Quel 7% di cui parlano tutti
Il numero che fa notizia è questo: chi viola l'AI Act rischia multe fino a 35 milioni di euro o il 7% del fatturato mondiale annuo. È vero. Ma è la sanzione più grave di tutte, ed è riservata a una cosa precisa: usare l'AI per pratiche vietate. Manipolazione subliminale delle persone, social scoring di stato, certi usi della sorveglianza biometrica. Roba che la stragrande maggioranza delle aziende non fa e non farebbe mai.
Ora però parliamo di quello che ci riguarda davvero. Perché l'AI Act non è una minaccia generica sospesa nell'aria. È un regolamento europeo (il 2024/1689) con un calendario che sta per arrivare a una data che pesa: il 2 agosto 2026.
L'AI Act è già qui, la scadenza grossa arriva il 2 agosto 2026
Conviene avere chiaro cosa è già attivo e cosa scatta tra poco, perché molti pensano ancora che sia tutto "in arrivo". Non è così:
È già legge, e lo è da febbraio 2025, il divieto delle pratiche più pericolose. È già legge, sempre da febbraio 2025, l'obbligo di alfabetizzazione del personale, quello di cui parliamo tra un attimo perché è il più sottovalutato. Da agosto 2025 si applicano le regole per i grandi modelli di uso generale, i ChatGPT e i Gemini di turno.
Il 2 agosto 2026 è il giorno in cui entra in vigore il cuore del regolamento. Scattano gli obblighi pieni sui sistemi ad alto rischio, scattano gli obblighi di trasparenza sui contenuti generati dall'AI, e soprattutto le sanzioni diventano applicabili a regime dalle autorità nazionali.
L'obbligo che quasi nessuno ha capito: formare chi usa l'AI
Parto da qui perché è l'obbligo che riguarda più aziende di tutti ed è anche quello che quasi nessuno conosce.
L'articolo 4 dell'AI Act dice una cosa semplice: chi mette l'AI nelle mani del proprio personale deve garantire che quelle persone abbiano un livello sufficiente di competenza per usarla. In gergo si chiama alfabetizzazione, AI literacy.
Tradotto: se in azienda qualcuno usa l'intelligenza artificiale per lavorare, anche solo per scrivere testi o generare immagini, tu datore di lavoro hai l'obbligo di metterlo nelle condizioni di capire cosa sta usando. Cosa quello strumento sa fare, dove sbaglia, quali dati ci può mettere dentro e quali no, quando il risultato va controllato da una persona.
Non è un consiglio. È un obbligo in vigore dal 2 febbraio 2025. La norma non impone un corso certificato con un timbro, ma chiede che la competenza ci sia per davvero e che tu possa dimostrarlo. Dare in mano ChatGPT a tutto l'ufficio senza dire niente non basta più, e in caso di problemi la mancata formazione diventa un'aggravante che spinge la sanzione verso l'alto.
Qui sta il senso di tutto il discorso. La legge europea ha messo nero su bianco un principio che noi ripetiamo da sempre: l'AI va usata con consapevolezza.
Regola d'oro: dire quando c'è l'AI dietro
Il secondo blocco è quello che dal 2 agosto 2026 cambia la vita a chiunque produca contenuti, quindi...un po' a tutti.
Da questa data i contenuti generati o manipolati dall'intelligenza artificiale, testi, immagini, audio, video, vanno resi riconoscibili come tali. Chi costruisce i sistemi dovrà marcare i risultati in modo leggibile dalle macchine, così che si possa capire che sono artificiali.
E chi pubblica un deepfake, cioè un'immagine o un video realistici creati o alterati dall'AI, dovrà dirlo in modo chiaro a chi guarda.
L'obbligo che pesa di più: i sistemi ad alto rischio
Il terzo blocco è il più gravoso ma riguarda meno aziende. Sono i sistemi ad alto rischio: l'AI usata per selezionare il personale, per valutare il merito creditizio di un cliente, per gestire infrastrutture critiche, in sanità, nell'istruzione, nella giustizia. Casi in cui una decisione automatica può incidere pesantemente sulla vita di una persona.
Se la tua azienda usa l'AI per decidere chi assumere, a chi dare un finanziamento, come valutare un dipendente, sei probabilmente dentro questa categoria, e gli obblighi sono ancora più seri: valutazioni di conformità, documentazione, sorveglianza umana, registri.
Le sanzioni spiegate in modo chiaro
Torniamo ai numeri, ma con le proporzioni giuste, perché l'alfabetizzazione passa anche da qui.
Il 7% del fatturato (o 35 milioni) è per le pratiche vietate, lo scenario peggiore. Per la maggior parte delle violazioni concrete, quelle sugli obblighi dei sistemi ad alto rischio e sulla trasparenza, il tetto è fino a 15 milioni o il 3% del fatturato mondiale (comunque ecco, non noccioline). Per chi fornisce informazioni false o incomplete alle autorità si arriva fino a 7,5 milioni o l'1,5%.
C'è una mano tesa verso le PMI e startup. In questi casi si applica l'importo più basso tra il valore fisso e la percentuale, non il più alto. Ma il principio resta valido per chiunque. Non è più un'esortazione.
È una legge con multe proporzionali a quanto fatturi, e con autorità incaricate di farle rispettare.
Cosa farei se avessi un'azienda che usa l'AI
Aspetta...in effetti ce l'ho!
Tre mosse, in ordine di urgenza, e nessuna richiede un budget da multinazionale.
- Capire chi, in azienda, usa l'AI e per cosa. Spesso lo fanno in più persone, ognuna a modo suo, senza che nessuno abbia deciso una regola. Mettere ordine qui è già metà del lavoro di conformità, ed è gratis.
- La formazione. Non serve un master, serve che chi usa questi strumenti sappia cosa sta usando e dove sono i limiti. È l'obbligo già in vigore, ed è anche, semplicemente, il modo per smettere di fare errori evitabili.
- La trasparenza. Iniziare ora a dichiarare quando un contenuto nasce con l'AI, dentro e fuori l'azienda. In vista di agosto 2026, ma anche perché è il modo corretto di stare davanti ai propri clienti.
L'AI Act, al netto della retorica delle multe, dice una cosa che condividiamo: uno strumento potente si usa sapendo cosa si sta facendo. La consapevolezza non è il prezzo da pagare per usare l'intelligenza artificiale, ma esattamente ciò che separa chi la usa bene da chi si fa male.
