In breve:
- L'AI Act è il Regolamento (UE) 2024/1689, in vigore dal 1° agosto 2024, che classifica i sistemi di intelligenza artificiale per livelli di rischio e impone obblighi crescenti a provider e deployer;
- Entro il 2 agosto 2026 entrano in applicazione le regole sui sistemi AI ad alto rischio (Allegato III) e gli obblighi di trasparenza dell'art. 50 — è la scadenza operativa che riguarda la maggior parte delle SRL italiane che usano AI;
- Le sanzioni dell'art. 99 arrivano fino a 35 milioni di euro o 7% del fatturato mondiale per le pratiche vietate, con il principio di proporzionalità che per le PMI si applica al valore inferiore tra importo assoluto e percentuale;
- Una SRL è deployer (art. 3, n. 4) quando usa un sistema AI per le proprie attività, anche se non lo sviluppa: da questo ruolo discendono gli obblighi operativi dell'art. 26;
- Il commercialista è il primo presidio non tecnico: registro trattamenti AI, due diligence sui provider SaaS, informativa ai rappresentanti dei lavoratori quando l'AI entra in processi HR, integrazione con DPIA GDPR e FRIA ex art. 27.
Disclaimer:
questo articolo ha finalità divulgativa e non sostituisce la consulenza legale specializzata. I riferimenti normativi sono aggiornati al 20 giugno 2026 e si basano sul testo del Regolamento (UE) 2024/1689 pubblicato in Gazzetta Ufficiale dell'Unione europea e sulle linee guida dell'AI Act Service Desk della Commissione europea. Eventuali modifiche successive, incluso l'esito del pacchetto "Digital Omnibus" attualmente in discussione, potrebbero aggiornare alcune scadenze.
Lo scenario che nessun imprenditore italiano considera — finché non è tardi
Una SRL di servizi informatici con dodici dipendenti, un fatturato di un milione e ottocentomila euro e due sistemi di AI "comprati" da altrettanti fornitori SaaS, sta preparando l'aggiornamento del proprio registro dei trattamenti ai fini GDPR per il consueto riesame annuale. Il tema AI non è ancora una voce strutturata: c'è un chatbot sul sito, uno strumento di trascrizione automatica delle call commerciali e un sistema di screening dei CV che il reparto HR usa da sei mesi. La lettura delle condizioni contrattuali con i tre fornitori è ferma alla firma dell'anno scorso. Il tema non è mai entrato in una discussione tra i soci.
Questo non è uno scenario raro.
Secondo il report IBM Cost of a Data Breach 2025, il 63% delle organizzazioni non dispone ancora di una policy formale di governance sull'AI, e un data breach su cinque è oggi collegato a un uso di AI non controllato ("Shadow AI"). Per le SRL italiane il tema è ancora più urgente rispetto alle grandi imprese: la Legge 132/2025 (prima legge nazionale italiana sull'AI, in vigore dal 10 ottobre 2025) ha completato il quadro, ma gli adempimenti operativi — quelli che fanno scattare le sanzioni — scattano con il 2 agosto 2026.
La buona notizia?
Per la maggior parte delle SRL italiane l'AI Act non introduce obblighi insostenibili: richiede metodo, documentazione e consapevolezza, non investimenti straordinari. Una SRL che già rispetta il GDPR è a metà dell'opera.
La realtà?
Le sanzioni non sono simboliche. L'art. 99 del Regolamento prevede per le pratiche vietate fino a 35 milioni di euro o 7% del fatturato mondiale, e per le altre violazioni fino a 15 milioni o 3%. Per le PMI e le startup si applica il valore inferiore tra cifra assoluta e percentuale (art. 99, par. 6) — una tutela, ma non un esonero.
Se la tua SRL usa strumenti di intelligenza artificiale — anche solo ChatGPT in versione aziendale, un chatbot sul sito, un sistema di scoring per i candidati — questa guida ti spiega esattamente cosa cambia, cosa rischi e cosa fare entro il 2 agosto 2026.
Cos'è l'AI Act in sessanta secondi (e perché riguarda anche la tua SRL)
L'AI Act — formalmente Regolamento (UE) 2024/1689 — è il primo quadro normativo completo al mondo sull'intelligenza artificiale. È stato pubblicato in Gazzetta Ufficiale dell'Unione europea il 13 giugno 2024 ed è entrato in vigore il 1° agosto 2024. A differenza di una direttiva, il regolamento si applica direttamente in tutti gli Stati membri senza bisogno di recepimento nazionale: in Italia non è richiesta alcuna legge di recepimento, mentre la Legge 132/2025 si limita a disciplinare aspetti complementari (sanzioni penali, autorità di vigilanza, interventi nei settori lavoro e sanità).
L'impianto è risk-based: non tutti i sistemi AI sono uguali davanti alla legge. Il Regolamento definisce quattro categorie di rischio, ciascuna con regole proprie.
| Livello di rischio | Esempi tipici | Obblighi |
|---|---|---|
| Rischio inaccettabile (vietato) | Social scoring, riconoscimento emozioni sul posto di lavoro, scraping biometrico massivo, categorizzazione biometrica per dedurre razza/religione/politica | VIETATO dal 2 febbraio 2025 (art. 5) |
| Alto rischio | AI per selezione CV, valutazione prestazioni, scoring creditizio, ammissione a servizi pubblici, sicurezza infrastrutture | Obblighi artt. 8-15 per i provider; art. 26 per i deployer |
| Rischio limitato (trasparenza) | Chatbot, sistemi di generazione testo/immagini, deepfake | Obblighi informativi art. 50 |
| Rischio minimo o nullo | Filtri spam, sistemi di raccomandazione non personalizzati, videogiochi con AI | Nessun obbligo specifico |
La categoria più critica per le SRL italiane è la seconda: alto rischio. Una SRL che usa un sistema AI per fare screening dei CV, valutare le prestazioni dei dipendenti o assegnare automaticamente punteggi di affidabilità creditizia a clienti o fornitori sta usando un sistema ad alto rischio, anche se non l'ha sviluppato. La responsabilità ricade su chi lo mette in servizio — il deployer.
Giovanni Emmi, Dottore Commercialista:
"La prima cosa da chiarire a un imprenditore è che l'AI Act non guarda a chi ha costruito il sistema: guarda a chi lo usa in un contesto ad alto rischio. Una SRL di selezione del personale che usa un tool AI per filtrare i CV è soggetta agli obblighi del deployer anche se ha acquistato una licenza mensile da una startup americana. Non basta scaricare le istruzioni d'uso del provider: servono sorveglianza umana, monitoraggio e documentazione."
Cosa è già scaduto e cosa scade entro il 2 agosto 2026
L'AI Act non entra in vigore tutto insieme. Il legislatore europeo ha previsto un'applicazione graduale, legando l'obbligatorietà di ciascun blocco di norme a una data precisa. Questo significa che la tua SRL potrebbe essere già obbligata ad adeguarsi su alcuni fronti senza saperlo.
| Data | Cosa è scattato | Riguarda la tua SRL? |
|---|---|---|
| 1° agosto 2024 | Entrata in vigore del Regolamento | Sì — base giuridica applicabile |
| 2 febbraio 2025 | Divieti art. 5 + obblighi di AI literacy (art. 4) | Sì se usi sistemi vietati o se gestisci personale che usa AI |
| 2 agosto 2025 | Sanzioni (art. 99) + obblighi sui modelli GPAI (art. 53, 55) | Sì — il sistema sanzionatorio è già attivo |
| 2 agosto 2026 ⬅️ | Sistemi ad alto rischio (Allegato III) + trasparenza (art. 50) + enforcement | Sì — è la scadenza operativa per la maggior parte delle SRL |
| 2 agosto 2027 | Sistemi alto rischio integrati in prodotti regolamentati (Direttive elenco Allegato I) | Solo per SRL che usano AI in settori soggetti a disciplina di prodotto |
La scadenza del 2 agosto 2026 è quella che conta adesso per la stragrande maggioranza delle SRL italiane. Da quel giorno il quadro sanzionatorio sarà pienamente operativo: le autorità nazionali designate potranno aprire istruttorie, irrogare sanzioni e disporre misure correttive. In Italia l'autorità di riferimento è l'AgID (Agenzia per l'Italia Digitale), con il coordinamento dell'Ufficio europeo per l'AI istituito presso la Commissione.
Nota su possibili slittamenti.
A maggio 2026 la Commissione europea ha proposto il pacchetto "Digital Omnibus", che include lo slittamento di alcuni adempimenti sui sistemi ad alto rischio (ipotesi: dicembre 2027 per i sistemi stand-alone, agosto 2028 per i sistemi embedded). La proposta è in discussione al Parlamento europeo e al Consiglio e non è ancora diritto vigente. L'articolo fa riferimento alla timeline ufficiale pubblicata dall'AI Act Service Desk, che resta il riferimento prudenziale fino a eventuali modifiche adottate in via definitiva.
La tua SRL è dentro l'AI Act? Quattro domande per capirlo
Non tutte le SRL che usano AI sono soggette agli stessi obblighi. Per capire dove ti posizioni devi rispondere a quattro domande in sequenza.
1. Usi un sistema AI vietato (art. 5)?
Se sì, sei già fuorilegge dal 2 febbraio 2025. Le ipotesi più comuni per una SRL sono: scraping non mirato di immagini facciali per costruire database, sistemi di emotion recognition sul posto di lavoro, social scoring tra dipendenti o clienti. Sono pratiche residuali, ma se presenti vanno rimosse subito.
2. Usi un sistema AI in un contesto ad alto rischio (Allegato III)?
Le aree rilevanti per le SRL italiane sono soprattutto: gestione delle risorse umane (selezione, valutazione, promozione), accesso al credito e ai servizi finanziari, accesso a servizi pubblici essenziali, sicurezza di infrastrutture critiche. Se usi un tool AI in una di queste aree, sei un deployer di sistema ad alto rischio e devi applicare l'art. 26.
3. Usi un sistema di AI generativa o chatbot (art. 50)?
L'art. 50 impone a chiunque usi AI per interagire con persone fisiche di informarle chiaramente che stanno interagendo con un sistema automatico, salvo contesti legittimi (artisti che dichiarano espressamente l'uso di AI, forze dell'ordine per finalità di sicurezza). Questo vale anche per il chatbot sul sito della SRL.
4. Usi un modello GPAI (General Purpose AI)?
Modelli come GPT-4o, Claude Sonnet, Gemini o Llama sono classificati GPAI. L'obbligo ricade sul fornitore del modello (OpenAI, Anthropic, Google), non sulla tua SRL. Ma se fai fine-tuning intensivo del modello — in pratica lo riaddestri — o lo modifichi in modo sostanziale, puoi diventare a tua volta provider e subire gli obblighi corrispondenti. Per il 99% delle SRL che usano ChatGPT o Claude "così come sono" tramite API, questa è un'ipotesi non realistica.
Per la maggior parte delle SRL italiane le risposte che contano sono 2 e 3: obblighi da deployer di sistemi ad alto rischio (quando applicabile) e obblighi di trasparenza dell'art. 50 per qualsiasi interazione automatica con utenti, clienti o candidati.
Cosa fare entro il 2 agosto 2026: la checklist operativa del deployer
Se la tua SRL rientra nella categoria "deployer di sistema ad alto rischio" o "deployer con obblighi di trasparenza" dell'art. 50, le azioni da intraprendere sono concrete e documentabili. Non servono stravolgimenti: serve metodo.
1. Mappatura dei sistemi AI in uso
Il primo passo è un inventario completo di tutti i sistemi AI utilizzati dalla SRL, anche in modo informale. Questo include strumenti acquistati (SaaS, licenze), strumenti integrati nei software gestionali (ERP, CRM con funzionalità AI), strumenti usati dai dipendenti con account personali (la cosiddetta "Shadow AI"). Per ciascun sistema vanno raccolti almeno: nome del prodotto e versione, fornitore, finalità d'uso, dati trattati, persone coinvolte, area di rischio AI Act (alto rischio sì/no, trasparenza sì/no).
2. Classificazione del rischio per ciascun sistema
Per ogni sistema in inventario va applicata la griglia delle quattro categorie. La classificazione non è sempre immediata: uno stesso strumento può essere a rischio limitato in un contesto e ad alto rischio in un altro. Un sistema di sentiment analysis applicato al feedback dei clienti è generalmente a rischio limitato; applicato a colloqui di lavoro diventa ad alto rischio.
3. Sorveglianza umana (art. 14)
L'art. 26 impone al deployer di garantire che l'utilizzo del sistema sia supervisionato da persone competenti, con formazione adeguata e autorità per intervenire. In concreto: chi decide in ultima istanza deve essere una persona, non il sistema. Per una SRL HR questo significa che il responsabile delle assunzioni deve poter sovrascrivere la valutazione algoritmica, e deve essere formato per farlo.
4. Monitoraggio operativo e tenuta dei registri
Il deployer deve monitorare il funzionamento del sistema AI e conservare i log generati per un periodo coerente con la normativa (in linea con il GDPR, almeno per la durata del trattamento più eventuali obblighi settoriali). I log devono essere sufficienti a ricostruire le decisioni automatizzate che hanno avuto effetti su persone fisiche.
5. Informativa ai rappresentanti dei lavoratori
Quando un sistema AI ad alto rischio viene utilizzato sul luogo di lavoro, il deployer deve informare i rappresentanti dei lavoratori e i lavoratori stessi prima della messa in servizio (art. 26, par. 7). La comunicazione deve essere chiara, comprensibile e deve specificare finalità, logica di funzionamento e livello di sorveglianza umana. Non è un dettaglio: la violazione di questo obbligo è sanzionabile ai sensi dell'art. 99.
6. Valutazione d'impatto sui diritti fondamentali (FRIA, art. 27)
La Fundamental Rights Impact Assessment è obbligatoria per i deployer di sistemi ad alto rischio che siano enti pubblici o privati che operano in settori sensibili (servizi finanziari, assicurativi, sanitari, educativi, di pubblica utilità). Per le SRL comuni l'obbligo non scatta automaticamente, ma resta raccomandato come strumento di due diligence interna e come schermo difensivo in caso di contestazione.
7. Trasparenza nelle interazioni con persone fisiche (art. 50)
Per qualsiasi sistema AI che interagisce direttamente con persone — chatbot sul sito, assistenti virtuali, sistemi di risposta automatica — l'utente deve essere chiaramente informato di interagire con un sistema automatico. L'informativa va fornita in modo visibile e comprensibile, non occultata nei termini di servizio.
Sanzioni reali per una SRL: facciamo i conti
L'art. 99 del Regolamento prevede tre livelli di sanzioni amministrative, graduate per gravità della violazione. Il dato importante per le PMI è il par. 6: per le piccole e medie imprese e per le startup, le sanzioni sono applicate nella misura inferiore tra l'importo fisso e la percentuale del fatturato, in modo da garantire proporzionalità. Ma attenzione: proporzionalità non significa irrilevanza.
| Tipo di violazione | Sanzione massima | Cosa significa in pratica per una SRL con €2M di fatturato |
|---|---|---|
| Pratiche vietate (art. 5): social scoring, scraping biometrico, emotion recognition | €35M o 7% fatturato (il più alto) | €140.000 (7% di €2M) — importo massimo applicabile |
| Obblighi provider/deployer (artt. 16, 22, 23, 24, 26, 31, 33, 34, 50) | €15M o 3% fatturato (il più alto) | €60.000 (3% di €2M) — importo massimo applicabile |
| Informazioni false alle autorità competenti | €7,5M o 1% fatturato (il più alto) | €20.000 (1% di €2M) — importo massimo applicabile |
I numeri cambiano in modo lineare con il fatturato. Per una SRL con €500.000 di fatturato le soglie scendono a €35.000 (pratiche vietate) e €15.000 (obblighi deployer). Per una SRL con €10M di fatturato salgono a €700.000 e €300.000. Il dato rilevante è che, anche applicando il principio di proporzionalità, l'esposizione per le PMI è sempre concreta e misurabile.
Attenzione:
le sanzioni AI Act si cumulano con quelle del GDPR (fino al 4% del fatturato mondiale per le violazioni più gravi) e con le eventuali sanzioni della Legge 132/2025 per gli aspetti di competenza nazionale. Una singola condotta illecita può quindi generare più sanzioni sovrapposte. Il principio del ne bis in idem non opera quando le norme tutelano beni giuridici diversi: è una giurisprudenza consolidata della Corte di giustizia UE.
Dove il commercialista è insostituibile
Qui arriviamo al punto che più interessa chi legge queste pagine. L'AI Act non è una norma che il commercialista può ignorare o delegare: è una norma che incrocia fisco, lavoro, privacy e organizzazione aziendale. È esattamente il tipo di norma in cui il commercialista tradizionale rischia di trovarsi impreparato — e in cui lo studio strutturato può fare la differenza per il cliente.
Il commercialista è il primo presidio non tecnico della compliance AI.
Vediamo perché, punto per punto.
Registro dei trattamenti AI
Il registro dei trattamenti ex art. 30 GDPR è già una realtà operativa per la maggior parte delle SRL strutturate. L'AI Act chiede di estenderlo con una sezione dedicata ai sistemi AI: per ciascuno vanno indicati tipologia (provider/deployer), livello di rischio, base giuridica del trattamento dei dati, misure di sorveglianza umana. Il commercialista è la figura che già tiene il registro GDPR: nessuno meglio di lui può integrare la sezione AI senza costruire un sistema parallelo.
Due diligence sui provider SaaS
Quando una SRL acquista un sistema AI da un fornitore, deve poter dimostrare di aver valutato la conformità del fornitore stesso. La due diligence non è un modulo da scaricare: è un processo che combina verifica documentale (certificazioni, dichiarazioni di conformità, istruzioni d'uso ai sensi dell'art. 13), verifica contrattuale (clausole di manleva, distribuzione di responsabilità lungo la catena del valore, ex art. 25) e verifica operativa (test sul campo, monitoraggio degli incidenti). È un'attività che il commercialista può coordinare, anche con il supporto di consulenti tecnici e legali.
Integrazione con DPIA GDPR e FRIA AI Act
Per le SRL che trattano dati personali attraverso sistemi AI ad alto rischio, DPIA (GDPR) e FRIA (AI Act) si sovrappongono. La buona notizia è che le due valutazioni possono essere svolte con un documento unico, purché copra entrambi i requisiti. La cattiva notizia è che la FRIA ha contenuti specifici che la DPIA non richiede: descrizione delle categorie di persone e dei contesti di utilizzo, valutazione dei rischi per i diritti fondamentali, misure di mitigazione, sistema di monitoraggio. Il commercialista è la figura che sa già redigere una DPIA ed è in grado di estenderla alla FRIA senza duplicare il lavoro.
Informativa ai rappresentanti dei lavoratori
L'obbligo di art. 26, par. 7 è giuridico-organizzativo, non tecnico. Riguarda la corretta gestione dei rapporti sindacali e delle relazioni con il personale. È esattamente il terreno su cui il commercialista del lavoro e l'amministrazione del personale sono già strutturati: basta aggiungere un modulo specifico per i sistemi AI alle procedure esistenti.
Clausole contrattuali AI Act + GDPR
Quando la SRL stipula un contratto con un fornitore di AI, deve integrare le clausole GDPR con quelle AI Act. In particolare: il fornitore deve fornire le istruzioni d'uso (art. 13), garantire la tracciabilità del sistema (art. 12), supportare la sorveglianza umana (art. 14) e consentire il monitoraggio del deployer (art. 26, par. 4). Queste clausole non sono standard di mercato: vanno negoziate. Il commercialista che conosce la materia può affiancare l'imprenditore nella contrattazione e segnalare le criticità prima della firma.
Giovanni Emmi, Dottore Commercialista:
"La differenza tra uno studio tradizionale e uno strutturato, su un tema come l'AI Act, non sta nella conoscenza tecnica dell'algoritmo. Sta nella capacità di integrare una norma nuova con tutto quello che già facciamo: registro trattamenti, DPIA, contrattualistica fornitori, adempimenti del lavoro. È un lavoro di metodo, non di improvvisazione. Chi arriva preparato il 2 agosto 2026 non ha fatto miracoli: ha solo applicato le stesse procedure di sempre a un ambito nuovo."
Gli errori frequenti da evitare prima del 2 agosto
Ci sono cinque errori ricorrenti che vediamo nelle SRL italiane quando si affacciano al tema AI Act. Sono errori che si pagano cari, non solo in termini di sanzioni ma di tempo perso.
Pensare che l'AI Act non riguardi le PMI.
È l'errore più diffuso. La proporzionalità delle sanzioni per le PMI (art. 99, par. 6) non significa esonero dagli obblighi: significa solo sanzioni proporzionate. Una SRL di tre persone che fa screening CV con un tool AI è soggetta all'art. 26 esattamente come una multinazionale.
Confondere provider e deployer.
Il provider è chi sviluppa o fa mettere in servizio il sistema AI sul mercato (OpenAI, Anthropic, la software house che ti ha venduto il tool). Il deployer è chi usa il sistema AI sotto la propria autorità. La SRL che compra ChatGPT e lo usa per screening CV è deployer, anche se ha solo comprato una licenza. Gli obblighi ricadono su di lei, non su OpenAI.
Sottovalutare la trasparenza art. 50.
Molte SRL hanno chatbot sul sito senza alcuna disclosure visibile che si tratti di un sistema automatico. È una violazione diretta dell'art. 50, sanzionabile ai sensi dell'art. 99, par. 4, fino a €15M o 3% del fatturato.
Ignorare la Shadow AI.
Secondo le survey Salesforce e Microsoft-LinkedIn 2024-2025, oltre la metà dei dipendenti usa strumenti AI non autorizzati dall'azienda. Il commercialista deve aiutare l'imprenditore a mappare questa realtà, non a negarla. Una policy interna di governo dell'AI è il primo presidio.
Aspettare il 31 luglio per adeguarsi.
Il 2 agosto 2026 non è un countdown da gestire all'ultimo momento. Una compliance AI Act efficace richiede settimane: mappatura, classificazione, documentazione, informative, eventuali contratti da rivedere. Iniziare a maggio o giugno 2026 significa arrivare pronti. Iniziare a luglio significa esporsi a rischi evitabili.
FAQ in breve
Una SRL che usa ChatGPT con account personale di un dipendente è in regola con l'AI Act?
No. L'uso di AI generativa in ambito lavorativo senza policy aziendale è una delle forme più comuni di Shadow AI. Il dato può essere inserito in documenti aziendali riservati, il training del modello può includere informazioni riservate, e il dipendente può commettere violazioni di riservatezza senza consapevolezza. La policy interna è il primo passo.
L'obbligo di AI literacy (art. 4) riguarda anche le SRL?
Sì, dal 2 febbraio 2025. L'art. 4 impone a provider e deployer di garantire un livello adeguato di alfabetizzazione AI del proprio personale che usa sistemi AI. In concreto: formazione minima sull'uso corretto, sui rischi, sui limiti. Non serve un master: serve consapevolezza.
Una SRL che sviluppa internamente un proprio modello AI è provider?
Sì, se il modello è messo in servizio a terzi o sul mercato. Se il modello è sviluppato e usato solo internamente dalla SRL, la SRL resta deployer del proprio sistema (art. 25). Ma se la SRL rivende il modello o lo concede in uso a clienti, diventa provider e acquisisce gli obblighi corrispondenti.
La Legge 132/2025 italiana introduce obblighi aggiuntivi rispetto all'AI Act?
La Legge 132/2025 disciplina aspetti complementari: sanzioni penali per usi illeciti specifici (in particolare deepfake non consensuali), misure di enforcement nazionale, interventi nei settori del lavoro e della sanità, designazione di AgID come autorità di notifica e vigilanza. Non introduce un regime autorizzativo nazionale separato: il riferimento operativo resta il Regolamento UE.
Cosa cambia con il Digital Omnibus proposto a maggio 2026?
La Commissione ha proposto lo slittamento di alcuni adempimenti sui sistemi ad alto rischio. La proposta è in discussione: al momento in cui scriviamo non è ancora diritto vigente. La timeline di riferimento operativa resta quella pubblicata dall'AI Act Service Desk (2 agosto 2026 per i sistemi Allegato III). La prudenza consigliata è adeguarsi alla timeline ufficiale e considerare gli eventuali slittamenti come un beneficio, non come un'occasione per rinviare.
Un commercialista può gestire internamente tutta la compliance AI Act, o serve un legale?
Dipende dalla complessità. Per la maggior parte delle SRL, le attività richieste (mappatura, registro trattamenti esteso, informative, clausole contrattuali) sono alla portata di uno studio strutturato con competenze giuridico-organizzative. Per sistemi AI ad alto rischio in settori complessi (credito, sanità, infrastrutture critiche) o per la redazione della FRIA in contesti a elevata intensità di dati personali, l'affiancamento di uno studio legale specializzato è opportuno. Il commercialista resta il coordinatore del processo.
Disclaimer e link utili per approfondire
L'AI Act è una normativa recente e in fase di prima applicazione. Le linee guida della Commissione europea e dell'AI Office sono in costante aggiornamento. Questo articolo fa riferimento al testo del Regolamento (UE) 2024/1689 pubblicato in Gazzetta Ufficiale dell'Unione europea, alle linee guida pubblicate dall'AI Act Service Desk della Commissione e al testo della Legge 132/2025 pubblicata nella Gazzetta Ufficiale della Repubblica Italiana (serie generale n. 223, 25 settembre 2025).
Per approfondire
- Testo consolidato del Regolamento (UE) 2024/1689 su EUR-Lex;
- AI Act Service Desk della Commissione europea: timeline, linee guida, FAQ;
- Codice di condotta GPAI per i modelli di AI per finalità generali;
- EDPB Opinion 28/2024 sui modelli AI e la protezione dei dati personali;
- AgID per il punto di contatto nazionale italiano.
Ultimo aggiornamento: 20 giugno 2026.
L'articolo sarà oggetto di revisione in caso di modifiche alla timeline ufficiale del Digital Omnibus o di pubblicazione di nuove linee guida da parte dell'AI Office.
Hai letto tutto e vuoi passare all'azione?
L'AI Act è una di quelle normative che premia chi arriva preparato e penalizza chi aspetta. Se la tua SRL usa strumenti di intelligenza artificiale, il tempo per agire è adesso, non il 2 agosto. Ecco i tre passi concreti, in ordine di priorità.
1. Parti dalla mappatura.
Il primo passo non richiede investimenti né consulenze costose: è un inventario interno di tutti i sistemi AI in uso, anche quelli informali. Chiedi a ogni responsabile di funzione (HR, commerciale, operations, IT) di segnalare gli strumenti AI utilizzati, anche via account personali. È il punto di partenza per qualsiasi intervento successivo.
2. Prenota un check-up di 15 minuti
con il nostro studio tramite il form di contatto o via email ad amministrazione@proclama.co. In questo check-up analizziamo la tua posizione rispetto all'AI Act: quali obblighi si applicano alla tua SRL, quali sono già rispettati e quali richiedono interventi. Per chi vuole un affiancamento operativo completo, è disponibile il servizio di AI consulting di Proclama, pensato per portare la compliance AI Act dentro i processi aziendali senza stravolgerli.
3. Tieni d'occhio le linee guida UE.
L'AI Office della Commissione europea pubblica periodicamente linee guida interpretative, in particolare sui sistemi ad alto rischio, sui modelli GPAI e sulla trasparenza. Iscriviti alla newsletter di SRLonline per ricevere aggiornamenti operativi quando escono novità rilevanti.
Per una visione d'insieme sulla trasformazione digitale delle SRL e sull'impatto dell'AI sui processi aziendali, leggi anche la nostra guida ai servizi per SRL e l'articolo sulla costituzione di una SRL innovativa, dove l'AI Act è uno degli elementi da considerare nella scelta tra le diverse forme giuridiche.
