AI Act e Legge 132/2025: cosa deve fare la tua azienda entro agosto 2026

Partiamo da una domanda semplice

La tua azienda usa strumenti di intelligenza artificiale?

Se la risposta è sì — e oggi difficilmente è no — questo articolo ti riguarda direttamente. Non tra qualche anno, non "quando sarà obbligatorio". Adesso.

Molti imprenditori e manager italiani pensano che l'AI Act sia una questione per le grandi aziende tech, per chi sviluppa algoritmi, per Silicon Valley. Non è così. Il Regolamento (UE) 2024/1689, entrato in vigore il 1° agosto 2024, riguarda chiunque utilizzi sistemi di intelligenza artificiale nell'Unione Europea — non solo chi li costruisce.

E in Italia, dall'ottobre 2025, si affianca al quadro europeo la Legge n. 132 del 23 settembre 2025, pubblicata in Gazzetta Ufficiale n. 223 del 25 settembre 2025 ed entrata in vigore il 10 ottobre 2025: il primo quadro normativo nazionale organico sull'intelligenza artificiale in Europa.

La metafora che aiuta a capire

Immaginate l'intelligenza artificiale come un nuovo tipo di macchinario industriale. Prima dell'era moderna, un'azienda poteva comprare qualsiasi pressa o tornio senza particolari obblighi. Poi è arrivata la normativa sulla sicurezza sul lavoro: il macchinario deve essere certificato, il lavoratore formato, i rischi documentati.

Con l'AI Act accade la stessa cosa, ma per i sistemi intelligenti. La differenza è che questa "macchina" non pressa metallo — decide chi assumere, valuta il credito, gestisce le relazioni con i clienti, analizza i dati dei dipendenti.

Le scadenze che nessuno dovrebbe ignorare

Il Regolamento (UE) 2024/1689 introduce un calendario preciso all'articolo 113, con obblighi differenziati in base al tipo di sistema AI utilizzato.

2 feb 2025 — scaduto

Divieto immediato dei sistemi AI a rischio inaccettabile: social scoring, riconoscimento biometrico in tempo reale in spazi pubblici, sistemi di manipolazione subliminale.

2 ago 2025 — scaduto

Obblighi di trasparenza per i modelli AI di uso generale (GPAI), come i grandi modelli linguistici integrati nei software aziendali.

2 ago 2026 — urgente

Piena vigenza degli obblighi per i sistemi AI ad alto rischio. La scadenza più rilevante per la grande maggioranza delle imprese italiane.

2 ago 2027

Adeguamento per i sistemi AI già sul mercato prima dell'agosto 2025 — i cosiddetti sistemi "legacy".

Cosa significa "ad alto rischio" nella pratica

Questo è il punto dove la maggior parte delle aziende si ferma e dice: "Ma noi non usiamo AI ad alto rischio."

Il Regolamento classifica come ad alto rischio i sistemi AI usati per selezione del personale, valutazione delle performance, credit scoring, gestione di infrastrutture critiche. Se usate un software HR con funzionalità automatiche, probabilmente rientrate in questa categoria.

Nel dettaglio, il Regolamento include tra i sistemi ad alto rischio:

Selezione e gestione del personale — software di screening CV, valutazione delle performance, monitoraggio dei lavoratori
Accesso a servizi finanziari — credit scoring automatico, valutazione del rischio assicurativo
Istruzione e formazione professionale — sistemi che determinano l'accesso a percorsi formativi o valutano i partecipanti
Gestione di infrastrutture critiche — acqua, energia, trasporti

Il punto critico è che queste funzionalità sono spesso integrate in software più ampi acquistati da fornitori terzi. L'azienda usa AI ad alto rischio senza saperlo — e senza che il contratto con il fornitore chiarisca chi risponde in caso di violazione.

Il doppio binario italiano: AI Act + Legge 132/2025

Con la Legge 132/2025 l'Italia ha costruito un livello aggiuntivo di governance nazionale. La legge ha designato due autorità competenti:

ACN (Agenzia per la Cybersicurezza Nazionale) — autorità di vigilanza con poteri ispettivi e sanzionatori
AgID (Agenzia per l'Italia Digitale) — autorità di notifica e promozione

Un elemento importante per le imprese: la Legge 132/2025 include una clausola di salvaguardia che impedisce ai decreti legislativi delegati di introdurre obblighi ulteriori rispetto all'AI Act. Una scelta finalizzata a scongiurare fenomeni di gold plating regolatorio e a tutelare le imprese da aggravi amministrativi non previsti dal quadro europeo.

Le sanzioni: numeri che fanno riflettere

L'articolo 99 del Regolamento (UE) 2024/1689 introduce un sistema sanzionatorio su tre livelli:

35M€ o 7% fatturato mondiale
Violazione pratiche vietate (art. 5)

15M€ o 3% fatturato mondiale
Violazione altri obblighi

7,5M€ o 1% fatturato mondiale
Informazioni false alle autorità

Per le PMI si applica il principio di proporzionalità — l'importo più basso tra la cifra assoluta e la percentuale sul fatturato. Non è un'immunità, è una gradazione.

Cosa fare adesso, concretamente

Chi comincia oggi ha ancora margine per adeguarsi senza gestire un'emergenza. Il percorso si articola in tre fasi.

Fase 1 — Censimento — Mappare tutti i sistemi AI in uso, incluse le funzionalità integrate in software gestionali, CRM e piattaforme HR. Molte aziende adottano AI senza saperlo.
Fase 2 — Valutazione del rischio — Per i sistemi ad alto rischio: analisi dell'impatto sui diritti fondamentali, documentazione tecnica, misure di supervisione umana, procedure di gestione degli incidenti.
Fase 3 — Contratti con i fornitori — Verificare i contratti con i fornitori di software AI. Chi risponde in caso di violazione? Queste domande rimaste senza risposta possono esporre l'azienda a responsabilità impreviste.

Una riflessione finale

L'AI Act non è una minaccia per chi usa intelligenza artificiale in modo responsabile. È un'opportunità per chi si adegua prima — perché la conformità normativa diventerà presto un requisito contrattuale nelle filiere produttive, esattamente come è accaduto con il GDPR.

Le aziende che arrivano preparate ad agosto 2026 non evitano solo le sanzioni. Costruiscono un vantaggio competitivo concreto nei confronti di chi ha rimandato.

Hai bisogno di una valutazione?

Un assessment preliminare permette di capire dove si trova la tua azienda rispetto agli obblighi AI Act e quali azioni prioritarie intraprendere prima di agosto 2026.

Contatta lo studio