AI Act agosto 2026: i 3 sistemi AI a rischio per le PMI

Dal 2 agosto 2026 — tra meno di 47 giorni — chiunque utilizzi in azienda un sistema AI classificato come «ad alto rischio» dall'AI Act europeo deve poter dimostrare piena conformità al Regolamento UE 2024/1689. Non è una data teorica: da quel giorno l'Autorità nazionale di vigilanza italiana (AgID e ACN) può avviare ispezioni e comminare sanzioni amministrative che per le PMI possono arrivare a cifre a cinque zeri, secondo Digitalic.it.

Il problema che vediamo ogni giorno parlando con le aziende italiane è sempre lo stesso: la maggior parte dei titolari PMI non sa di avere sistemi AI ad alto rischio già attivi. Non si tratta di progetti AI complessi o costosi: sono tool che il team HR usa da mesi per filtrare i CV, un modulo che il CRM calcola in automatico, un software che misura la produttività dei dipendenti. Tutti potenzialmente nell'Allegato III del Regolamento, tutti soggetti agli obblighi di agosto.

Questa guida risponde a una domanda sola: quali sono i 3 sistemi AI che la tua PMI probabilmente usa già oggi — e che la espongono a rischio sanzioni dal 2 agosto 2026?

Punti chiave

47 giorni alla scadenza: dal 2 agosto 2026 scattano gli obblighi per i sistemi AI ad alto rischio (Allegato III, Regolamento UE 2024/1689)
Sanzioni fino a 15 milioni di euro o 3% del fatturato globale per sistemi non conformi — si applica l'importo minore, ma proporzionalità non equivale a esenzione
I 3 sistemi più a rischio nelle PMI: tool di screening CV automatico, software di valutazione e monitoraggio dipendenti con AI, piattaforme di scoring creditizio o rating fornitori
Obblighi concreti: documentazione tecnica, log degli output, supervisione umana obbligatoria prima di ogni decisione automatizzata che impatta persone fisiche
La mossa più urgente adesso: fare un inventario rapido dei sistemi AI in uso prima del 2 agosto e classificarli per categoria di rischio

15 mln €

sanzione max per sistemi non conformio 3% fatturato globale (Cyberness.it 2026)

35 mln €

sanzione max per pratiche vietateo 7% fatturato globale (Cyberness.it 2026)

2 ago 2026

data limite compliance sistemi alto rischioFonte: Digitalic.it 2026

AI Act PMI agosto 2026: le due categorie che devi conoscere

L'AI Act classifica i sistemi di intelligenza artificiale in quattro fasce di rischio. Per le PMI italiane, quelle rilevanti in questo momento sono due: i sistemi vietati — già fuori legge dal 2 febbraio 2024 — e i sistemi ad alto rischio dell'Allegato III, per cui scattano i nuovi obblighi il 2 agosto 2026. Le sanzioni sono distinte per categoria, come dettagliato da Cyberness.it.

Sistemi AI vietatiFuori legge dal 2 feb 2024

Cosa rientra

Profilazione biometrica di massa in spazi pubblici, social scoring governativo, manipolazione subliminale, sfruttamento vulnerabilità personali

Sanzione massima

35 mln € o 7% del fatturato globale annuo

Rilevanza PMI

Bassa — i tool comuni non rientrano in questa categoria

Cosa fare

Se usi qualcosa di simile, fermati subito

Sistemi AI ad alto rischioScadenza: 2 agosto 2026

Cosa rientra

Screening CV, selezione personale, monitoraggio dipendenti, scoring creditizio, biometria, sistemi infrastrutturali critici

Sanzione massima

15 mln € o 3% del fatturato globale annuo

Rilevanza PMI

Alta — molti tool quotidiani rientrano nell'Allegato III

Cosa fare

Compliance entro il 2 agosto: documentazione, log, supervisione umana

La distinzione è cruciale: i sistemi ad alto rischio non sono vietati, ma devono rispettare requisiti precisi prima che la scadenza scatti. Chi li usa in modo non documentato al 2 agosto è già in violazione.

Le PMI hanno un vantaggio rispetto alle grandi imprese: il Regolamento prevede che, quando la sanzione fissa supera la percentuale di fatturato, si applichi la percentuale inferiore. Una PMI con 2 milioni di fatturato paga al massimo 60.000 euro (3%) anziché 15 milioni, come precisa Cybersecurity360.it. Cifre ridotte, ma non trascurabili — e ci sono da aggiungere i costi reputazionali e operativi di un'ispezione.

I 3 sistemi AI che la tua PMI usa senza saperlo

Queste non sono tecnologie futuristiche. Sono funzionalità attivate spesso di default in software già pagati, o aggiunte negli ultimi 12 mesi con l'esplosione dell'AI nei tool B2B.

1. Il software HR con screening automatico dei CV

Quasi ogni ATS (Applicant Tracking System) in circolazione ha ormai un modulo AI che filtra, classifica e assegna uno score ai candidati prima che un occhio umano li veda. Workable, Personio, Greenhouse, Factorial: tutti hanno introdotto funzionalità di «candidate ranking» o «match score» alimentate da machine learning.

L'AI Act è esplicito: l'Allegato III, sezione 1, classifica come ad alto rischio i sistemi AI «destinati a essere utilizzati per il reclutamento e selezione delle persone fisiche, segnatamente per la pubblicazione di annunci di lavoro mirati, l'analisi e il filtraggio delle candidature e la valutazione dei candidati», secondo le linee guida di classificazione della Commissione UE.

Il problema nelle PMI è che spesso questa funzione è stata attivata da un'amministratrice HR senza che il titolare ne fosse a conoscenza, oppure è inclusa nel piano «Pro» del software sottoscritto mesi fa. Se l'AI scarta anche solo un candidato prima della revisione umana, siete nell'ambito dell'Allegato III.

Anche LinkedIn Recruiter rientra potenzialmente in questa categoria quando usa AI per suggerire o filtrare candidati in modo automatizzato — e molte PMI lo usano quotidianamente.

2. Il software di monitoraggio e valutazione dei dipendenti con AI

Seconda categoria ad alta prevalenza nelle PMI: i tool che misurano la produttività dei dipendenti, generano report automatici sulle performance, o tracciano attività digitali con punteggi AI.

Rientrano nell'Allegato III, sezione 3, i sistemi AI destinati alla «gestione e all'accesso all'impiego, compresa la valutazione delle prestazioni e del comportamento delle persone». Strumenti come Microsoft Viva Insights (incluso in Microsoft 365 Business), Time Doctor con analisi AI, Hubstaff con report automatici, o anche i moduli di performance review in HubSpot o Notion AI possono rientrare in questa definizione se generano valutazioni automatizzate sui dipendenti.

La PMI media che usa Microsoft 365 Business Premium sta pagando ogni mese per un tool che, se configurato con le funzioni AI attive, rientra nell'Allegato III — senza che nessuno in azienda lo sappia.

3. I sistemi di scoring creditizio e rating fornitori con AI

Terza categoria, meno visibile ma presente in molte PMI con processi di acquisto o finanza strutturati: i software che usano AI per valutare il merito creditizio di clienti o la solidità di fornitori.

L'Allegato III, sezione 5, include i sistemi AI «destinati a essere utilizzati dagli istituti di credito o da altri enti finanziari per valutare il merito creditizio delle persone fisiche o stabilire il loro rating creditizio». Strumenti come Creditsafe, Modefinance, o i moduli di risk scoring di alcuni ERP (SAP, Zucchetti, TeamSystem con integrazioni AI) possono ricadere in questa categoria se generano rating automatizzati con impatto sulle decisioni commerciali.

Una PMI che usa un'integrazione fintech per il fido clienti con AI è probabilmente in Allegato III, anche se il software è commercializzato come semplice «analisi del rischio commerciale».

Come capire se il tuo sistema è ad alto rischio

Usa questa lista per fare una prima scansione rapida dei tool in uso:

ATS con filtro automatico CV o ranking candidati (Workable, Personio, Greenhouse)

HR Software

LinkedIn Recruiter con funzioni AI di suggerimento/filtro candidati

Tool di monitoraggio produttività con punteggi AI automatici (Hubstaff, Time Doctor AI)

Monitoring Software

Microsoft Viva Insights attivo su M365 con report performance automatici

Microsoft 365

Software di rating/scoring fornitori o clienti con AI integrata (Creditsafe, moduli ERP)

Finance/ERP

Chatbot base senza decisioni automatiche su persone (rischio limitato, non Allegato III)

Chatbot

Tool di generazione testi o supporto redazione (GPT, Claude) senza output su persone

AI Writing

Automazioni di workflow (n8n, Zapier) senza valutazioni su persone fisiche

Workflow Automation

Attenzione: il rischio riguarda l'uso, non solo il tool

L'Allegato III non vieta i tool — vieta l'uso non conforme di tool ad alto rischio. Un ATS con AI screening usato con documentazione tecnica + log + supervisione umana attiva è conforme. Lo stesso ATS usato senza nessuno di questi requisiti è in violazione. Il 2 agosto 2026 valuta il tuo processo, non solo il software sul contratto.

Gli obblighi concreti per i sistemi ad alto rischio

Se hai identificato uno o più sistemi nell'Allegato III, ecco cosa richiede il Regolamento prima del 2 agosto. Non è compliance «sulla carta»: AgID e ACN possono richiedere accesso ai documenti in caso di ispezione, come dettagliato dalla roadmap di conformità per sistemi High Risk.

Inventario dei sistemi AI in usoSettimana 1

Fai la lista completa dei software e strumenti con funzionalità AI attive in azienda. Includi: software HR, CRM, tool di produttività, piattaforme di analytics, integrazioni fintech. Classifica ogni sistema secondo le categorie dell'Allegato III. Questo inventario diventa il registro interno dei sistemi AI — un documento ufficiale richiesto dal Regolamento.

Documentazione tecnica del sistemaSettimana 1-2

Per ogni sistema ad alto rischio, raccogli: descrizione del funzionamento dell'AI, tipo di dati trattati, scopo del sistema, eventuali bias noti e misure di mitigazione. Il fornitore del software deve fornirti la documentazione tecnica del componente AI — se non la fornisce, è un segnale di rischio contrattuale oltre che regolatorio.

Attivazione della supervisione umanaSettimana 2

Ogni sistema ad alto rischio deve avere un processo di supervisione umana obbligatorio prima che l'output AI produca una decisione che impatta una persona (candidato, dipendente, cliente). Documenta chi supervisiona, con quale frequenza, e come viene registrata la revisione. Questa non è una formalità: l'AI Act richiede che il personale di supervisione sia formato e in grado di intervenire.

Log e tracciabilità degli outputSettimana 2-3

I sistemi ad alto rischio devono mantenere log automatici delle operazioni in misura sufficiente a garantire che il funzionamento del sistema possa essere monitorato dopo la messa in produzione. Verifica che il tuo software registri gli output AI con timestamp, parametri di input, e risultato — e che questi log siano accessibili per almeno 6 mesi.

Valutazione della conformità e dichiarazioneSettimana 3-4

Completa una valutazione di conformità interna e, se il sistema rientra nelle categorie che richiedono coinvolgimento di terzi (sistemi biometrici, infrastrutture critiche), avvia il processo di certificazione con un organismo notificato. Per la maggior parte delle PMI, una valutazione interna documentata è sufficiente — ma deve essere scritta, datata e conservata.

Verifica contrattuale con i fornitori softwareParallelo

Se il sistema AI appartiene a un fornitore esterno (SaaS), verifica il contratto: il Regolamento assegna responsabilità anche al «deployer» (chi usa il sistema), non solo al «provider» (chi lo ha costruito). Chiedi al fornitore la dichiarazione di conformità AI Act e assicurati che il contratto contenga clausole sulla responsabilità per violazioni del Regolamento.

Prima vs dopo il 2 agosto: cosa cambia davvero

Oggi (prima del 2 agosto)Situazione attuale

Obblighi

Già vietati i sistemi proibiti (dal 2 feb 2024); obblighi di literacy AI attivi (dal 2 feb 2025)

Sanzioni sistemi alto rischio

Nessuna (periodo di transizione)

Ispezioni AgID/ACN

Possibili ma rare

Cosa devi fare

Mappare i sistemi e avviare la compliance

Dal 2 agosto 2026Regime completo

Obblighi

Tutti gli obblighi Allegato III attivi: documentazione, log, supervisione umana, registro sistemi AI

Sanzioni sistemi alto rischio

Fino a 15 mln € o 3% fatturato (l'importo minore)

Ispezioni AgID/ACN

Strutturate e con poteri sanzionatori completi

Cosa devi fare

Dimostrare la conformità se richiesto

Cosa fare adesso: la checklist in 3 mosse per le PMI

Se hai letto fino a qui, il messaggio è chiaro. Non hai 47 giorni per «valutare se è il caso di fare qualcosa»: hai 47 giorni per completare la compliance sui sistemi già attivi.

Le tre mosse prioritarie, in ordine di urgenza:

Mossa 1 — Inventario immediato (entro questa settimana): passa in rassegna tutti i software con funzionalità AI attive e classifica quelli che toccano persone (candidati, dipendenti, clienti con scoring). Se non sai cosa è attivo, chiedi ai fornitori.
Mossa 2 — Attiva la supervisione umana sui sistemi a rischio: anche prima di completare la documentazione formale, assicurati che nessuna decisione automatizzata su persone vada in produzione senza revisione umana tracciata. È il requisito minimo per ridurre il rischio nell'immediato.
Mossa 3 — Fai un audit AI Ops: una mappatura formale dei sistemi AI in uso, con classificazione del rischio e checklist di compliance, è esattamente quello che offriamo come primo step su AutoMate PRO con l'audit gratuito. Nelle PMI con cui lavoriamo, il passaggio dall'inventario informale al registro ufficiale richiede in media 3-4 ore di lavoro guidato — non settimane.

Se hai già lavorato sull'automazione dei processi HR, leggi anche il nostro approfondimento su automazione selezione personale PMI — che tocca direttamente i sistemi dell'Allegato III nel recruiting.

Digital Omnibus: attenzione al rinvio che potrebbe non arrivare

Circola da mesi la voce di un rinvio della scadenza al 2027 tramite il Digital Omnibus europeo. Ad oggi, la data ufficiale rimane il 2 agosto 2026: attendere un rinvio senza documentare la conformità è un rischio operativo. Se il rinvio non arriva, chi non si è mosso si trova in violazione immediata.

Domande frequenti sull'AI Act per le PMI italiane

Dal 2 agosto 2026 devo spegnere i miei sistemi AI se non sono conformi?

No. I sistemi ad alto rischio restano operativi, ma devi poter dimostrare la conformità se richiesto da AgID o ACN. La non conformità non porta alla chiusura del sistema ma a sanzioni amministrative. La priorità è avviare subito il processo di documentazione e supervisione umana, anche se non è ancora completo al 2 agosto.

Il mio ATS è fornito da un vendor esterno: la responsabilità è mia o del fornitore?

L'AI Act distingue tra «provider» (chi costruisce il sistema) e «deployer» (chi lo usa). Tu come PMI sei il deployer: sei responsabile del rispetto degli obblighi operativi — supervisione umana, log, documentazione degli usi. Il provider è responsabile della documentazione tecnica del sistema. La responsabilità è condivisa ma non si annulla a vicenda: hai bisogno di entrambe le parti.

Chatbot e assistenti AI come Claude o ChatGPT rientrano nell'alto rischio?

No, nella maggior parte degli usi aziendali. I chatbot generativi usati per supporto interno, generazione di testi, o automazione di risposte base rientrano nella categoria «rischio limitato», che prevede solo obblighi di trasparenza (informare l'utente che sta interagendo con un AI). Diventano ad alto rischio solo se classificano o decidono su persone fisiche in ambiti sensibili (lavoro, credito, salute).

Come faccio a sapere se il software che uso ha funzionalità AI attive?

Controlla le note di rilascio degli ultimi 12 mesi del tuo software e le impostazioni dei piani attivi. Molti vendor SaaS hanno introdotto funzionalità AI senza annunci espliciti. Se hai dubbi, scrivi direttamente al supporto del fornitore chiedendo una lista delle funzionalità AI incluse nel tuo piano e se rientrano nella definizione di sistemi ad alto rischio AI Act.

Quanto costa adeguarsi all'AI Act per una PMI con 5-10 dipendenti?

Per una PMI piccola con 1-2 sistemi ad alto rischio, la compliance non richiede investimenti tecnologici significativi: si tratta principalmente di documentazione, configurazione dei log (spesso già disponibili nel software), e definizione di un processo di supervisione umana. Il costo principale è il tempo: mediamente 8-16 ore di lavoro per creare il registro e i documenti richiesti. Un audit esterno guidato riduce questo tempo a 3-4 ore.

L'AI Act si applica anche se uso sistemi AI sviluppati fuori dall'UE?

Sì. Il Regolamento si applica a tutti i sistemi AI messi in servizio nell'UE o i cui output sono usati nell'UE, indipendentemente da dove è stato sviluppato il sistema. Se usi un tool americano o asiatico che rientra nell'Allegato III, sei soggetto agli obblighi come deployer.

Cosa succede se AgID avvia un'ispezione e non ho la documentazione pronta?

L'assenza di documentazione è già di per sé una violazione degli obblighi del deployer, indipendentemente dal fatto che il sistema funzioni correttamente. Le sanzioni previste per informazioni false o incomplete alle autorità arrivano fino a 7,5 milioni di euro o 1,5% del fatturato, come indicato da Cyberness.it. Avere la documentazione incompleta ma avviata conta come fattore attenuante nel processo sanzionatorio.

Conclusione

Il 2 agosto 2026 non è lontano abbastanza da poter aspettare il prossimo trimestre. Se la tua PMI usa già oggi un ATS con AI screening, un tool di monitoraggio dipendenti con punteggi automatici, o un sistema di scoring creditizio, sei nell'ambito dell'Allegato III — e hai meno di 7 settimane per documentare la conformità.

Il punto di partenza non è assumere un consulente legale: è fare l'inventario dei sistemi AI in uso. In molte delle PMI con cui lavoriamo su AutoMate PRO, scopriamo sistemi ad alto rischio attivi di cui nessuno era consapevole. L'audit gratuito che offriamo parte esattamente da questa mappatura — e in 3-4 ore produce il registro dei sistemi AI e la priorità di intervento.

Non aspettare agosto per scoprire di avere un problema che potevi risolvere a giugno.