News · Compliance · 24 giugno 2026

Guida all'utilizzo degli strumenti di AI: evita sanzioni fino al 7% del fatturato.

Di Avv. Dott. Comm. Dario Carta · Tempo di lettura: 12 minuti

Punti chiave

  • L'AI è già operativa in azienda — AI generativa, software HR, scoring clienti — spesso senza inquadramento normativo: con l'AI Act e la Legge 132/2025 questo approccio non è più sostenibile.
  • Le sanzioni sono comparabili a GDPR e antitrust: fino a 35 milioni di euro o il 7% del fatturato mondiale per le pratiche vietate.
  • L'AI Act adotta un approccio risk-based: quattro livelli di rischio con obblighi crescenti.
  • Un software di screening CV o di scoring clienti può essere un sistema ad alto rischio: la qualificazione errata è il primo errore che apre le porte alle sanzioni.
  • La Legge 132/2025 ha designato l'AGID come Autorità nazionale competente e prevede un registro nazionale dei sistemi AI ad alto rischio.
  • La compliance non è solo un costo: può diventare leva strategica per l'accesso a crediti d'imposta e la riduzione dei rischi fiscali indiretti.

Stai utilizzando correttamente l'intelligenza artificiale? Strumenti come Claude, ChatGPT e Gemini sono già nelle mani dei tuoi collaboratori, spesso senza una policy aziendale e senza che l'organo amministrativo ne abbia piena consapevolezza giuridica. Con l'AI Act europeo e la Legge italiana n. 132/2025, l'uso non governato dell'AI è diventato un rischio concreto: le sanzioni arrivano fino a 35 milioni di euro o il 7% del fatturato mondiale annuo.

Questa guida nasce per offrire alle imprese e ai professionisti un quadro operativo: come qualificare i sistemi AI utilizzati, quali obblighi si attivano e come trasformare la compliance in un vantaggio competitivo e fiscale.

1. L'AI in azienda: già presente, spesso non governata

La maggior parte delle imprese utilizza già l'intelligenza artificiale, anche senza saperlo. Non si tratta solo di ChatGPT per la redazione di testi: i sistemi AI includono software di screening dei curriculum, algoritmi di scoring creditizio o commerciale, strumenti di analisi predittiva, chatbot di assistenza clienti e sistemi di monitoraggio dei dipendenti.

Il problema non è l'utilizzo in sé: è l'assenza di governance. Quando un collaboratore usa Claude o Gemini per produrre documenti aziendali, o quando un gestionale assegna automaticamente un punteggio ai clienti, si attivano responsabilità giuridiche che l'organo amministrativo deve conoscere e presidiare.

Attenzione: l'uso informale non è uso privo di rischi. L'uso non strutturato di strumenti AI da parte dei collaboratori — senza policy, senza formazione, senza tracciabilità — non esclude la responsabilità dell'impresa. In assenza di governance documentata, la posizione dell'azienda in caso di controllo è strutturalmente più debole.

2. Il quadro normativo: AI Act e Legge 132/2025

Il Regolamento (UE) 2024/1689, noto come AI Act, è entrato in vigore il 1° agosto 2024 con applicazione progressiva. Le norme sui sistemi a rischio inaccettabile sono operative dal febbraio 2025; quelle sui sistemi ad alto rischio entrano pienamente in vigore tra il 2026 e il 2027.

In Italia, la Legge 132/2025 ha recepito e integrato il quadro europeo, designando l'AGID come Autorità nazionale competente per la vigilanza e le sanzioni. La legge istituisce un registro nazionale dei sistemi AI ad alto rischio e introduce obblighi specifici per le imprese che sviluppano o utilizzano AI in contesti sensibili.

3. La classificazione del rischio: quattro livelli

L'AI Act adotta un approccio risk-based: gli obblighi dipendono dal livello di rischio del sistema, non dalla tecnologia utilizzata.

⚠️ Il sistema che credi innocuo. Un gestionale che filtra i curriculum o assegna un punteggio ai clienti non è un dettaglio tecnico: se incide su diritti o decisioni rilevanti, è un sistema ad alto rischio. La qualificazione errata è l'errore che, da solo, apre la porta alle sanzioni più elevate.

4. Il sistema sanzionatorio: tre livelli

Il regime sanzionatorio è costruito su tre livelli con criteri di proporzionalità e dissuasività analoghi al GDPR:

Per le PMI e le startup sono previste riduzioni proporzionali, ma la soglia percentuale sul fatturato rimane: per un'impresa con 10 milioni di euro di ricavi, il 3% significa 300.000 euro.

5. Il rischio fiscale indiretto dell'AI non conforme

La non conformità all'AI Act genera rischi non solo sanzionatori ma anche fiscali. Le sanzioni amministrative non sono deducibili ai sensi dell'art. 99 TUIR. I costi di compliance tardiva sono meno pianificabili e più elevati di quelli preventivi. Un procedimento sanzionatorio può inoltre deteriorare la reputazione commerciale e ridurre la base imponibile futura.

Le aziende che affrontano la compliance AI in modo strutturato possono qualificare correttamente i costi (deducibili come spese generali o capitalizzabili come attività immateriali) e accedere ai crediti d'imposta per innovazione tecnologica previsti dalla normativa vigente.

6. La compliance come leva strategica

Un approccio evoluto trasforma l'adeguamento normativo in leva di pianificazione. La corretta qualificazione dei costi di compliance, l'accesso a incentivi fiscali per l'innovazione tecnologica, la riduzione dei rischi fiscali indiretti e l'integrazione con i sistemi di controllo interno sono tutti elementi che rendono la compliance AI un investimento, non un onere.

Un'impresa che documenta adeguatamente il proprio modello di governance AI è anche più solida in caso di due diligence, finanziamento bancario o operazioni straordinarie.

7. Come strutturare una AI compliance efficace: le cinque fasi

Domande frequenti

Siamo una PMI: l'AI Act si applica anche a noi?

Sì. L'AI Act si applica a qualsiasi operatore che utilizza sistemi AI in ambito professionale nell'UE, indipendentemente dalle dimensioni. Le PMI beneficiano di alcune riduzioni sanzionatorie, ma non sono esonerate dagli obblighi.

Usiamo ChatGPT solo per scrivere email: siamo a rischio?

Per la redazione di testi interni o comunicazioni generiche, il rischio è minimo. Ma se il sistema è utilizzato per generare pareri, analisi o comunicazioni verso terzi presentate come proprie, si attivano obblighi di trasparenza.

Il nostro software HR fa screening automatico dei CV: cosa dobbiamo fare?

Verificare se il sistema rientra nella categoria alto rischio (quasi certamente sì, se determina o influenza le decisioni di assunzione). In tal caso: mappare il fornitore, verificare la documentazione tecnica, implementare supervisione umana nelle decisioni finali e aggiornare le policy interne.

Quando entrano in vigore gli obblighi per i sistemi ad alto rischio?

I sistemi ad alto rischio in ambito HR, credito e istruzione devono essere conformi entro agosto 2026. I sistemi già sul mercato hanno un periodo transitorio che si chiude entro il 2027.

BoezioAI al fianco della tua impresa

L'AI Act incrocia compliance, responsabilità degli organi amministrativi e governance d'impresa. Il nostro team — avvocati, commercialisti e ingegneri — affianca imprese e studi nella classificazione dei sistemi AI, nella strutturazione della compliance e nell'adozione di strumenti conformi.

Per una valutazione del tuo caso: info@boezioai.com · +39 329 7413254

Articolo dell'Avv. Dott. Comm. Dario Carta, pubblicato originariamente su cartaepartners.it. Riprodotto con il consenso dell'autore.

← Tutte le news