NORMATIVA / INTELLIGENZA ARTIFICIALE / AI ACT

AI Act, cosa cambia il 2 agosto 2026: la guida semplice per chi guida un’azienda

Dal prossimo agosto entra nel vivo la legge europea sull’intelligenza artificiale. Riguarda anche chi usa solo ChatGPT in ufficio. Due cose contano davvero, e bisogna iniziare adesso: formare le persone e mettere in sicurezza i propri dati con sistemi affidabili, possibilmente proprietari.

di Gianni Bientinesi
CEO Business Intelligence Group

Se la vostra azienda usa l’intelligenza artificiale — e oggi quasi tutte la usano, anche senza saperlo — c’è una data che vale la pena segnare: 2 agosto 2026. Da quel giorno entra in piena applicazione l’AI Act, la prima legge europea che regola l’uso dell’intelligenza artificiale. È una legge importante, complessa, e per certi versi ancora in evoluzione. Ma il messaggio per chi guida un’impresa è semplice: chi usa l’AI deve sapere cosa sta usando, deve formare le persone che la usano, e deve tenere i propri dati al sicuro.

Proviamo a capire perché, senza giri di parole.

Cos’è l’AI Act in due righe

L’AI Act è un Regolamento europeo (UE 2024/1689) entrato in vigore nell’agosto 2024. Stabilisce regole comuni per chi sviluppa, vende o utilizza sistemi di intelligenza artificiale in Europa. La logica è semplice: più un sistema AI può creare danni alle persone, più obblighi ha chi lo usa.

I sistemi AI vengono divisi in quattro categorie di rischio:

  • Rischio inaccettabile (vietati): sistemi che manipolano le persone, social scoring di massa, riconoscimento facciale generalizzato negli spazi pubblici. Già fuori legge dal febbraio 2025.
  • Alto rischio: software per selezionare il personale, valutare il credito, decidere su servizi sanitari o scolastici, sistemi di scoring assicurativo. Hanno gli obblighi più pesanti.
  • Rischio limitato: chatbot, assistenti virtuali, AI che genera contenuti. Devono essere trasparenti: l’utente deve sapere che sta parlando con una macchina.
  • Rischio minimo: filtri antispam, suggerimenti nei videogiochi. Praticamente nessun obbligo.

La maggior parte delle aziende italiane si ritrova nelle categorie centrali. Spesso nella seconda senza saperlo: un software HR che fa screening dei curricula, un sistema di scoring che decide se concedere o meno una dilazione di pagamento a un cliente, un algoritmo che prevede l’abbandono dei consumatori — tutto questo è ad alto rischio.

Cosa succede esattamente il 2 agosto 2026

Da quella data, in teoria, tutti i sistemi AI ad alto rischio devono essere conformi: con documentazione tecnica, controllo umano, qualità dei dati garantita, registrazione in una banca dati europea, sistemi di monitoraggio dopo la messa sul mercato. Devono essere trasparenti i contenuti generati da AI: chi pubblica un’immagine, un video o un testo creato da un’intelligenza artificiale deve segnalarlo. E ogni Stato membro deve avere almeno una “sandbox” nazionale, cioè uno spazio controllato dove sperimentare l’AI sotto la guida del regolatore.

In Italia l’autorità che vigila è l’ACN — Agenzia per la Cybersicurezza Nazionale, designata con la Legge 132 del 10 ottobre 2025.

Nel frattempo il Parlamento europeo ha approvato a marzo 2026, dentro il pacchetto Digital Omnibus, una proposta che sposta in avanti alcune scadenze sui sistemi ad alto rischio (al 2 dicembre 2027 e al 2 agosto 2028). Ma attenzione: il negoziato non è chiuso, e la proroga riguarda solo una parte degli obblighi. La data del 2 agosto 2026 resta valida per la trasparenza e per molte altre regole. Pianificare l’azienda contando su un rinvio non ancora certo è il modo migliore per ritrovarsi scoperti.

E le sanzioni non sono simboliche: si arriva fino a 35 milioni di euro o al 7% del fatturato globale annuo per le violazioni più gravi. Per una piccola impresa con due milioni di fatturato anche l’1,5% significa trentamila euro. Cifre che superano di molto il costo di mettersi in regola per tempo.

La prima cosa da fare: formare le persone

Tra tutti gli obblighi dell’AI Act, ce n’è uno spesso sottovalutato che è in vigore già da febbraio 2025 e che vale per tutte le aziende, di qualsiasi dimensione, in qualsiasi settore: l’alfabetizzazione AI del personale (Articolo 4 del Regolamento).

In parole semplici: chi nella vostra azienda usa l’intelligenza artificiale — anche solo ChatGPT per scrivere una mail, anche solo Copilot per riassumere un documento — deve avere un livello di consapevolezza adeguato al suo ruolo. Deve sapere cos’è l’AI, come funziona, quali sono i rischi, quando può fidarsi e quando no, cosa succede ai dati che inserisce, perché certi risultati possono essere sbagliati o distorti.

Non serve un corso universitario. Serve una formazione concreta, documentata, proporzionata al lavoro che ciascuno fa. Il regolatore non chiede un diploma: chiede che, in caso di controllo, l’azienda possa dimostrare di aver formato i propri dipendenti.

Senza persone consapevoli, tutto il resto crolla. Si possono comprare i migliori sistemi del mondo, ma se chi li usa non sa riconoscere un’allucinazione di un modello generativo la conformità è solo una facciata.

Perché è il primo passo? Perché senza persone consapevoli tutto il resto crolla. Si possono comprare i migliori sistemi del mondo, ma se chi li usa non sa riconoscere un’allucinazione di un modello generativo, non capisce quando un risultato è da verificare, non sa che incollare dati riservati in un chatbot pubblico li trasferisce fuori dall’azienda — la conformità è solo una facciata.

Cosa deve contenere un programma di alfabetizzazione AI

La Commissione europea, nelle FAQ pubblicate dall’AI Office a maggio 2025 e aggiornate ad agosto, ha chiarito che non esiste un format obbligatorio — niente corso standard, niente esame di Stato, niente certificazione necessaria. Ma ha indicato i contenuti minimi che un programma serio deve coprire. Eccoli, in modo che chiunque li possa usare come checklist:

  • I fondamentali dell’intelligenza artificiale: cos’è l’AI, come funziona, le differenze tra machine learning, deep learning, modelli generativi, sistemi di raccomandazione, riconoscimento del linguaggio e della visione. Senza tecnicismi, ma con basi solide.
  • Quali sistemi AI usa la nostra azienda e a cosa servono: la formazione deve partire dall’inventario reale degli strumenti in uso, non da concetti astratti.
  • Il ruolo dell’organizzazione: l’azienda è uno sviluppatore di sistemi AI o un utilizzatore? La risposta cambia obblighi e contenuti formativi.
  • Opportunità e rischi dei sistemi in uso: cosa l’AI può fare bene, cosa può fare male, dove può sbagliare. Bias, allucinazioni, errori sistematici, limiti del modello.
  • Trattamento dei dati: cosa succede quando un dipendente carica un documento aziendale su un chatbot pubblico, dove finiscono le informazioni, quali dati non devono mai uscire dall’azienda.
  • Quadro normativo ed etico: nozioni essenziali sull’AI Act, sul GDPR, sulle normative di settore.
  • Supervisione umana: come e quando intervenire sui risultati di un sistema AI, quando fidarsi e quando verificare, chi ha la responsabilità finale di una decisione.
  • Trasparenza verso l’esterno: quando bisogna dichiarare al cliente, all’utente o al candidato che sta interagendo con un sistema AI o che un contenuto è stato generato dall’intelligenza artificiale.
  • Procedure interne di uso responsabile: quali strumenti sono approvati dall’azienda, quali sono vietati, a chi rivolgersi in caso di dubbio, come segnalare un incidente o un risultato sospetto.

A questi contenuti di base vanno aggiunti, per i ruoli che lavorano con sistemi ad alto rischio, moduli specifici: gestione del rischio, requisiti di trasparenza tecnica, supervisione umana, documentazione tecnica, gestione dei log. Va calibrato il livello di profondità: il personale tecnico ha bisogno di nozioni più approfondite; quello non tecnico (marketing, HR, amministrazione, direzione) di un’alfabetizzazione orientata ai casi pratici.

L’unica vera regola formale che la Commissione raccomanda è documentare tutto: tenere un registro interno delle attività formative svolte, delle persone coinvolte, dei contenuti erogati, delle verifiche fatte. È quello che, in caso di controllo dell’autorità, dimostra che l’azienda ha rispettato l’obbligo.

Come deve essere strutturato un percorso formativo credibile

Definiti i contenuti, resta il come. Perché un programma di alfabetizzazione AI sia considerato conforme — e regga a un eventuale controllo da parte dell’ACN o di un committente che ne richieda evidenza — deve avere caratteristiche formali precise. Non basta una riunione interna o un PDF condiviso in azienda. Un percorso credibile richiede:

  • Un programma formativo dettagliato, consultabile prima dell’avvio del corso, che definisca con chiarezza gli argomenti trattati, le ore di lezione previste e il docente responsabile.
  • Una modalità di erogazione esplicita: in presenza, online sincrona o online asincrona, con strumenti di interazione e tracciamento delle attività dichiarati.
  • Un registro di classe: per ogni giornata o sessione, le firme di presenza dei partecipanti con l’indicazione puntuale degli argomenti effettivamente trattati.
  • Un test finale di apprendimento, che verifichi in modo oggettivo che gli obiettivi formativi siano stati raggiunti.
  • Un test di gradimento, in cui i partecipanti valutano il corso e segnalano se le proprie attese sono state soddisfatte.
  • Dispense e materiali didattici approvati e validati da un ente certificatore, consegnati ai partecipanti come riferimento permanente.
  • Un attestato di partecipazione rilasciato a ciascun corsista, con il dettaglio dei contenuti trattati e delle ore frequentate.
  • Audit e certificazione del percorso, con riferimento esplicito alla norma seguita e possibilità di verifica da parte di un ente terzo.
  • Verifica e aggiornamento: la formazione non è un evento ma un processo, con momenti di verifica dell’apprendimento e aggiornamenti periodici.

Sono questi gli elementi che, messi insieme, distinguono un corso davvero conforme da un’iniziativa formativa improvvisata. La differenza, in caso di ispezione, non è di facciata: è la differenza tra avere fatto formazione e poterlo dimostrare.

L’alfabetizzazione AI non è un costo: è la condizione preliminare perché ogni altro investimento in AI abbia senso. Ed è, soprattutto, la cosa che si può iniziare a fare lunedì mattina, senza aspettare nessuna scadenza europea.

La seconda cosa da fare: sistemi sicuri e, dove possibile, proprietari

Il secondo nodo è la sicurezza dei dati, che è anche il punto in cui il discorso sulla compliance si lega a una scelta strategica più ampia: di chi sono gli strumenti AI che la vostra azienda usa ogni giorno?

Quando un dipendente carica su un chatbot pubblico un contratto, una scheda cliente, una previsione di vendita, un piano di marketing — quei dati escono dall’azienda. Vanno a finire sui server di un fornitore che spesso non è europeo, sotto regimi giuridici diversi, con politiche di trattenimento e riutilizzo che cambiano nel tempo.

Per molte attività questo è gestibile. Per molte altre — tutto ciò che riguarda dati personali di clienti, dati industriali sensibili, ricerche di mercato proprietarie, segreti commerciali — è un rischio concreto, sia di compliance (GDPR oltre che AI Act) sia di vantaggio competitivo perso.

L’AI Act spinge le aziende in una direzione precisa: chi usa l’intelligenza artificiale deve sapere cosa entra ed esce dai sistemi. Deve poter tracciare i dati, garantirne la qualità, dimostrare la supervisione umana, registrare le attività. Tutte cose molto difficili da fare se l’AI vive interamente fuori dai confini aziendali.

Ecco perché un numero crescente di imprese sta scegliendo di costruirsi sistemi AI proprietari, oppure di adottare soluzioni che girano su infrastrutture controllate (cloud privato, ambienti protetti, modelli aperti installati on-premise).

Non significa rinunciare alle grandi piattaforme: significa decidere consapevolmente cosa affidare a strumenti pubblici e cosa mantenere dentro il perimetro aziendale. I dati strategici — le ricerche di mercato, le analisi sui clienti, i piani commerciali, la proprietà intellettuale — meritano un ambiente in cui l’azienda abbia il pieno controllo di chi vede cosa, di dove finiscono le informazioni, di come vengono trattate.

È un investimento, certo. Ma è anche la differenza tra usare l’AI come consumatori e usarla come imprese.

Il percorso Business Intelligence Group

Business Intelligence Group eroga percorsi di alfabetizzazione AI strutturati secondo questi requisiti, sia in presenza sia in modalità online asincrona, con materiali validati da ente certificatore, registro di classe, test di apprendimento e di gradimento, attestato finale e tutta la documentazione necessaria a dimostrare la conformità all’Articolo 4 dell’AI Act.

I percorsi sono calibrati sul ruolo aziendale dei partecipanti e sul livello di rischio dei sistemi AI effettivamente in uso nell’organizzazione.

Da dove cominciare

Se la vostra azienda non ha ancora fatto nulla, tre passi concreti si possono avviare oggi, senza aspettare nient’altro.

Il primo è un inventario: fare una lista di tutti gli strumenti AI usati in azienda, in ogni reparto. Marketing, HR, IT, vendite, customer service. Spesso i singoli team hanno comprato strumenti senza informare nessuno: il primo lavoro è capire cosa c’è.

Il secondo è la formazione del personale. Non rinviabile, già obbligatoria, e l’unica che produce risultati immediati. Anche un percorso breve, fatto bene, mette l’azienda al riparo e cambia il modo in cui le persone lavorano con l’AI.

Il terzo è una decisione strategica sull’infrastruttura: quali strumenti restano nelle mani di fornitori esterni e quali, invece, è meglio portare dentro casa o su ambienti controllati. È una scelta che riguarda la sicurezza, ma anche il valore.

Le aziende che mantengono il controllo dei propri dati AI saranno quelle che, tra qualche anno, avranno un vantaggio competitivo difficile da recuperare.

Una considerazione finale

L’AI Act non è una scadenza fiscale da rispettare con un adempimento dell’ultimo minuto. È il segnale che l’intelligenza artificiale, da curiosità tecnologica, sta diventando un’infrastruttura su cui poggiano le imprese. E come ogni infrastruttura, ha bisogno di regole, di persone preparate, di sistemi sicuri.

Le aziende che arriveranno al 2 agosto 2026 con il personale formato e con sistemi AI sotto il proprio controllo non avranno solo evitato una multa. Avranno costruito qualcosa che vale molto di più: la capacità di usare l’intelligenza artificiale come un vero strumento di lavoro, e non come una scatola nera che fa cose che nessuno sa bene spiegare.

È da qui che si parte. Lunedì mattina.

Gianni Bientinesi
CEO · Business Intelligence Group

Fondatore e CEO di Business Intelligence Group, da oltre vent’anni si occupa di ricerche di mercato, business intelligence e consulenza strategica per imprese italiane e multinazionali. Promotore dell’Osservatorio Ri-Generazione, è autore di analisi e contributi editoriali sui temi dell’innovazione, dei consumi e della trasformazione digitale.