Dal 2025 l'AI in Europa ha una legge: l'AI Act. Una PMI che usa l'AI ha quattro fronti da presidiare: legge, dati personali, governo interno e sicurezza. Il primo passo è semplice: mappare dove usi l'AI.
Dal 2025 l'AI in Europa ha una legge: l'AI Act. Non devi diventare un esperto di diritto, ma una PMI che usa l'AI ha quattro fronti da presidiare — la legge (AI Act), i dati personali (GDPR), il governo interno (chi decide e come) e la sicurezza del modello. La buona notizia: il primo passo è semplice ed economico — mappare dove usi l'AI.
LA LEGGE → EU AI Act (cosa puoi e non puoi fare)
IL GOVERNO → policy e processi interni (NIST, ISO 42001)
I DATI → GDPR (se tratti dati personali)
LA SICUREZZA → prompt injection & co. (OWASP)
L'EU AI Act (Regolamento UE 2024/1689) è la prima legge organica al mondo sull'intelligenza artificiale. Non regola la tecnologia in sé, ma l'uso che se ne fa, in base al rischio: più alto il rischio per le persone, più stringenti gli obblighi.
| Classe di rischio | Esempi tipici | Cosa comporta |
|---|---|---|
| Inaccettabile | social scoring, manipolazione, sorveglianza biometrica di massa | vietati |
| Alto rischio | selezione del personale, credit scoring, dispositivi medici, giustizia | obblighi forti: gestione del rischio, qualità dei dati, documentazione, sorveglianza umana, valutazione di conformità |
| Rischio limitato | chatbot, contenuti generati dall'AI | trasparenza: dire che si sta parlando con un'AI, marcare i contenuti generati |
| Rischio minimo | la gran parte dei sistemi | nessun obbligo specifico |
La maggior parte degli usi di una PMI ricade in rischio limitato o rischio minimo: l'obbligo tipico è la trasparenza, non la burocrazia dell'alto rischio. Ma se usi l'AI per assumere o valutare il merito creditizio, sei in alto rischio — lì gli obblighi sono seri.
1 ago 2024 │ l'AI Act entra in vigore
2 feb 2025 │ DIVIETI + obbligo di "AI literacy" (formare chi usa l'AI)
2 ago 2025 │ obblighi grandi modelli generali (GPT, Claude, Gemini) + SANZIONI attive
2 ago 2026 │ applicazione GENERALE + TRASPARENZA (dichiarare i bot, marcare i contenuti)
2 dic 2027 │ sistemi ad ALTO RISCHIO "stand-alone" (Allegato III)
2 ago 2028 │ AI ad alto rischio dentro prodotti regolati (Allegato I)
Aggiornamento (giugno 2026): il pacchetto Digital Omnibus è stato adottato e ha rinviato gli obblighi sui sistemi ad alto rischio (a dic 2027 / ago 2028). Quindi il 2 agosto 2026 fa scattare l'applicazione generale e la trasparenza, non ancora il grosso degli obblighi high-risk. Le sanzioni sono attive dal 2 ago 2025: fino a 35 milioni di € o il 7% del fatturato per gli usi vietati (per le PMI si applica l'importo più basso). Verifica sempre su fonte ufficiale.
Il punto che spesso sfugge: l'AI Act vincola anche chi usa l'AI, non solo chi la sviluppa. Ma per una piccola impresa non serve un piano faraonico: serve ordine. Il primo passo, economico e alla portata di tutti:
L'AI Act è la legge (il cosa); la AI Governance è il come lo metti in pratica in azienda. Non serve reinventare nulla: esistono framework di riferimento, complementari tra loro.
| Framework | Cos'è | A cosa ti serve |
|---|---|---|
| NIST AI RMF | framework volontario — 4 funzioni: Govern, Map, Measure, Manage | valutare e gestire il rischio AI |
| OECD AI Principles | principi adottati dal G20 | la bussola etica (hanno ispirato l'AI Act) |
| ISO/IEC 42001 | standard certificabile per un "sistema di gestione dell'AI" | dimostrare la tua governance con una certificazione |
Per una PMI: parti leggera. Una semplice policy d'uso dell'AI + la mappa dei sistemi valgono più di mille principi sulla carta. Il rischio da evitare è l'"ethics washing": dichiarare valori che poi non si traducono in processi.
Se l'AI tratta dati personali, si applica (anche) il GDPR (Reg. UE 2016/679), in parallelo all'AI Act. L'autorità europea (EDPB) ha chiarito alcuni nodi con l'Opinion 28/2024:
In pratica, per una PMI:
Gli LLM portano rischi di sicurezza inediti. Il principale — numero 1 nella OWASP Top 10 for LLM Applications — è la prompt injection: istruzioni malevole nascoste nell'input (o nei dati che il modello legge) che ne dirottano il comportamento.
La prompt injection non ha una soluzione definitiva: si mitiga, non si elimina. Più l'AI compie azioni reali (un agente che invia email o spende denaro), più servono permessi stretti e human-in-the-loop sulle operazioni sensibili.
Materiale informativo a cura di Rayer Group. Non costituisce consulenza tecnica o legale personalizzata: per il caso concreto valutiamo insieme la situazione specifica.
Mezz'ora di confronto per capire cosa di tutto questo ha senso nel tuo caso concreto — e da dove conviene partire.
Prenota una call di approfondimento →