinata AI Act + GDPR può superare i 50 milioni complessivi per imprese di grandi dimensioni. Per una PMI, la somma delle due sanzioni è teoricamente possibile ma praticamente rara: serve una violazione grave e deliberata di entrambe le normative, scenario improbabile per chi agisce in buona fede.

Roadmap pratica: cosa fare entro fine 2026, per ogni dimensione di impresa

Micro-PMI (1-9 dipendenti, uso basilare di AI)

1. Entro settembre 2026: formazione AI literacy per tutto il personale (anche solo 2 ore con un consulente o un corso online documentato).
2. Entro ottobre 2026: mappatura degli strumenti AI in uso (file Excel condiviso) e verifica privacy policy.
3. Entro novembre 2026: verifica watermarking: se l'azienda pubblica contenuti generati da AI (post social, immagini di prodotto), controllare che i tool utilizzati supportino l'inserimento di metadati identificativi.
4. Costo indicativo: 500-1.500€.

Piccola impresa (10-50 dipendenti, AI in uso quotidiano)

1. Entro settembre 2026: AI literacy documentata + nomina di un referente interno per la compliance AI (anche part-time).
2. Entro ottobre 2026: mappatura completa degli strumenti AI con classificazione del rischio + DPIA per i processi sensibili.
3. Entro novembre 2026: verifica contratti con fornitori AI (DPA firmato, base giuridica chiara, condizioni di training esplicite). Attivazione logging di rete per le chiamate API AI.
4. Da gennaio 2027: se sono presenti sistemi potenzialmente ad alto rischio, iniziare la documentazione tecnica con il supporto di un consulente. Il rinvio al dicembre 2027 dà margine, ma la documentazione richiede mesi di lavoro.
5. Costo indicativo: 3.000-8.000€.

Media impresa (51-250 dipendenti, AI in processi di business)

1. Entro settembre 2026: AI literacy strutturata per reparto + definizione di una policy interna sull'uso dell'AI.
2. Entro dicembre 2026: mappatura, DPIA, audit dei fornitori AI, attivazione logging centralizzato.
3. Gennaio-giugno 2027: documentazione tecnica completa per i sistemi ad alto rischio, valutazione di conformità, test di bias e accuratezza.
4. Costo indicativo: 10.000-25.000€.

Conclusione: il rinvio è un'opportunità, non una pausa caffè

L'AI Act non è una legge che punisce le PMI. È una legge che punisce l'uso irresponsabile dell'AI. La maggior parte delle piccole imprese italiane non ha in casa sistemi ad alto rischio e non rischia multe milionarie. Ma ha comunque obblighi già in vigore che, se ignorati, diventano aggravanti in caso di incidente.

Il rinvio al 2027 offre tempo per fare le cose con calma. Il rischio è scambiarlo per un rinvio complessivo della normativa — non lo è. Le pratiche vietate sono già operative, la trasparenza scatta ad agosto 2026, il watermarking a dicembre 2026. E l'ACN inizierà i controlli nel regime pieno dal 3 agosto 2026.

Tre takeaway per portare a casa:

1. Non serve una piattaforma enterprise. Per la stragrande maggioranza delle PMI italiane, la compliance AI Act si fa con un foglio Excel ben tenuto, una sessione di formazione documentata e un logging di rete configurato da chi la rete la conosce.
2. L'infrastruttura conta quanto la documentazione. Connettività sicura, logging DNS, segmentazione della rete, backup: sono tutti strati della compliance che un ISP territoriale può attivare senza i costi e le complessità di un consulente esterno.
3. Il rischio più grande non è la multa, è perdere clienti. Le grandi aziende stanno già chiedendo ai fornitori di dimostrare la conformità AI Act. Arrivare preparati nel 2027 non è un costo di compliance: è un vantaggio competitivo.

Il tempo guadagnato con il rinvio va usato per costruire le fondamenta: formazione, mappatura, logging. Tre cose che costano più in disciplina che in denaro. E su cui un ISP italiano con trent'anni di presenza sul territorio ha più da offrire di qualsiasi vendor internazionale.