La realtà delle PMI italiane: l'IA è già in azienda
Prima ancora che il dibattito sulla conformità all'AI Act si accendesse, l'intelligenza artificiale è entrata nelle aziende italiane dalla porta principale — e spesso senza un piano formale. ChatGPT per scrivere email e offerte commerciali. Microsoft Copilot integrato in Word, Outlook ed Excel. Gemini nelle Google Workspace. Strumenti di grafica AI come Canva con funzioni generative.
Una survey di Confindustria del 2024 stima che oltre il 60% delle PMI italiane con più di 10 dipendenti usa già almeno uno strumento di IA generativa nei processi quotidiani.
Il problema è che molte di queste aziende non sanno esattamente cosa prevede il Regolamento UE 2024/1689 (AI Act) per questi strumenti — e questo crea incertezza e un rischio di non conformità.
Come l'AI Act classifica ChatGPT e Copilot
Dal punto di vista tecnico, ChatGPT, Copilot, Gemini e simili rientrano nella categoria dei modelli di IA per uso generale (GPAI — General Purpose AI Models). Questa categoria è disciplinata dal Titolo VIII dell'AI Act, con obblighi che si applicano principalmente ai provider (OpenAI per ChatGPT, Microsoft per Copilot, Google per Gemini).
Come deployer (azienda che usa questi strumenti), i vostri obblighi diretti relativi specificamente alla natura GPAI degli strumenti sono limitati. Tuttavia, ci sono obblighi che si applicano comunque:
L'Art. 4 — AI Literacy: obbligatorio per tutti
Indipendentemente dalla classificazione degli strumenti, chiunque usi sistemi di IA è tenuto a garantire che il proprio personale abbia un sufficiente livello di alfabetizzazione in materia di IA (Art. 4 AI Act, in vigore dal 2 febbraio 2025).
Questo significa che se i vostri dipendenti usano ChatGPT, Copilot o qualsiasi altro strumento di IA generativa, devono essere formati su:
- Come funziona lo strumento e quali sono i suoi limiti
- I rischi specifici: allucinazioni, bias, privacy
- Le regole aziendali sull'uso
Trasparenza quando si producono contenuti
Se usate strumenti di IA generativa per produrre contenuti destinati al pubblico (testi di marketing, contenuti sui social, video o immagini generate), l'Art. 50 dell'AI Act introduce obblighi di disclosure: i contenuti generati o significativamente modificati da IA devono essere marcati come tali quando c'è un rischio di inganno per il pubblico.
Gli obblighi GDPR rimangono
L'AI Act non sostituisce il GDPR. Usare ChatGPT inserendo dati personali di dipendenti o clienti senza le necessarie basi giuridiche è una violazione del GDPR, indipendentemente dall'AI Act.
Il rischio principale: usare l'IA senza regole
Il vero problema per le PMI non è solitamente la complessità tecnica della conformità: è che l'IA viene usata senza regole interne definite, e questo espone l'azienda su più fronti simultaneamente:
Rischio normativo AI Act
Nessuna formazione documentata del personale (violazione Art. 4). Nessuna AI Policy che definisca gli usi consentiti. Se parte la vigilanza e un'autorità chiede come avete formato il personale sull'uso di ChatGPT, non avere niente da mostrare è un problema.
Rischio privacy/GDPR
I dipendenti inseriscono dati personali di clienti, fornitori o colleghi in strumenti di IA non valutati sotto il profilo privacy. ChatGPT nella versione gratuita o business può usare i dati inseriti per il training del modello (a meno di optare esplicitamente fuori). Dati di salute, dati finanziari, dati di minori — tutto questo non dovrebbe mai finire in un LLM senza una valutazione d'impatto.
Rischio di qualità e responsabilità
Le allucinazioni dei modelli di linguaggio sono un fatto noto: i modelli generativi possono produrre output plausibili ma falsi. Se un dipendente produce un'offerta commerciale, un parere legale o una comunicazione ufficiale basandosi senza verifica sull'output di ChatGPT, l'azienda risponde degli errori.
Rischio di sicurezza informatica
I prompt inviati agli strumenti di IA SaaS passano attraverso server di terze parti. Informazioni riservate, segreti industriali, strategie commerciali non dovrebbero mai essere inseriti in strumenti cloud senza aver valutato i termini di servizio e le garanzie di sicurezza del provider.
Le regole che ogni PMI dovrebbe adottare per ChatGPT e Copilot
Anche in assenza di un percorso di compliance completo, ecco le regole minime che ogni azienda dovrebbe adottare oggi:
Regola 1: Nessun dato personale negli strumenti non approvati
Definire esplicitamente che i dipendenti non devono inserire dati personali di terzi (clienti, dipendenti, fornitori) in strumenti di IA non approvati e valutati dall'azienda.
Microsoft Copilot integrato in Microsoft 365 (la versione business) è soggetto alle stesse garanzie di sicurezza e privacy del resto della suite Microsoft — il che lo rende molto più gestibile rispetto a ChatGPT gratuito per l'uso aziendale con dati sensibili.
Regola 2: Revisione umana sempre prima della pubblicazione
Nessun contenuto generato da IA deve essere pubblicato, inviato o usato ufficialmente senza una revisione umana. Questo vale per email a clienti, post sui social, documenti legali, offerte commerciali.
Regola 3: Strumenti approvati vs. non approvati
Definire una lista di strumenti approvati per l'uso aziendale (con le relative condizioni d'uso) e una policy chiara sui rischi degli strumenti non approvati.
Regola 4: Disclosure nei contenuti
Per i contenuti destinati al pubblico esterno (comunicazioni marketing, blog, social media), definire quando e come rendere esplicito l'utilizzo di IA nella produzione.
Microsoft Copilot e le PMI: un caso speciale
Microsoft Copilot integrato in Microsoft 365 Business merita una trattazione separata perché è probabilmente lo strumento di IA generativa più diffuso tra le PMI italiane che usano la suite Office.
Cosa fa Copilot: riepiloga email, bozza documenti, analizza fogli di calcolo, suggerisce risposte, genera contenuti in Teams.
Sotto il profilo AI Act: Microsoft ha già avviato il processo di adeguamento all'AI Act per la propria suite. Copilot è classificato come strumento GPAI. Microsoft pubblica una transparency note e documentazione tecnica.
Cosa devono fare le PMI:
- Assicurarsi di usare la versione business di Microsoft 365 (non versioni consumer)
- Verificare le impostazioni di privacy e le opzioni di opt-out dal training del modello
- Formare il personale sugli usi appropriati e i limiti di Copilot
- Includere Copilot nella AI Policy aziendale
Il calendario della conformità per le PMI che usano IA generativa
| Data | Cosa è obbligatorio |
|---|---|
| 2 febbraio 2025 | AI Literacy del personale (Art. 4) — già in vigore |
| 2 agosto 2025 | Obblighi per i provider di modelli GPAI (OpenAI, Microsoft, Google…) |
| 2 agosto 2026 | Vigilanza attiva delle autorità nazionali |
Per le PMI che usano strumenti di IA generativa, la priorità immediata è:
- Formare il personale (obbligatorio da febbraio 2025)
- Adottare regole interne sull'uso degli strumenti (AI Policy)
- Documentare tutto
Da dove partire: il test gratuito di AI Literacy
Se non sapete esattamente quale sia il livello di consapevolezza del vostro personale sull'uso dell'IA, il punto di partenza è il nostro test gratuito di AI Literacy: 5 domande, 1 minuto, e ricevete un'analisi personalizzata con i passi concreti da seguire.
O se preferite parlare direttamente con un esperto, prenota una call gratuita — in 30 minuti vi indichiamo cosa fare e in che ordine.
Hai trovato utile questo articolo? Valuta quanto sei pronto per l'AI Act con il nostro test gratuito.