Benvenuti all’undicesimo capitolo delle Cronache del Sottosopra Digitale, ribelli. Il 2 febbraio 2025 è una data che la maggior parte delle PMI italiane non ricorda. Nessuna circolare urgente. Nessun consulente alla porta la sera prima. Solo la Gazzetta Ufficiale dell’Unione Europea, pubblicata in luglio 2024, silenziosa come sempre sugli scaffali digitali di chi non la legge. Eppure, quel giorno, sono entrati in vigore i primi obblighi dell’AI Act, il Regolamento UE 2024/1689, la prima legge al mondo sull’intelligenza artificiale con forza cogente. Se stai leggendo questo articolo, è probabile che tu stia già violando almeno uno di quegli obblighi. Non per malafede. Per silenzio.
L’AI Act non è futuro: è già successo
Il dibattito pubblico parla ancora dell’AI Act come di qualcosa che “arriverà”. Questa percezione è sbagliata, e costa.
La struttura temporale della legge è scandita in quattro fasi. Il 2 febbraio 2025: divieto assoluto per le pratiche di AI “a rischio inaccettabile”: manipolazione subliminale, social scoring, identificazione biometrica in tempo reale negli spazi pubblici. Il 2 agosto 2025: obblighi per i modelli di uso generale, i cosiddetti GPAI, ovvero ChatGPT, Gemini, Claude e analoghi. Il 2 agosto 2026, tra meno di quattro mesi dalla pubblicazione di questo articolo, piena applicazione per la maggior parte dei sistemi ad alto rischio. Il 2 agosto 2027: sistemi AI integrati in prodotti regolamentati, macchinari industriali e dispositivi medici compresi.
Tre delle quattro scadenze sono già passate o imminenti. La quarta è alle porte. Molte PMI pensano di avere tempo. Non ce l’hanno.
Il rischio alto è nel tuo gestionale
La classificazione “alto rischio” sembra evocare droni militari o neurochirurgia robotizzata. Il Regolamento è più prosaico, e più vicino a casa.
I sistemi HR rientrano nella categoria: selezione del personale, screening CV, ranking dei candidati, valutazione delle performance. Stessa classificazione per strumenti di credit scoring, chatbot in settori critici, analisi predittiva applicata a persone fisiche. Non stiamo parlando di casi limite. Stiamo parlando del software che molte aziende da 30 a 200 dipendenti hanno acquistato nell’ultimo anno, spesso presentato come “gestionale con AI integrata” o “tool di analisi HR basato su machine learning”.
Il punto che cambia tutto per chi gestisce una PMI è la distinzione tra provider e deployer. Il provider è chi sviluppa il sistema. Il deployer è chi lo usa in contesto operativo. Le PMI italiane, salvo eccezioni, non sviluppano AI: la comprano, la attivano, la usano. Sono deployer.
E i deployer hanno obblighi propri: valutazione d’impatto, tracciabilità delle decisioni automatizzate, supervisione umana, informazione ai lavoratori sui sistemi che li riguardano. Obblighi che non possono essere delegati contrattualmente al fornitore del software. Il disclaimer nelle condizioni di utilizzo non ti copre.
Sanzioni proporzionali al fatturato, non alla colpa
L’Articolo 99 del Regolamento UE 2024/1689 fissa le soglie: fino a 35 milioni di euro o il 7% del fatturato mondiale annuo per l’uso di sistemi vietati; fino a 15 milioni o il 3% per le altre violazioni. Per PMI e startup si applicano le soglie monetarie inferiori, una clausola che suona come protezione ma che, per un’azienda con 15 milioni di fatturato, significa comunque un’esposizione potenziale nell’ordine delle centinaia di migliaia di euro.
L’enforcement formale è partito dall’agosto 2025. In Italia le competenze sono distribuite tra AgID per gli aspetti tecnici, il Garante Privacy per i dati personali e l’ACN per la cybersecurity, secondo la Legge 132 del 23 settembre 2025.
A questo punto, qualcuno tira fuori la sentenza del Tribunale di Roma n. 4153 del 18 marzo 2026: il giudice ha annullato la sanzione da 15 milioni del Garante Privacy italiano a OpenAI. E la interpreta come: “ChatGPT ha vinto, possiamo fare quello che vogliamo.”
È un errore di lettura grossolano. Quella sentenza riguarda un contenzioso tra istituzioni, il Garante e OpenAI, su argomentazioni che toccano competenza territoriale e procedura. Non dice nulla sulla compliance delle aziende che usano strumenti AI. Non è un condono retroattivo. Non copre il deployer. Le motivazioni complete, peraltro, non erano ancora pubbliche al momento della stesura di questo articolo.
Il revisore dei conti è arrivato puntuale
C’è una figura che ogni imprenditore italiano con qualche anno di storia conosce a memoria. Non il commercialista storico, quello di cui ti fidi. L’altro: quello che si materializzava ogni volta che usciva una nuova norma fiscale, con la sua cartella di pelle logora e un preventivo già pronto. Non veniva per proteggere il tuo bilancio. Veniva per fatturare la tua paura.
4. L’Autopsia del Miraggio Digitale – Cronache del Sottosopra Digitale
Il copione si ripete con una precisione quasi ammirevole. Dopo il GDPR del 2018 è esploso un mercato della compliance da centinaia di milioni di euro, gran parte di qualità discutibile. Le PMI si sono ritrovate a pagare per cookie banner ingarbugliati, DPO nominati pro forma, certificazioni di dubbia utilità operativa. La norma nata per proteggere il cittadino era già stata colonizzata dagli intermediari prima che la maggior parte delle aziende capisse cosa stava firmando.
Adesso la scena si ripete, con un lessico aggiornato. “AI Act Sprint”. “AI Governance Audit”. “AI Readiness Assessment in 5 giorni”. LinkedIn è già pieno. I prezzi partono da 4.000 euro e arrivano con facilità a 30.000. Il mercato italiano della cybersecurity ha raggiunto 2,78 miliardi di euro nel 2025, con una crescita media del 15% annuo [VERIFY: fonte Politecnico di Milano Cybersec, citato in NatLawReview marzo 2026]. Una quota di quella cifra è compliance acquistata in fretta e senza mappa.
La protezione che diventa barriera
Il meccanismo nascosto sotto l’ombrello della “tutela” è vecchio come la regolamentazione stessa: la norma pensata per frenare i grandi consolida chi ha già la struttura per adeguarsi.
Google, Microsoft e OpenAI hanno team legali già strutturati per il GDPR che assorbono l’AI Act come costo marginale. Producono documentazione tecnica in serie, aggiornano i contratti cloud, ottengono certificazioni. Una PMI da 40 dipendenti, nella migliore delle ipotesi, delega tutto a un consulente esterno. Nella peggiore, non fa nulla e accumula rischio silenziosa.
Cory Doctorow ha un nome per questo meccanismo applicato alle piattaforme digitali: enshittification. Il ciclo in cui i grandi player estraggono valore progressivamente a scapito di tutti gli altri. Lo stesso schema funziona sul piano normativo: la regolamentazione che non distingue per dimensione aziendale diventa una tassa che i piccoli pagano e i grandi ammortizzano. Secondo dati Cefriel, oltre 20.000 imprese italiane nei settori critici sono coinvolte dal pacchetto normativo europeo che comprende AI Act, NIS2, DORA, Cyber Resilience Act e Data Act
7. Il Morso dell’IA – Cronache del Sottosopra Digitale
10. Il Processo – Cronache del Sottosopra Digitale
Non è un argomento contro la legge. L’AI Act è, a guardarla con lucidità, una delle risposte più articolate che l’Europa abbia prodotto in materia tecnologica. Il problema non è la norma: è l’ecosistema parassitario che si forma tra la norma e chi deve applicarla. Un ecosistema che prospera esattamente quanto più il gap informativo rimane ampio.
Il minimo sindacale, senza spendere 8.000 euro
La legge è reale. Gli obblighi esistono. Ma c’è una differenza netta tra adeguarsi e essere espropriati dalla propria paura.
Il punto di partenza non richiede una consulenza. Richiede un inventario: quali strumenti AI usa la tua azienda, in quali processi, con quale impatto su persone fisiche. Il gestionale HR ha funzioni di ranking automatico dei candidati? Il software di analisi delle vendite fa previsioni su comportamenti individuali? Quella lista, anche scritta a mano su un foglio A4, è il documento più importante che una PMI possa produrre oggi.
Il secondo passo riguarda l’AI literacy. L’Articolo 4 del Regolamento impone ai deployer di garantire che il personale abbia una comprensione sufficiente dei sistemi AI che utilizza. Questo obbligo è in vigore dal 2 febbraio 2025. Non richiede una certificazione costosa: richiede che i dipendenti sappiano cos’è lo strumento che usano e quali sono i suoi limiti riconosciuti. Una sessione formativa interna di due ore è già una posizione difendibile. Il nulla, che è la posizione di partenza di molte PMI, non lo è.
Il terzo passo è richiedere al fornitore del software una comunicazione scritta sulla classificazione del suo prodotto ai sensi dell’AI Act. Se il fornitore non sa rispondere, hai già un’informazione preziosa: stai usando uno strumento di cui il produttore non conosce il profilo di rischio regolatorio.
Non è la compliance completa. Ma è la differenza tra chi arriva all’appuntamento con il revisore con una posizione e chi ci arriva a mani vuote.
Il Sottosopra si amministra, ma non si ferma
Le Cronache del Sottosopra Digitale hanno raccontato, episodio dopo episodio, lo stesso meccanismo: qualcuno costruisce un sistema, il sistema estrae valore, il sistema raggiunge un punto di rottura. Poi arriva la risposta: legislativa, giudiziaria, culturale. Poi arriva chi monetizza la risposta.
Il revisore dei conti è già sulla porta. Ha cambiato nome sul campanello: adesso si chiama AI Compliance Officer, AI Act Auditor, AI Governance Specialist. La cartella di pelle logora è stata sostituita da una slide deck con la timeline del Regolamento e un’offerta modulare da scegliere entro fine mese.
Puoi aprire, rassegnato, e firmare il preventivo. Oppure puoi arrivare alla porta con la tua lista di strumenti, la tua sessione di formazione già fatta, e la domanda giusta al tuo fornitore di software.
Conoscere la legge prima che qualcuno te la venda è ancora, nonostante tutto, la strategia più economica disponibile.
Fonti consultate:
- Regolamento UE 2024/1689 (AI Act), GU UE 12 luglio 2024 | timeline e sanzioni (Art. 99)
- Legge 132 del 23 settembre 2025 | autorità italiane competenti (AgID, Garante, ACN)
- Sentenza Tribunale di Roma n. 4153/2026 del 18 marzo 2026 (OpenAI/Garante Privacy) | da aipolicy.it e comunicazione Garante Privacy
- Cefriel, vademecum PMI italiane 2025
- Politecnico di Milano Cybersec, citato in NatLawReview marzo 2026
