Checklist di conformità alla legge UE sull'IA per le PMI: una roadmap in 9 passaggi
Pubblicato 18 luglio 2026 · 6 min di lettura
La legge UE sull'IA può sembrare travolgente. Suddivisa in passaggi, è gestibile, anche per un piccolo team senza un responsabile della conformità dedicato. Questa è la roadmap che illustriamo alle PMI, con l'articolo dietro ogni passaggio così da poter verificare la fonte.
Prima di tutto: ciò che si applica già oggi
Non tutto è nel futuro. Tre obblighi sono già applicabili, quindi trattali come elementi da «affrontare subito»:
- Pratiche vietate (articolo 5) vietate dal 2 febbraio 2025. Nessun sistema di IA può metterle in atto, indipendentemente dalle dimensioni.
- Alfabetizzazione in materia di IA (articolo 4) dal 2 febbraio 2025, i fornitori e i deployer devono garantire che il personale che utilizza l'IA disponga di un livello sufficiente di alfabetizzazione in materia di IA. Consulta la nostra guida all'alfabetizzazione in materia di IA.
- Obblighi per i modelli GPAI (capo V) si applicano dal 2 agosto 2025, con applicazione a partire dal 2 agosto 2026.
Gli obblighi per i sistemi ad alto rischio, l'impegno più gravoso, sono stati rinviati dal Digital Omnibus al 2 dicembre 2027 (allegato III) e al 2 agosto 2028 (allegato I), entrambi adottati, in attesa della pubblicazione nella Gazzetta ufficiale. Si tratta di un margine di tempo per prepararsi, non di un motivo per aspettare.
La roadmap in 9 passaggi
- Crea un inventario dell'IA. Elenca ogni sistema di IA che sviluppi o utilizzi. Questo non è di per sé un articolo di legge; è il presupposto pratico per tutto ciò che segue, perché non puoi classificare ciò che non hai catalogato.
- Conosci il tuo ruolo. La legge assegna doveri diversi a un fornitore, un deployer, un importatore e un distributore (definiti nell'articolo 3; i doveri del fornitore nell'articolo 16, quelli del deployer nell'articolo 26). La maggior parte delle PMI è deployer dell'IA di qualcun altro, un insieme di doveri più leggero rispetto a quello di un fornitore.
- Classifica il rischio di ogni sistema. Assegna ciascuno a una categoria: vietato (articolo 5), ad alto rischio (articolo 6 e allegato III), a rischio limitato o di trasparenza (articolo 50), oppure minimo. I modelli GPAI seguono il capo V. Il nostro strumento di verifica del rischio lo fa in un paio di minuti.
- Copri l'alfabetizzazione in materia di IA. Fornisci alle persone che utilizzano la tua IA una formazione sufficiente per usarla in modo responsabile (articolo 4).
- Adempi agli obblighi previsti per la categoria. Per i sistemi ad alto rischio ciò significa gestione del rischio, governance dei dati, sorveglianza umana (articolo 14) e accuratezza e robustezza (articolo 15).
- Conserva il fascicolo tecnico. I fornitori di sistemi ad alto rischio devono redigere e mantenere la documentazione tecnica dell'allegato IV prima che il sistema sia immesso sul mercato (articolo 11).
- Aggiungi avvisi di trasparenza. Informa le persone quando stanno interagendo con un sistema di IA ed etichetta i contenuti generati o manipolati dall'IA (articolo 50).
- Registra e monitora. Conserva le registrazioni e i log generati automaticamente (articoli 12 e 19) ed esegui il monitoraggio successivo all'immissione sul mercato (articolo 72).
- Registra i sistemi ad alto rischio. I fornitori registrano se stessi e il proprio sistema dell'allegato III nella banca dati dell'UE prima di immetterlo sul mercato (articoli 49 e 71).
Le scadenze in sintesi
In vigore ora: le pratiche vietate e l'alfabetizzazione in materia di IA (2 febbraio 2025) e gli obblighi GPAI (2 agosto 2025). Dal 2 agosto 2026: l'applicazione generale della legge e le norme sulla trasparenza. Adottati, in attesa della pubblicazione nella Gazzetta ufficiale: l'obbligo di marcatura dei contenuti sintetici e un nuovo divieto relativo alle immagini intime non consensuali e al materiale pedopornografico (2 dicembre 2026), i sistemi ad alto rischio dell'allegato III (2 dicembre 2027) e dell'allegato I (2 agosto 2028). La nostra guida alle scadenze mantiene aggiornata la tabella completa.
Dove si collocano le sanzioni
Il mancato adempimento di questi obblighi è ciò che ti espone a sanzioni: fino a EUR 35M o al 7 % del fatturato per le pratiche vietate, anche se per le PMI il massimale è il minore dei due. Consulta cosa rischiano davvero le PMI dell'UE per i dettagli.
Inizia con una verifica di 2 minuti
Il modo più rapido per trasformare questa checklist in un piano è capire quali dei tuoi sistemi rientrano nell'ambito di applicazione. Esegui gratuitamente EU AI Act Snapshot, senza registrazione, oppure esplora i piani, che partono da EUR 0.