EU AI ActPenaltiesFinesSMEs

Sanzioni e multe della legge UE sull'IA: cosa rischiano davvero le PMI dell'UE?

Pubblicato 18 luglio 2026 · 5 min di lettura

Le cifre dei titoli fanno paura: fino a 35 milioni di EUR, o il 7 % del fatturato globale. Ma sono massimali per le violazioni più gravi commesse dalle aziende più grandi. Se gestisci una PMI, la legge UE sull'IA contiene una regola che ribalta i conti a tuo favore. Ecco quali sono davvero le sanzioni e cosa significano per una piccola impresa.

I tre livelli sanzionatori

La legge UE sull'IA (Regolamento (UE) 2024/1689) fissa tre massimali per le sanzioni amministrative, a seconda dell'obbligo violato:

  • Fino a EUR 35M o al 7 % del fatturato annuo mondiale per aver utilizzato una delle pratiche di IA vietate vietate ai sensi dell'articolo 5 (articolo 99(3)).
  • Fino a EUR 15M o al 3 % per la violazione della maggior parte degli altri obblighi: i doveri dei fornitori e dei deployer di sistemi ad alto rischio, le regole di trasparenza o i requisiti degli organismi notificati (articolo 99(4)).
  • Fino a EUR 7,5M o all'1 % per aver fornito informazioni inesatte, incomplete o fuorvianti alle autorità o agli organismi notificati (articolo 99(5)).

Per un'azienda che non è una PMI, ogni sanzione è il maggiore tra l'importo fisso in euro e la percentuale del fatturato annuo mondiale totale dell'esercizio finanziario precedente, calcolata a livello di gruppo, sul fatturato e non sull'utile.

La regola per le PMI che la maggior parte dei titoli ignora

L'articolo 99(6) ribalta questa regola per le imprese più piccole. Per le PMI e le start-up, ogni sanzione è limitata al minore tra la percentuale e l'importo fisso, non al maggiore. Quell'unica parola cambia tutto per una piccola impresa.

Prendiamo il livello più alto. Un grande gruppo rischia fino al maggiore tra EUR 35M o il 7 % del fatturato. Una PMI con, ad esempio, EUR 2M di fatturato annuo rischia fino al minore dei due: il 7 % di EUR 2M è pari a 140.000 EUR, ben al di sotto di EUR 35M, quindi il massimale è 140.000 EUR. È la percentuale, non la cifra fissa da capogiro, a limitare l'esposizione di una PMI.

Modelli di IA per finalità generali: sanzionati dalla Commissione

Esiste un percorso separato per i fornitori di modelli di IA per finalità generali (GPAI). Ai sensi dell'articolo 101, la Commissione europea, e non un'autorità nazionale, può sanzionare un fornitore di GPAI fino a EUR 15M o al 3 % del fatturato annuo mondiale, se superiore, per violazioni intenzionali o colpose. Tali sanzioni possono essere riesaminate dalla Corte di giustizia dell'UE.

Le sanzioni sono massimali, non tariffe

Ogni cifra riportata sopra è un massimo: la legge parla di «fino a». Non esiste una sanzione fissa o minima. Quando un'autorità stabilisce l'importo effettivo, l'articolo 99(7) le impone di ponderare fattori tra cui:

  • la natura, la gravità e la durata della violazione e le sue conseguenze;
  • le dimensioni, il fatturato e la quota di mercato dell'operatore;
  • se la violazione sia stata intenzionale o colposa;
  • in che misura l'operatore abbia cooperato e quali misure tecniche e organizzative avesse adottato;
  • se l'operatore abbia segnalato spontaneamente il problema e agito per limitare il danno.

In altre parole, uno sforzo di conformità documentato e in buona fede riduce direttamente la sanzione che un'autorità rischia di imporre.

Chi commina la sanzione

L'applicazione è ripartita su tre fronti: le autorità nazionali di vigilanza del mercato comminano alle aziende le sanzioni dell'articolo 99; la Commissione europea, tramite l'Ufficio per l'IA, sanziona i fornitori di modelli GPAI ai sensi dell'articolo 101; e il Garante europeo della protezione dei dati sanziona le istituzioni dell'UE ai sensi dell'articolo 100 (con un massimale di EUR 1,5M o 750.000 EUR).

Quando iniziano a mordere le sanzioni?

Alcune si applicano già. I divieti dell'articolo 5 sono applicabili dal 2 febbraio 2025. Gli obblighi in materia di GPAI si applicano dal 2 agosto 2025, con il potere sanzionatorio della Commissione a partire dal 2 agosto 2026. Gli obblighi per i sistemi ad alto rischio, la principale fonte di esposizione per la maggior parte delle PMI, sono stati posticipati dal Digital Omnibus al 2 dicembre 2027 per i sistemi dell'allegato III (adottato, in attesa di pubblicazione nella Gazzetta ufficiale). Consulta la nostra guida alle scadenze per la cronologia completa.

Come ridurre la tua esposizione

Il modo più economico per ridurre il rischio di sanzioni è poter dimostrare una tracciabilità della conformità: la classificazione, un fascicolo tecnico, la sorveglianza umana e il monitoraggio, perché questi sono esattamente i fattori attenuanti premiati dall'articolo 99(7). Non sei sicuro di quali dei tuoi sistemi rientrino nell'ambito di applicazione? Inizia con il gratuito EU AI Act Snapshot, due minuti, senza registrazione, poi segui la nostra checklist di conformità in 9 passaggi. I piani partono da EUR 0.

Guide correlate