La Tua Azienda Usa l'AI Senza Regole? Le Multe dell'AI Act Sono Già Realtà

L'AI Act europeo è già in vigore e le sanzioni arrivano fino a 35 milioni di euro. Scopri quali obblighi deve rispettare la tua azienda, i deliverable richiesti dal regolamento e come accedere ai finanziamenti per la formazione AI Act compliance.

Gaetano Castaldo Gaetano Castaldo
17 Feb 2026
AI e Automazione Digital Transformation Cybersecurity
Infografica sull'AI Act europeo e gli obblighi di compliance per le aziende italiane nel 2025-2026

TL;DR

L'AI Act europeo (Regolamento UE 2024/1689) non è un tema futuro: è legge adesso. L'obbligo di alfabetizzazione AI (articolo 4) è in vigore dal 2 febbraio 2025, il regime sanzionatorio è operativo dal 2 agosto 2025, e dal 2 agosto 2026 scatteranno i requisiti completi per i sistemi ad alto rischio. Le multe arrivano fino a 35 milioni di euro o al 7% del fatturato globale annuo. Eppure, la maggior parte delle PMI italiane continua a utilizzare strumenti di intelligenza artificiale come ChatGPT, Copilot e altri tool generativi senza alcuna governance, senza documentazione e senza formazione del personale. In questo articolo spieghiamo quali sono i rischi concreti, quali deliverable richiede il regolamento e come i percorsi di formazione AI Act compliance, alcuni dei quali finanziabili fino al 90% grazie ai bandi di Regione Lombardia e a Fondimpresa, rappresentano il primo passo obbligato per proteggere la tua impresa.

L'Elefante nella Stanza: le Aziende Italiane e l'AI Senza Governance

Apriamo una conversazione onesta. In questo momento, in migliaia di uffici italiani, dipendenti stanno usando l'intelligenza artificiale generativa per redigere report, analizzare dati, preparare presentazioni, filtrare candidature e persino produrre documenti finanziari. Lo fanno con buone intenzioni e spesso con risultati apprezzabili. Il problema è che lo fanno senza alcuna regola, senza supervisione strutturata e senza che l'azienda abbia la minima consapevolezza di cosa impone il quadro normativo europeo.

Il Regolamento UE 2024/1689, meglio conosciuto come AI Act, è entrato in vigore il 1 agosto 2024. Non si tratta di una direttiva da recepire, ma di un regolamento direttamente applicabile in tutti gli stati membri. E i primi obblighi sono già scattati.

Secondo uno studio di RiskConnect pubblicato nel 2025, il 60% delle aziende che stanno valutando l'adozione di sistemi AI agentic non ha ancora condotto alcuna valutazione del rischio. Parallelamente, un rapporto di AllAboutAI stima che le allucinazioni dell'intelligenza artificiale abbiano causato perdite per 67,4 miliardi di dollari a livello globale nel solo 2024. Il 47% degli utenti aziendali di AI ammette di aver preso almeno una decisione strategica rilevante basandosi su contenuti generati dall'AI che si sono poi rivelati falsi.

Stiamo parlando di un rischio sistemico che le imprese italiane stanno ignorando.

Le Date Che Ogni Imprenditore Deve Conoscere

L'AI Act segue un'applicazione graduale. Ecco la timeline che ogni azienda italiana dovrebbe avere ben chiara.

2 febbraio 2025 (già in vigore): sono scattati i divieti per le pratiche AI considerate inaccettabili (articolo 5) e, soprattutto, l'obbligo di alfabetizzazione in materia di intelligenza artificiale (articolo 4). Questo significa che ogni azienda che utilizza sistemi di AI, anche solo ChatGPT per la redazione di email, è già tenuta a garantire che il proprio personale abbia un livello sufficiente di competenza sull'AI. Le aziende che non si sono ancora adeguate sono già non conformi.

2 agosto 2025 (già in vigore): il regime sanzionatorio è diventato pienamente operativo. Gli Stati membri hanno dovuto istituire le proprie autorità di vigilanza e definire le regole sulle sanzioni. Da questa data si applicano anche gli obblighi per i modelli di intelligenza artificiale per finalità generali (GPAI), con requisiti di documentazione tecnica, trasparenza e gestione dei rischi.

2 agosto 2026 (prossima scadenza chiave): entrano in vigore tutti i requisiti per i sistemi di intelligenza artificiale ad alto rischio. Sistemi utilizzati nel recruiting, nel credit scoring, nella diagnostica, nei servizi finanziari e nelle infrastrutture critiche dovranno rispettare obblighi stringenti di conformità, documentazione e supervisione umana.

2 agosto 2027: i sistemi AI ad alto rischio già sul mercato prima del 2025 dovranno essere pienamente conformi.

Le Sanzioni: Non È un Rischio Teorico

Parliamo di numeri concreti. Il regime sanzionatorio dell'AI Act è tra i più severi mai introdotti a livello europeo.

Per la violazione delle pratiche AI vietate (ad esempio, social scoring o manipolazione comportamentale attraverso AI), le sanzioni amministrative possono arrivare fino a 35 milioni di euro o al 7% del fatturato globale annuo, a seconda di quale importo sia superiore.

Per le violazioni degli obblighi relativi ai sistemi ad alto rischio, le multe possono raggiungere i 15 milioni di euro o il 3% del fatturato globale annuo.

Per chi fornisce informazioni scorrette, incomplete o fuorvianti alle autorità competenti, la sanzione può arrivare a 7,5 milioni di euro o all'1,5% del fatturato globale.

Per le PMI e le startup, si applica il minore tra i due importi indicati per ciascuna categoria. Ma anche il "minore" tra 7,5 milioni e l'1,5% del fatturato è una cifra che può mettere in ginocchio qualsiasi piccola o media impresa.

Quando l'AI Allucinata Diventa un Problema Legale: Esempi Concreti

Per comprendere la portata del rischio, consideriamo alcuni scenari che si stanno già verificando nelle aziende.

Report Finanziari Generati dall'AI Senza Controllo Umano

Immaginiamo un'azienda che utilizza un modello di linguaggio per generare analisi finanziarie trimestrali. Il modello produce un report in cui afferma che un fornitore chiave ha registrato un utile netto di 500 milioni nel 2024, quando in realtà i dati ufficiali sono completamente diversi. Un report di Deloitte del 2025 spiega come nel settore finanziario una differenza anche solo dello 0,5% possa tradursi in milioni di euro di perdite. Se quell'analisi viene utilizzata per una decisione di investimento o per una due diligence in un'operazione di M&A, le conseguenze possono essere devastanti. Secondo i dati più recenti, il tasso di allucinazione dei modelli AI sui dati finanziari si attesta tra il 2,1% per i modelli più performanti e il 13,8% come media generale. Non si tratta di errori marginali.

Screening CV e Selezione del Personale con AI Non Conforme

I sistemi di AI utilizzati per lo screening dei curricula e la selezione del personale rientrano tra i sistemi ad alto rischio secondo l'AI Act. Un caso emblematico si è verificato nel 2025, quando l'azienda Workday è stata oggetto di una class action per presunti bias discriminatori nel proprio sistema di recruiting basato su AI. Utilizzare strumenti di selezione automatizzata senza documentazione tecnica, senza test periodici per identificare bias e senza meccanismi di supervisione umana espone l'azienda a sanzioni e contenziosi.

Il Caso Legale: Citazioni Inesistenti nei Documenti AI-Generated

Nel 2025, un avvocato americano ha presentato un atto processuale in tribunale redatto con l'ausilio di un'intelligenza artificiale. Il documento conteneva quasi 30 citazioni giurisprudenziali difettose, inclusi casi completamente inventati dal modello. Il tribunale ha stigmatizzato la condotta e il legale ha subito conseguenze professionali gravissime. Questo scenario non è limitato al mondo legale: ogni volta che un'azienda produce documentazione basata su output AI senza verificarne l'accuratezza, si espone allo stesso tipo di rischio.

I 4 Livelli di Rischio dell'AI Act: Dove Si Colloca la Tua Azienda?

L'AI Act classifica i sistemi di intelligenza artificiale in quattro livelli di rischio, ciascuno con obblighi diversi.

Rischio inaccettabile: sistemi vietati senza eccezioni. Rientrano in questa categoria il social scoring, il riconoscimento delle emozioni sul luogo di lavoro, la raccolta indiscriminata di immagini facciali da internet, la categorizzazione biometrica per inferire dati sensibili come razza o orientamento politico. Questi divieti sono già operativi dal 2 febbraio 2025.

Rischio alto: sistemi soggetti a obblighi stringenti. Comprendono i sistemi AI utilizzati nel recruiting e nella gestione HR, nel credit scoring e nei servizi finanziari, nella diagnostica medica, nella giustizia, nelle infrastrutture critiche e nella sorveglianza. Per questi sistemi, dal 2 agosto 2026, saranno obbligatori requisiti rigorosi di conformità, documentazione e supervisione umana.

Rischio limitato: sistemi soggetti a obblighi di trasparenza. Chatbot, generatori di contenuti sintetici (testo, immagini, video), deep fake. Gli utenti devono essere informati che stanno interagendo con un'AI.

Rischio minimo: nessun obbligo specifico. Calcolatrici, filtri antispam, sistemi di raccomandazione generici.

La maggior parte delle applicazioni aziendali ricade nel rischio limitato o alto. E il confine tra le due categorie non è sempre evidente: un chatbot per il customer care è a rischio limitato, ma se quel chatbot influenza l'accesso a un servizio finanziario, diventa ad alto rischio.

I Deliverable Obbligatori dell'AI Act: Cosa Deve Produrre la Tua Azienda

L'AI Act non richiede solo buone intenzioni: richiede documentazione concreta, verificabile e aggiornata. Ecco i principali deliverable che ogni azienda utilizzatrice di sistemi AI deve predisporre.

1. Inventario e Mappatura dei Sistemi AI

Il primo passo è un censimento completo di tutti i sistemi di intelligenza artificiale utilizzati in azienda, inclusi quelli non formalmente approvati (il cosiddetto "shadow AI"). La mappatura deve identificare quali sistemi sono in uso, chi li utilizza, per quali scopi e classificarli secondo il livello di rischio previsto dall'AI Act.

2. Classificazione del Rischio

Sulla base della mappatura, ogni sistema deve essere classificato secondo i quattro livelli di rischio del regolamento. Questa classificazione determina quali obblighi applicare e con quale priorità.

3. Valutazione d'Impatto sui Diritti Fondamentali (FRIA)

Per i sistemi ad alto rischio, la Fundamental Rights Impact Assessment è obbligatoria e deve essere completata prima della messa in produzione. La FRIA non è una semplice checklist, ma un'analisi approfondita di come il sistema AI impatta i diritti delle persone: dalla non discriminazione alla dignità umana, dalla libertà di espressione all'accesso ai servizi. Diversamente dalla DPIA del GDPR, la FRIA valuta un spettro più ampio di diritti fondamentali.

4. Documentazione Tecnica

Per i sistemi ad alto rischio, è necessaria una documentazione tecnica dettagliata che includa: descrizione del sistema e della sua finalità, informazioni sullo sviluppo e sull'addestramento, metriche di performance e accuratezza, dataset utilizzati, procedure di test e validazione.

5. Sistema di Gestione dei Rischi

Un framework strutturato per identificare, valutare, mitigare e monitorare continuamente i rischi associati all'utilizzo dell'AI in azienda. Non è un documento statico, ma un processo iterativo che deve essere aggiornato nel tempo.

6. Protocolli di Supervisione Umana

L'AI Act impone che i sistemi ad alto rischio siano progettati in modo da consentire una supervisione umana efficace. Questo significa definire chi è responsabile del controllo degli output, con quale frequenza e con quali strumenti.

7. Piano di AI Literacy e Formazione del Personale

L'articolo 4 dell'AI Act impone a fornitori e deployer di garantire un livello sufficiente di alfabetizzazione AI per il personale e per chiunque si occupi del funzionamento e dell'utilizzo dei sistemi di intelligenza artificiale. Questo obbligo non si limita al personale tecnico: coinvolge tutte le funzioni aziendali, dal top management all'amministrazione, dall'HR al marketing, dal reparto vendite ai collaboratori esterni. La formazione deve essere proporzionata al ruolo, al contesto di utilizzo e al livello di rischio dei sistemi impiegati.

8. Registro delle Attività e Tracciabilità

I sistemi ad alto rischio devono essere dotati di meccanismi di registrazione automatica dei log, per garantire la tracciabilità dei risultati e la possibilità di ricostruire le decisioni prese con l'ausilio dell'AI.

AI Literacy: L'Obbligo Che le Aziende Italiane Stanno Ignorando

Tra tutti gli obblighi introdotti dall'AI Act, quello sull'alfabetizzazione AI merita un approfondimento particolare perché è il primo ad essere entrato in vigore e quello più sistematicamente trascurato.

L'articolo 4 del Regolamento stabilisce che: "I fornitori e i deployer dei sistemi di IA adottano misure per garantire nella misura del possibile un livello sufficiente di alfabetizzazione in materia di IA del loro personale nonché di qualsiasi altra persona che si occupa del funzionamento e dell'utilizzo dei sistemi di IA per loro conto."

Le FAQ pubblicate dall'AI Office della Commissione Europea nel maggio 2025 hanno chiarito che, per conformarsi all'articolo 4, le organizzazioni dovrebbero come minimo: garantire una comprensione generale dell'AI all'interno dell'organizzazione, considerare il proprio ruolo (fornitore o deployer), valutare il livello di rischio dei sistemi utilizzati e costruire programmi formativi proporzionati.

In Italia, secondo l'indice DESI dell'Unione Europea, solo il 45,7% degli individui tra i 16 e i 74 anni possiede un livello di alfabetizzazione digitale almeno basico. Il divario tra l'obbligo normativo e la realtà delle competenze aziendali è enorme.

Sebbene l'articolo 4 non preveda una sanzione pecuniaria diretta per la violazione dell'obbligo di alfabetizzazione, la mancata formazione rappresenta un fattore aggravante in caso di contestazione per altre violazioni dell'AI Act. In altre parole: se un sistema AI ad alto rischio produce un danno e l'azienda non ha formato il personale, la posizione dell'impresa davanti all'autorità di vigilanza sarà significativamente più debole.

Come Castaldo Solutions Sta Aiutando le Aziende Italiane

In Castaldo Solutions lavoriamo quotidianamente con PMI italiane che stanno affrontando questa transizione. Il nostro approccio parte da una constatazione semplice: la compliance all'AI Act non può essere un esercizio burocratico. Deve tradursi in un reale aumento della consapevolezza e della capacità operativa dell'azienda.

I nostri percorsi di formazione e consulenza AI Act compliance sono strutturati per accompagnare le imprese in ogni fase del processo.

Assessment iniziale: mappiamo tutti i sistemi AI in uso nell'organizzazione, identifichiamo il ruolo dell'azienda (fornitore o deployer) e classifichiamo il livello di rischio di ciascun sistema.

Produzione dei deliverable obbligatori: supportiamo l'azienda nella redazione dell'inventario AI, della classificazione del rischio, della FRIA (per i sistemi ad alto rischio), della documentazione tecnica e del piano di gestione dei rischi.

Percorsi di AI Literacy personalizzati: progettiamo e eroghiamo programmi formativi su misura, calibrati sul ruolo dei partecipanti (top management, personale operativo, funzioni HR, marketing, finance), sul contesto specifico dell'azienda e sul livello di rischio dei sistemi utilizzati. Al termine del percorso, l'azienda ottiene la documentazione necessaria a dimostrare la conformità all'articolo 4.

Integrazione con la governance aziendale: aiutiamo le imprese a integrare gli obblighi dell'AI Act nei sistemi di compliance esistenti, creando sinergie con il GDPR, con le policy di cybersecurity e con i modelli organizzativi.

Formazione Finanziata: Opportunità Concrete per le Imprese Lombarde

Un elemento che rende i nostri percorsi particolarmente accessibili è la possibilità di finanziarli attraverso strumenti pubblici già operativi.

Bando Formazione Continua di Regione Lombardia: finanzia fino al 90% dei costi di formazione per i dipendenti, con un plafond annuale fino a 50.000 euro a fondo perduto. Possono partecipare tutte le aziende con sede in Lombardia, indipendentemente da dimensioni o settore. I temi finanziabili includono esplicitamente intelligenza artificiale, automazione dei processi e cybersecurity.

Bando Competenze e Innovazione di Regione Lombardia: contributo a fondo perduto fino all'80% delle spese ammissibili, per un massimo di 50.000 euro. Il bando è stato così richiesto che le risorse iniziali di 7 milioni di euro sono state esaurite in appena due mesi, portando Regione Lombardia a raddoppiare la dotazione con ulteriori 8 milioni. L'intelligenza artificiale è tra le tecnologie abilitanti espressamente indicate come prioritarie.

Fondimpresa Avviso 4/2025: specificamente dedicato alla formazione sull'intelligenza artificiale, con una dotazione di 5 milioni di euro. Le domande di finanziamento potranno essere presentate dal 25 febbraio 2026. I piani formativi devono coinvolgere almeno 15 dipendenti e riguardare aziende già aderenti al fondo.

Questi strumenti rendono la formazione AI Act compliance non solo un obbligo normativo, ma un investimento a costo quasi zero per l'azienda. Il nostro team si occupa anche del supporto nella gestione delle pratiche di finanziamento, dalla progettazione del piano formativo alla rendicontazione finale.

Il Tempo Per Aspettare È Finito

Il messaggio è chiaro: l'AI Act non è una normativa lontana. I primi obblighi sono già in vigore, le sanzioni sono già applicabili e le scadenze per i sistemi ad alto rischio sono dietro l'angolo.

Ogni giorno in cui un'azienda utilizza sistemi di intelligenza artificiale senza governance, senza formazione del personale e senza documentazione, è un giorno in cui si accumula rischio normativo, rischio operativo e rischio reputazionale.

La buona notizia è che adeguarsi è possibile, e che strumenti di finanziamento concreti rendono questa transizione sostenibile anche per le piccole imprese.

Il primo passo? Contatta Castaldo Solutions per un assessment gratuito della tua situazione AI Act compliance. Analizzeremo insieme quali sistemi AI sono in uso nella tua organizzazione, qual è il tuo livello di rischio e quali azioni prioritarie intraprendere. E ti mostreremo come accedere ai finanziamenti disponibili per coprire i costi della formazione.

Vuoi sapere se la tua azienda è già a rischio?

La maggior parte delle PMI italiane sta usando l'AI senza governance e senza saperlo. Il primo passo per proteggerti è capire dove sei oggi: quali sistemi AI sono attivi nella tua organizzazione, a che livello di rischio operano e cosa ti manca per essere conforme.

In Castaldo Solutions aiutiamo le imprese a trasformare l'obbligo dell'AI Act in un vantaggio competitivo — con assessment concreti, deliverable pronti per l'autorità di vigilanza e percorsi di formazione finanziabili fino al 90%.

Se vuoi capire a che punto sei e quali azioni intraprendere prima delle prossime scadenze:

Richiedi un assessment gratuito AI Act

30 minuti per mappare insieme i sistemi AI in uso, valutare il tuo livello di rischio e definire le priorità operative. Ti mostreremo anche come accedere ai bandi attivi per coprire i costi della formazione. Niente teoria: solo un piano d'azione su misura per la tua azienda.

Perché adeguarsi all'AI Act nel 2026 non è burocrazia — è protezione del business.

Tags

#AI Act #compliance #intelligenza artificiale #formazione #FRIA #governance AI #sanzioni #PMI #Regione Lombardia #formazione finanziata

Condividi

Torna al Blog

Vuoi saperne di più?

Contattaci per una consulenza gratuita sulla trasformazione digitale della tua azienda.

Contattaci Ora