Conformità all'EU AI Act per le piccole e medie imprese. Disposizioni specifiche per le PMI, accesso alle sandbox, tariffe ridotte e guida pratica per i deployer e i provider di sistemi IA.
EU AI Act e PMI — La buona notizia
L'EU AI Act (Regolamento (UE) 2024/1689) si applica a tutte le organizzazioni che immettono o utilizzano sistemi IA nel mercato UE, indipendentemente dalle dimensioni. Tuttavia, la realtà regolamentare per la maggior parte delle piccole e medie imprese è considerevolmente meno gravosa di quanto suggeriscano i titoli dei media, per una ragione fondamentale: la grande maggioranza delle PMI utilizza l'IA senza svilupparla.
Una PMI che si abbona a un CRM potenziato dall'IA, che utilizza un chatbot di un fornitore SaaS, o che impiega un software cloud per la previsione della domanda è, nella terminologia dell'EU AI Act, un deployer — non un provider. Gli obblighi del deployer sono sistematicamente più limitati rispetto a quelli del provider. I provider sopportano il carico principale della valutazione di conformità, della documentazione tecnica, della marcatura CE e della registrazione. I deployer hanno un insieme di obblighi più circoscritto, incentrato sull'uso corretto, sulla supervisione umana e sulla segnalazione degli incidenti.
Al di là della distinzione deployer/provider, l'EU AI Act contiene un insieme distinto di disposizioni specifiche per le PMI che forniscono un supporto strutturale: accesso prioritario alle sandbox regolamentari, tariffe ridotte per la valutazione di conformità e un punto di contatto unico dedicato a livello nazionale. Queste disposizioni riflettono l'esplicita intenzione del legislatore di evitare che l'AI Act diventi un ostacolo sproporzionato per i partecipanti più piccoli al mercato.
La presente guida illustra cosa significa in pratica l'EU AI Act per una PMI — che si tratti di utilizzare strumenti IA di terze parti, di mettere in uso sistemi IA in contesti a contatto con il cliente, o di sviluppare e commercializzare direttamente un prodotto IA.
Disposizioni specifiche per le PMI nel Regolamento
L'EU AI Act include quattro disposizioni che si applicano specificamente alle PMI (imprese che soddisfano la soglia della Raccomandazione della Commissione 2003/361/CE: meno di 250 dipendenti e un fatturato annuo non superiore a 50 milioni di euro oppure un totale di bilancio non superiore a 43 milioni di euro) e alle startup.
Art. 55 — Accesso prioritario alle sandbox regolamentari
L'Art. 55 stabilisce che le sandbox regolamentari per l'IA — ambienti supervisionati per lo sviluppo e il test dell'IA prima dell'immissione sul mercato — devono essere accessibili in via prioritaria alle PMI e alle startup. L'accesso è gratuito o soggetto a tariffe ridotte, e le organizzazioni partecipanti ricevono orientamenti diretti dall'autorità competente. L'accesso alla sandbox consente l'identificazione preventiva dei rischi e il dialogo regolamentare in un contesto protetto, senza le conseguenze di un'immissione sul mercato non conforme. Le PMI che sviluppano sistemi IA dovrebbero considerare la partecipazione alla sandbox sia come strumento di conformità sia come meccanismo per instaurare un dialogo diretto con l'autorità di vigilanza prima del lancio del prodotto.
Art. 96 — Tariffe ridotte per la valutazione di conformità
Laddove un sistema IA ad alto rischio richieda una valutazione di conformità da parte di terzi da parte di un organismo notificato (applicabile ai sistemi elencati nell'Annex III punti 1, 6 e 7, e ai dispositivi medici IA ai sensi dell'Art. 6(1)), l'Art. 96 impone agli Stati membri di istituire tariffe ridotte per le piccole imprese. Le microimprese — quelle con meno di 10 dipendenti e un fatturato annuo o un totale di bilancio non superiore a 2 milioni di euro — hanno diritto a riduzioni ancora maggiori. I tariffari esatti sono fissati a livello di Stato membro e variano in base alla giurisdizione; l'autorità nazionale competente per l'IA o la rete Enterprise Europe può fornire le cifre aggiornate.
Art. 85 — Punto di contatto unico
L'Art. 85 obbliga le autorità nazionali di vigilanza sull'IA a istituire un punto di contatto unico dedicato alle PMI. Ciò significa che una PMI che ricerca orientamenti sugli obblighi derivanti dall'AI Act non deve navigare tra più dipartimenti di regolamentazione né coordinarsi tra autorità frammentate. Il punto di contatto unico fornisce informazioni, indirizza le richieste alla funzione competente e facilita le domande di accesso alle sandbox. Questa disposizione riduce significativamente il costo amministrativo della comprensione degli obblighi regolamentari.
Art. 9(5) — Gestione proporzionata del rischio
L'Art. 9(5) prevede che il sistema di gestione del rischio richiesto ai provider di sistemi IA ad alto rischio possa essere attuato in modo proporzionato, tenendo conto delle dimensioni e della struttura dell'organizzazione. Per una PMI che agisce come provider di un sistema ad alto rischio, ciò significa che, pur dovendo soddisfare tutti i requisiti sostanziali del sistema di gestione del rischio, il formato della documentazione, la complessità dei processi e la struttura di governance possono essere adeguati alla capacità effettiva dell'organizzazione — a condizione che ciò non comprometta gli obiettivi di tutela del quadro normativo.
Siete un provider o un deployer? — Quadro decisionale per le PMI
La determinazione preliminare di gran lunga più importante per qualsiasi PMI che si confronta con l'EU AI Act è stabilire se agisce come provider o come deployer con riferimento a ciascun sistema IA che utilizza o offre.
Provider (Art. 3(3)): Un'organizzazione che sviluppa un sistema IA, o che fa sviluppare un sistema IA, e lo immette sul mercato o lo mette a disposizione sotto il proprio nome o marchio — sia a pagamento che gratuitamente. Rientrano in questa categoria le PMI che:
- Sviluppano un prodotto software che incorpora l'IA (inclusi i modelli IA accessibili tramite API) e vendono o concedono in licenza tale prodotto a clienti;
- Sviluppano internamente un modello o un'applicazione IA e la erogano come servizio a utenti finali esterni all'organizzazione;
- Modificano in maniera sostanziale un sistema IA di terze parti in modo tale da alterarne la finalità prevista.
Deployer (Art. 3(4)): Un'organizzazione che utilizza un sistema IA sotto la propria responsabilità per una finalità professionale. Rientrano in questa categoria le PMI che:
- Si abbonano a prodotti SaaS con funzionalità IA integrate (CRM, ERP, software di contabilità potenziati dall'IA);
- Utilizzano un chatbot o un sistema di IA conversazionale di terze parti sul proprio sito web;
- Accedono ad API IA cloud (elaborazione del linguaggio naturale, classificazione delle immagini, motori di raccomandazione) esclusivamente per automatizzare flussi di lavoro interni o migliorare i propri servizi, senza offrire la funzionalità IA come caratteristica del prodotto a terze parti;
- Si avvalgono di software per le risorse umane, la previsione delle scorte o l'analisi della clientela forniti da fornitori esterni.
Il caso limite critico: Una PMI che integra un'API IA esterna nel proprio prodotto a contatto con il cliente e commercializza tale funzionalità come caratteristica del prodotto è un provider con riferimento a quella funzionalità IA — e non semplicemente un deployer dell'API sottostante. Il soggetto giuridico che definisce la finalità prevista, controlla l'esperienza utente e immette il prodotto sul mercato è gravato dagli obblighi del provider ai sensi dell'Art. 16, indipendentemente dall'origine del modello IA.
Principali obblighi del deployer per le PMI che utilizzano sistemi IA di terze parti
Per la maggior parte delle PMI — quelle che mettono in uso strumenti IA di terze parti anziché svilupparne di propri — si applicano i seguenti obblighi ai sensi dell'Art. 26 e delle disposizioni correlate.
Utilizzare i sistemi IA nel rispetto delle istruzioni del provider
I deployer devono utilizzare i sistemi IA ad alto rischio esclusivamente in conformità alle istruzioni per l'uso del provider fornite ai sensi dell'Art. 13. L'utilizzo di un sistema IA per finalità che esulano dalla sua finalità prevista documentata, o in configurazioni non validate dal provider, trasferisce una parte della responsabilità di conformità al deployer e può invalidare la valutazione di conformità del sistema.
Designare una supervisione umana responsabile
L'Art. 26(1) impone ai deployer di attribuire la responsabilità della supervisione dell'IA a una persona qualificata all'interno dell'organizzazione. Per la maggior parte delle PMI, si tratterà di un individuo nominato (non necessariamente un responsabile della conformità IA dedicato) che comprenda la funzione del sistema, le sue limitazioni note e le circostanze in cui è richiesto l'intervento umano. Tale designazione deve essere documentata.
Conservare i log operativi
Laddove i sistemi IA ad alto rischio generino log automaticamente (Art. 12), i deployer devono conservare tali log per il periodo legalmente previsto — in generale sei mesi ai sensi dell'AI Act, salvo che la normativa di settore non preveda un periodo di conservazione più lungo. I deployer devono verificare che il contratto con il fornitore garantisca l'accesso ai log e ne confermi il formato e la completezza.
Segnalare gli incidenti gravi al provider
L'Art. 26(5) impone ai deployer di notificare al provider qualsiasi incidente grave o malfunzionamento riscontrato durante l'utilizzo. Qualora il deployer sia un ente pubblico, gli obblighi di notifica si estendono all'autorità nazionale di vigilanza sull'IA. Per le PMI deployer nel settore privato, il canale principale è la notifica diretta al provider, che ha a sua volta l'obbligo di notificare l'autorità ai sensi dell'Art. 73.
Effettuare una valutazione d'impatto sui diritti fondamentali ove applicabile
L'Art. 27 impone agli enti pubblici che mettono in uso sistemi IA ad alto rischio di completare una valutazione d'impatto sui diritti fondamentali prima della messa in uso. Le PMI del settore privato che mettono in uso sistemi IA ad alto rischio — in particolare in ambito di risorse umane, valutazione del credito o contesti decisionali a contatto con il cliente — sono fortemente raccomandate a completare una valutazione equivalente, in quanto dimostra la diligenza dovuta e riduce in misura sostanziale il rischio sanzionatorio.
Verificare i contratti con i fornitori
Le PMI deployer devono assicurarsi che i contratti con i fornitori IA includano: la documentazione di conformità e le istruzioni per l'uso; la conferma della registrazione nella banca dati UE ove richiesta; la specificazione delle funzionalità di logging e dei diritti di accesso; l'impegno del fornitore alla notifica degli incidenti e alla remediation; e le informazioni sugli obblighi di aggiornamento o modifica che potrebbero incidere sullo stato di conformità del sistema.
Se sviluppate sistemi IA — Obblighi del provider PMI e supporto disponibile
Le PMI che sviluppano e commercializzano sistemi IA sono provider e sono gravate da tutti gli obblighi del provider ai sensi del Capitolo III per qualsiasi sistema classificato come ad alto rischio. L'ambito di tali obblighi è sostanziale: sistema di gestione della qualità (Art. 17), documentazione tecnica ai sensi dell'Annex IV, governance dei dati ai sensi dell'Art. 10, logging ai sensi dell'Art. 12, requisiti di trasparenza ai sensi dell'Art. 13, progettazione della supervisione umana ai sensi dell'Art. 14, e standard di accuratezza e robustezza ai sensi dell'Art. 15. Per i sistemi dell'Annex III che richiedono la valutazione da parte di un organismo notificato, il percorso di conformità segue l'Art. 43.
Il punto di partenza pratico per una PMI provider è la determinazione della classificazione del rischio:
- Il sistema IA è coperto dall'Art. 5 (pratiche vietate)? In tal caso, lo sviluppo deve cessare o essere fondamentalmente ristrutturato prima di qualsiasi attività di mercato.
- Il sistema si qualifica come ad alto rischio ai sensi dell'Art. 6(1) (componente di sicurezza di un prodotto regolamentato) o dell'Annex III (settori di applicazione elencati, tra cui identificazione biometrica, infrastrutture critiche, istruzione, occupazione, servizi essenziali, applicazione della legge, migrazione, giustizia)?
- Il sistema si qualifica esclusivamente come modello IA per uso generale disciplinato dagli Art. 51–56, senza classificazione ad alto rischio?
- Il sistema è soggetto esclusivamente agli obblighi di trasparenza dell'Art. 50 (riconoscimento delle emozioni, deepfake, chatbot)?
Per le PMI i cui sistemi non rientrano nelle categorie ad alto rischio e vietate, gli obblighi di conformità sono considerevolmente più limitati: le comunicazioni di trasparenza ai sensi dell'Art. 50, l'allineamento al GDPR e gli obblighi settoriali previsti dal diritto nazionale o UE applicabile.
Per le PMI che sviluppano sistemi IA ad alto rischio, la sandbox regolamentare di cui all'Art. 55 è lo strumento più importante a disposizione. La partecipazione alla sandbox consente il test pre-mercato sotto la supervisione dell'autorità di regolamentazione, fornisce prove documentate di un genuino sforzo di conformità, e può identificare azioni correttive prima che diventino oggetto di provvedimenti sanzionatori. Le domande sono presentate al punto di contatto unico nazionale (Art. 85).
Passi pratici per la conformità delle PMI
Passo 1 — Censire tutti i sistemi IA in uso o in sviluppo. Elencare ogni strumento IA, prodotto SaaS, API cloud e modello sviluppato internamente. Annotare il fornitore, la funzione e se la PMI agisce come provider o deployer per ciascuno di essi.
Passo 2 — Classificare ciascun sistema per categoria di rischio. Applicare a ciascun sistema il quadro Art. 5 / Art. 6 / Annex III / Art. 50. In caso di incertezza sulla classificazione, rivolgersi al punto di contatto unico di cui all'Art. 85 per un orientamento.
Passo 3 — Per i ruoli di deployer: verificare i contratti con i fornitori. Verificare che ciascun fornitore IA abbia fornito la documentazione richiesta ai sensi dell'Art. 13 e che il contratto disciplini il logging, la notifica degli incidenti e gli obblighi di aggiornamento. Segnalare le lacune per la rinegoziazione.
Passo 4 — Per i ruoli di provider: avviare il percorso di conformità. Determinare se il sistema IA ad alto rischio richiede l'autovalutazione (Art. 43(2)) o la valutazione da parte di un organismo notificato terzo (Art. 43(1)). Richiedere l'accesso alla sandbox ai sensi dell'Art. 55 se il sistema è in fase di sviluppo. Coinvolgere l'organismo notificato in una fase precoce per comprendere i tempi e le implicazioni in termini di costi, tenendo presente il diritto alle tariffe ridotte per le PMI ai sensi dell'Art. 96.
Passo 5 — Attuare gli obblighi del deployer di cui all'Art. 26 per tutti i sistemi ad alto rischio. Designare i responsabili della supervisione, documentarne le responsabilità, verificare le procedure di conservazione dei log e confermare i canali di notifica degli incidenti.
Passo 6 — Istituire un ciclo di revisione dell'AI Act. L'EU AI Act è un quadro normativo in evoluzione. Designare un responsabile per il monitoraggio degli orientamenti dell'Ufficio UE per l'IA, degli aggiornamenti dell'autorità nazionale e delle modifiche alle classificazioni dell'Annex III. Pianificare una revisione interna annuale del censimento dei sistemi e dello stato di conformità.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Sì. Se la vostra PMI integra un modello IA di terze parti (anche tramite API) in un prodotto o servizio che immettete sul mercato o mettete a disposizione sotto il vostro nome o marchio, siete classificati come **provider** ai sensi dell'**Art. 3(3)** dell'EU AI Act. Ciò vale indipendentemente dal fatto che il modello sottostante sia stato sviluppato da un'altra società. Gli obblighi del provider — tra cui la documentazione tecnica, la valutazione di conformità, la marcatura CE (per i sistemi ad alto rischio) e la registrazione — sono di vostra responsabilità. Laddove il provider del modello a monte fornisca documentazione di conformità e istruzioni per l'uso, tali documenti supportano il vostro adempimento ma non lo sostituiscono. L'Art. 55 e l'Art. 96 prevedono meccanismi di supporto specifici per le PMI al fine di alleggerire l'onere di conformità.
Dipende da due fattori: la natura del chatbot e le funzioni che svolge. In primo luogo, se il chatbot è un **sistema basato su IA per uso generale** che interagisce con gli utenti, deve rispettare l'**obbligo di trasparenza di cui all'Art. 50**: gli utenti devono essere informati che stanno interagendo con un sistema IA, salvo che ciò non risulti evidente dal contesto. In secondo luogo, se il chatbot svolge funzioni qualificabili come ad alto rischio — ad esempio, la selezione di candidati a posizioni lavorative, la valutazione del merito creditizio o l'adozione di decisioni con effetti giuridici o personali significativi — si applicano ulteriori obblighi previsti per i sistemi ad alto rischio. Un semplice chatbot per FAQ o navigazione di prodotto che si avvale di un provider SaaS terzo (nel qual caso si è deployer) è soggetto principalmente all'obbligo di trasparenza di cui all'Art. 50 e agli obblighi del deployer previsti dall'Art. 26, in particolare l'utilizzo corretto nel rispetto delle istruzioni e la notifica degli incidenti.
Una **sandbox regolamentare per l'IA** è un ambiente di test supervisionato istituito dalle autorità nazionali di vigilanza sull'IA, nel quale i provider di IA — incluse le startup e le PMI — possono sviluppare, testare e validare sistemi IA prima dell'immissione sul mercato, con la guida diretta dell'autorità di regolamentazione. Le sandbox sono disciplinate dagli **Art. 57–63** dell'EU AI Act. L'**Art. 55 riconosce alle PMI e alle startup un accesso prioritario**, e la partecipazione è gratuita o soggetta a tariffe ridotte. Le domande sono presentate direttamente all'autorità nazionale competente per l'AI Act nel proprio Stato membro. Nell'ambito della sandbox, l'autorità può concedere deroghe limitate a requisiti specifici per consentire test autentici; qualsiasi prodotto immesso sul mercato dopo il periodo di sandbox deve successivamente soddisfare tutti gli obblighi applicabili. Contattate il vostro punto di contatto unico nazionale per le PMI (**Art. 85**) per ottenere le procedure di presentazione della domanda.
La registrazione nella **banca dati UE per i sistemi IA ad alto rischio** ai sensi dell'**Art. 49** è obbligatoria solo se il vostro sistema è classificato come **ad alto rischio** ai sensi dell'Art. 6 o dell'Annex III. I provider di sistemi ad alto rischio devono registrarsi prima dell'immissione sul mercato; i deployer che sono enti pubblici devono altresì registrarsi prima dell'utilizzo. La maggior parte delle PMI che impiegano sistemi IA di terze parti (come consumatori SaaS o API) non è tenuta alla registrazione — tale obbligo ricade sul provider. Se la vostra PMI è il provider di un sistema IA ad alto rischio, la registrazione è obbligatoria indipendentemente dalle dimensioni dell'impresa, sebbene le disposizioni di supporto degli Art. 55 e 96 si applichino per ridurre i costi e la complessità procedurale correlati. La banca dati è accessibile al pubblico ed è gestita dall'Ufficio UE per l'IA.
Prima di mettere in uso un sistema IA di terze parti, in particolare uno che potrebbe essere ad alto rischio, la vostra PMI dovrebbe richiedere e ottenere contrattualmente: (1) la **Dichiarazione UE di Conformità** o documentazione di conformità equivalente; (2) le **istruzioni per l'uso** come richieste dall'Art. 13, incluse la finalità prevista, le limitazioni note e i requisiti di supervisione umana; (3) la conferma che il sistema è stato **registrato nella banca dati UE** ove richiesto; (4) informazioni sulle **funzionalità di registrazione dei log** del sistema e sulle modalità di accesso o recupero dei log; (5) le **procedure di notifica degli incidenti** del fornitore e i loro obblighi di informarvi in caso di malfunzionamenti o aggiornamenti che incidano sulla conformità; e (6) informazioni sulle **caratteristiche di trattamento dei dati** del sistema rilevanti ai fini dei vostri obblighi GDPR. L'assenza di tali documenti da parte di un fornitore che offre un sistema IA in un settore sensibile costituisce un rischio di conformità sostanziale.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.