Inventario sistemi AI: cosa mappare prima del 2 agosto 2026
ai-actcompliancepmifonte: Regolamento UE 2024/1689 / Aidapt

Inventario sistemi AI: cosa mappare prima del 2 agosto 2026

Il rinvio del Digital Omnibus non cancella gli obblighi del 2 agosto 2026: ecco cosa mappare subito con l'inventario sistemi AI per PMI italiane.

Alex Vuza·15 luglio 2026·11 min read

Meno del 20% delle PMI italiane ha avviato la formazione obbligatoria sull'AI Act, a diciotto giorni dalla scadenza del 2 agosto 2026 (Aidapt, luglio 2026). Il rinvio fa credere che non ci sia nulla da fare — è un errore che costa caro.

Il 2 dicembre 2026 il Consiglio UE ha confermato lo slittamento degli obblighi più pesanti sui sistemi ad alto rischio (Digital World Italia), ma trasparenza, alfabetizzazione AI e sanzioni restano attive dal 2 agosto 2026. E senza un inventario dei tuoi sistemi AI non puoi sapere da che parte stai.

Punti chiave

  • Il Digital Omnibus rinvia gli obblighi sui sistemi ad alto rischio dell'Allegato III al 2 dicembre 2027 (sistemi standalone) e al 2 agosto 2028 (AI integrata in prodotti già regolati)
  • Restano pienamente attivi dal 2 agosto 2026: obblighi di trasparenza (art. 50), alfabetizzazione AI obbligatoria, sanzioni fino a 15 milioni di euro o il 3% del fatturato mondiale, autorità di vigilanza nazionali operative
  • Senza un inventario aggiornato non sai se un tuo sistema rientra tra quelli rinviati o tra quelli già soggetti a obblighi
  • L'inventario è un documento vivo da aggiornare a ogni nuovo strumento adottato, non un PDF da archiviare una volta
  • Meno del 20% delle PMI italiane ha avviato la formazione obbligatoria; il 65% non ha dato alcuna direttiva ai dipendenti sull'uso dell'AI
<20%
PMI italiane che ha avviato la formazione AI Act obbligatoriaAidapt, luglio 2026
65%
imprese che non hanno dato alcuna direttiva ai dipendenti sull'uso dell'AIAidapt, luglio 2026
15 mln €
sanzione massima (o 3% fatturato mondiale) per violazione obblighi dal 2 agosto 2026Regolamento UE 2024/1689, art. 99

Cosa succede davvero il 2 agosto 2026 (e cosa no)

La confusione è comprensibile. Per mesi la scadenza del 2 agosto 2026 è stata raccontata come il giorno in cui scattavano gli obblighi pieni sui sistemi ad alto rischio — gestione del rischio, documentazione tecnica, supervisione umana, qualità dei dati. Con il Digital Omnibus, il Consiglio UE ha rinviato questi obblighi specifici (Studio Legale Stefanelli). Ma il rinvio riguarda solo una parte del Regolamento, non tutto.

Rinviato al 2027-2028Digital Omnibus
Sistemi Allegato III standalone
Gestione rischio, documentazione tecnica, supervisione umana → 2 dicembre 2027
AI integrata in prodotti (Allegato I)
Stessi obblighi, sistemi già coperti da regolamentazione di settore → 2 agosto 2028
Ambiti coinvolti
Selezione personale, credit scoring, infrastrutture critiche, forze dell'ordine, identificazione biometrica
Attivo dal 2 agosto 2026Nessun rinvio
Trasparenza (art. 50)
Chatbot, assistenti automatici, contenuti sintetici (testo/immagini/audio generati con AI)
Alfabetizzazione AI
Obbligo di formare chi in azienda usa o gestisce sistemi AI
Sanzioni e vigilanza
Regime sanzionatorio pienamente operativo, autorità nazionali attive

L'errore più comune

Se la tua azienda usa un chatbot per i clienti o genera contenuti (testo, immagini, audio) con l'AI, l'obbligo di trasparenza dell'art. 50 si applica già dal 2 agosto 2026 — a prescindere dal rinvio sull'alto rischio. Non è un sistema «ad alto rischio» nel senso dell'Allegato III, ma è comunque un obbligo attivo. Approfondimento sul rinvio.

Cosa mappare: le domande per ogni sistema AI

Un inventario utile non è una lista di nomi di software. Guide operative recenti concordano su un set minimo di domande da porre per ciascuno strumento (Arqen):

01
Nome e fornitorePer ogni sistema

Che strumento è, chi lo ha sviluppato, con quale versione o piano è attivo in azienda.

02
Chi lo usa e con quale frequenzaPer ogni sistema

Reparto, ruolo, numero indicativo di persone che lo usano ogni settimana.

03
Per quale attività o processoPer ogni sistema

Cosa fa concretamente: risponde ai clienti, genera contenuti, seleziona candidati, valuta pratiche.

04
Tratta dati di persone fisichePer ogni sistema

Se elabora dati personali di clienti, candidati o dipendenti — collega la mappatura a quella GDPR già esistente.

05
Ruolo dell'aziendaPer ogni sistema

Provider o deployer rispetto a quello specifico sistema — cambia radicalmente gli obblighi.

06
Categoria di rischio AI ActPer ogni sistema

Vietato, alto rischio (Allegato III/I), a rischio limitato (trasparenza art. 50) o rischio minimo.

Perché serve comunque un inventario, rinvio o no

Il ragionamento «è tutto rinviato, posso aspettare» salta un passaggio: per sapere che il rinvio ti riguarda, devi prima sapere quali sistemi AI usi, chi ce li ha messi in mano e per cosa li usa. Senza quella mappa, non puoi rispondere a nessuna delle tre domande che davvero contano prima di agosto:

  • Il sistema che usiamo rientra nell'Allegato III (rinviato) o negli obblighi di trasparenza già attivi?
  • Siamo «provider» (chi sviluppa o vende il sistema) o «deployer» (chi lo usa in azienda)? Gli obblighi cambiano in base al ruolo.
  • Chi in azienda ha già adottato uno strumento AI senza che nessuno lo sapesse?

Il caso dello shadow AI

Quest'ultimo punto non è teorico. Il 65% delle imprese italiane non ha dato alcuna direttiva ai dipendenti sull'uso dell'AI e il 27% dei dipendenti usa strumenti AI senza approvazione — il fenomeno noto come shadow AI (Aidapt, luglio 2026). Se non sai cosa usano i tuoi team, l'inventario non è un esercizio di conformità: è la prima volta che vedi davvero cosa succede in azienda.

Nella pratica, lo shadow AI riguarda quasi sempre lo stesso schema: un dipendente incolla dati aziendali o di clienti in un chatbot generico per velocizzare un compito, senza che nessuno in azienda lo sappia o lo approvi. Non è malafede — è la scorciatoia più immediata quando manca uno strumento approvato per lo stesso scopo. L'inventario è anche il modo più rapido per scoprire quali di questi scorciatoie esistono già e decidere se formalizzarle o sostituirle.

ProviderChi sviluppa/vende
Chi è
Chi progetta, sviluppa o immette sul mercato un sistema AI, anche a marchio proprio
Obblighi tipici
Documentazione tecnica, marcatura CE, registrazione in banca dati UE (per l'alto rischio)
DeployerLa maggior parte delle PMI
Chi è
Chi usa un sistema AI già sviluppato da altri (SaaS, chatbot, tool di terze parti) nella propria attività
Obblighi tipici
Supervisione umana, informazione agli utenti finali, alfabetizzazione AI del personale

Come costruirlo senza bloccare l'azienda per settimane

L'errore più comune è partire dalla lista dei software invece che dai processi. Le guide più recenti convergono su un punto: conviene partire dai reparti e dalle attività, non dall'inventario licenze IT, perché molte funzionalità AI sono già integrate in strumenti che l'azienda usa ogni giorno senza etichetta «AI» visibile (Arqen).

Partire dalla lista licenze software IT

Perde gli strumenti AI integrati in piattaforme già in uso (CRM, email, help desk)

Partire da processi e reparti, poi risalire ai tool

Intercetta anche l'AI 'nascosta' dentro strumenti non etichettati come tali

Trattare l'inventario come un PDF da archiviare

Diventa obsoleto al primo nuovo strumento adottato da un team

Aggiornarlo a ogni nuovo strumento adottato

Resta uno strumento di governance vivo, non un adempimento una tantum

Farlo fare a una sola persona in isolamento

Chi non è nel reparto non sa quali tool usa davvero il team

Coinvolgere un responsabile per reparto

Ogni owner mappa la propria area, il quadro completo emerge più in fretta

Il Context Pack come base naturale per l'inventario

Nei nostri progetti Step 1 con le PMI italiane, il primo passo è sempre lo stesso: costruire un Context Pack che mappa dati, processi e strumenti già in uso in azienda — prima ancora di proporre qualunque automazione. È di fatto già una mappatura strutturata molto simile a quanto richiesto per l'inventario AI Act: chi usa cosa, per quale processo, con quali dati.

La differenza è che il Context Pack nasce per un altro obiettivo — capire dove automatizzare per far risparmiare tempo o aumentare gli incassi — ma copre buona parte delle stesse domande. Chi lo ha già fatto con noi parte da un vantaggio concreto quando arriva il momento di completare l'inventario di conformità. Il template che usiamo mostra come strutturarlo in circa due ore.

Da dove iniziare oggi

Se non hai mai fatto un inventario, non serve partire da zero con un foglio Excel infinito. Bastano tre reparti, un responsabile per reparto e le sei domande di questo articolo — il resto si costruisce nelle settimane successive.

Le sanzioni non aspettano il 2027

Il regime sanzionatorio dell'AI Act è pienamente applicabile dal 2 agosto 2026, non dal 2027 (iSimply). Le violazioni sugli obblighi generali del Regolamento — non solo quelli sull'alto rischio rinviato — possono arrivare fino a 15 milioni di euro o il 3% del fatturato mondiale annuo, a seconda di quale importo sia più alto. Per PMI e startup si applica il principio di proporzionalità: la sanzione concreta tiene conto della sostenibilità economica dell'impresa, ma resta un rischio reale, non simbolico.

Dallo stesso 2 agosto 2026 diventano operative anche le autorità nazionali di vigilanza, con potere di verifica e sanzione. In Italia significa che, per la prima volta, un'ispezione o una segnalazione può effettivamente tradursi in un procedimento — non solo in una lettera di diffida.

Cosa cambia concretamente per una PMI

Per un'impresa di 5-50 dipendenti il rischio più realistico non è una multa milionaria — la proporzionalità dell'art. 99 la esclude quasi sempre — ma la richiesta improvvisa di documentazione da parte di un cliente, un partner o un'autorità che verifica un fornitore. Chi ha già l'inventario risponde in un giorno. Chi non ce l'ha inizia a costruirlo sotto pressione, con tempi stretti e margine di errore molto più alto.

FAQ

Il rinvio del Digital Omnibus significa che non devo fare nulla entro il 2 agosto 2026?

No. Il rinvio riguarda solo gli obblighi pieni sui sistemi ad alto rischio dell'Allegato III (spostati al 2 dicembre 2027) e quelli integrati in prodotti già regolati (2 agosto 2028). Trasparenza, alfabetizzazione AI, sanzioni e vigilanza restano attivi dal 2 agosto 2026.

Cosa devo mappare se non uso sistemi 'ad alto rischio'?

Anche chatbot, assistenti automatici e strumenti che generano contenuti (testo, immagini, audio) rientrano negli obblighi di trasparenza dell'art. 50, attivi dal 2 agosto 2026 indipendentemente dal rinvio sull'alto rischio.

Le sanzioni AI Act si applicano anche alle piccole imprese?

Sì, con il principio di proporzionalità: per PMI e startup si applica l'importo più basso tra la cifra fissa e la percentuale sul fatturato, ma il regime sanzionatorio resta pienamente operativo dal 2 agosto 2026.

Cosa significa essere 'deployer' invece di 'provider'?

Il provider sviluppa o vende il sistema AI; il deployer lo usa nella propria attività. La maggior parte delle PMI italiane è deployer di strumenti sviluppati da terzi (SaaS, chatbot, tool AI di terze parti), con obblighi diversi — più leggeri ma non assenti — rispetto al provider.

Ogni quanto va aggiornato l'inventario dei sistemi AI?

Non è un documento da fare una volta e archiviare. Va aggiornato ogni volta che un reparto adotta un nuovo strumento con funzionalità AI, anche se integrato in una piattaforma già in uso.

Da dove parto se non ho mai fatto un inventario in azienda?

Parti dai processi, non dalla lista software: individua 3-4 reparti, assegna un responsabile per ciascuno e rispondi alle sei domande base (nome/fornitore, chi lo usa, per quale attività, dati trattati, ruolo, categoria di rischio) per ogni strumento che emerge.

Un audit gratuito con AutoMate PRO include anche l'inventario AI Act?

Il nostro Step 1 costruisce un Context Pack che mappa dati, processi e strumenti in uso in azienda — copre buona parte delle stesse domande richieste dall'inventario di conformità, anche se nasce con un obiettivo diverso (automazione, non solo compliance).

Cosa fare da qui

Il 2 agosto 2026 non è la scadenza «svuotata» che il rinvio sembra suggerire. È il giorno in cui trasparenza, alfabetizzazione AI e sanzioni diventano pienamente operative — e in cui, se un'autorità di vigilanza bussa, l'unica risposta credibile è avere già una mappa di cosa usi e perché.

Costruire quella mappa non richiede settimane bloccate: bastano pochi reparti, un responsabile per area e le domande giuste. Se preferisci partire da una base già pensata per la tua azienda invece che da un foglio vuoto, un audit gratuito con AutoMate PRO parte esattamente da lì — mappare dati e processi prima di qualunque automazione o adempimento.

Quale agente AI potrebbe lavorare per te?

Compila l'audit gratuito: in 24 ore ricevi un'analisi personalizzata sulla tua azienda.

Inizia l'audit gratuito