Le sanzioni dell'AI Act: un quadro che fa riflettere
Quando si parla di AI Act, i numeri che circolano nei titoli giornalistici sono spesso quelli massimi: 35 milioni di euro o 7% del fatturato mondiale annuo. Cifre che sembrano lontane dalla realtà di una PMI italiana, eppure il Regolamento UE 2024/1689 costruisce un sistema sanzionatorio articolato che riguarda anche le piccole imprese.
Capire le sanzioni non serve per alimentare la paura: serve per fare scelte informate su quanto investire nella compliance e con quale urgenza.
Il sistema sanzionatorio: tre livelli
L'AI Act prevede tre soglie sanzionatorie a seconda della gravità della violazione:
Livello 1 — Pratiche proibite (Art. 99, par. 3)
Fino a 35 milioni di euro o il 7% del fatturato mondiale annuo (il maggiore dei due).
Si applica a chi usa sistemi di IA classificati come "rischio inaccettabile" — quelli completamente vietati dal Titolo II: social scoring, manipolazione comportamentale, riconoscimento biometrico in tempo reale in spazi pubblici, ecc.
Livello 2 — Violazioni degli obblighi principali (Art. 99, par. 4)
Fino a 15 milioni di euro o il 3% del fatturato mondiale annuo (il maggiore dei due).
Si applica alla violazione degli obblighi principali del Regolamento: mancata conformità per sistemi ad alto rischio, violazioni degli obblighi di trasparenza, mancata cooperazione con le autorità di vigilanza.
Livello 3 — Informazioni false o fuorvianti (Art. 99, par. 5)
Fino a 7,5 milioni di euro o l'1,5% del fatturato mondiale annuo (il maggiore dei due).
Si applica a chi fornisce informazioni false o incomplete alle autorità di vigilanza.
Le sanzioni effettive per le PMI: cosa dice davvero il Regolamento
La buona notizia è che l'AI Act contiene esplicitamente disposizioni di proporzionalità a favore delle PMI (incluse le microimprese). L'Art. 99, par. 6 stabilisce che le autorità nazionali devono tenere conto di:
- La natura, la gravità e la durata della violazione
- Se è stata commessa intenzionalmente o per negligenza
- La dimensione dell'operatore e il suo fatturato — con possibilità di ridurre le sanzioni per le PMI
- Il livello di cooperazione con le autorità
- Le precedenti violazioni dello stesso operatore
- I provvedimenti correttivi adottati
Per le persone fisiche le sanzioni massime sono dimezzate. Per le PMI e le startup, le autorità nazionali possono applicare sanzioni ridotte proporzionalmente alla capacità economica dell'operatore.
Cosa rischia concretamente una PMI italiana
Per essere concreti, proviamo a costruire alcuni scenari realistici:
Scenario 1: PMI con 20 dipendenti, nessuna formazione AI Literacy
Violazione: mancata adozione di misure di AI Literacy (Art. 4).
Rischio realistico: in assenza di precedenti, con la dovuta cooperazione con l'autorità e l'adozione immediata di misure correttive, una prima ispezione difficilmente si traduce in una sanzione economica immediata. L'autorità può emettere diffide, avvertimenti e richieste di adeguamento entro termini prefissati.
La sanzione economica scatta tipicamente in caso di recidiva o di rifiuto di cooperare.
Costo reputazionale: un avvertimento pubblico da parte di AgID o del Garante è però sufficiente a danneggiare la credibilità di un'azienda verso clienti e partner.
Scenario 2: Azienda che usa un sistema HR con AI per il ranking dei CV, senza supervisione umana documentata
Violazione: uso di sistema ad alto rischio senza adempiere agli obblighi del deployer (Art. 26): nessuna procedura di supervisione umana, nessuna documentazione.
Rischio realistico: questa è una violazione degli obblighi principali (Livello 2). Con un fatturato di 5 milioni di euro, la sanzione massima applicabile è il 3% del fatturato (150.000 euro) o 15 milioni — si applica il maggiore, ma le autorità hanno discrezionalità. Una prima violazione senza precedenti potrebbe portare a una sanzione nell'ordine di decine di migliaia di euro, con obbligo di adeguamento immediato.
Scenario 3: Azienda che usa sistemi vietati (es. monitoraggio emotivo dei dipendenti)
Violazione: uso di sistema a rischio inaccettabile (Titolo II, proibito dal 2 febbraio 2025).
Rischio realistico: le sanzioni più elevate (fino al 7% del fatturato) si applicano qui. L'autorità ha l'obbligo di ordinare la cessazione immediata dell'attività e può applicare sanzioni significative anche per una PMI. Con un fatturato di 10 milioni, si parla di un massimo di 700.000 euro — ridotto proporzionalmente ma comunque sostanziale.
Il rischio reputazionale è spesso più grave del rischio finanziario
Per molte PMI italiane, il rischio più concreto non è la sanzione economica diretta: è il danno reputazionale che deriva da:
- Una segnalazione pubblica da parte delle autorità (il Registro europeo delle violazioni AI è pubblico)
- La perdita di un cliente enterprise che richiede la conformità AI Act ai fornitori come requisito contrattuale
- Una notizia sui media specializzati in seguito a un incidente con l'IA
- La revoca di certificazioni o qualifiche legate alla conformità normativa
Questi effetti possono avere un impatto economico molto superiore a qualsiasi sanzione amministrativa per una PMI che opera in filiere produttive o commercia con grandi aziende.
Le attenuanti: come ridurre il rischio
L'AI Act prevede esplicitamente fattori attenuanti che le autorità devono considerare:
1. Cooperazione attiva con le autorità
Chi risponde tempestivamente alle richieste delle autorità, fornisce documentazione completa e adotta subito misure correttive riceve un trattamento sensibilmente migliore rispetto a chi si oppone o si nasconde.
2. Misure correttive adottate spontaneamente
Se prima dell'ispezione avete già avviato un percorso di formazione, redatto una AI Policy e documentato l'uso dei vostri sistemi di IA, avete elementi concreti da portare in vostra difesa.
3. Assenza di precedenti
Una prima violazione, senza precedenti, trattata con cooperazione e correzione immediata, è molto raramente fonte di sanzioni massime.
4. Proporzionalità alla dimensione aziendale
Come detto, le autorità nazionali devono tenere conto della dimensione dell'operatore. Una microimpresa con 5 dipendenti non sarà trattata come una grande azienda.
La strategia più conveniente: prevenire
Dal punto di vista strettamente economico, il costo della compliance è quasi sempre inferiore al costo del rischio:
| Voce | Costo indicativo per una PMI |
|---|---|
| Percorso di AI Literacy (10-50 dipendenti) | 2.000 – 8.000 € |
| Redazione AI Policy + consulenza | 1.500 – 4.000 € |
| AI Act Assessment completo | 3.000 – 10.000 € |
| Totale percorso di conformità | 6.000 – 22.000 € |
| Sanzione minima realistica per violazione | 10.000 – 50.000 € |
| Sanzione massima applicabile a PMI media | 100.000 – 500.000 € |
| Danno reputazionale da pubblicità negativa | Incalcolabile |
La prevenzione ha anche un secondo vantaggio: le aziende che documentano in modo proattivo la propria compliance possono usarla come elemento differenziante nei confronti di clienti e partner che richiedono la conformità all'AI Act come requisito di filiera.
Quando inizia la vigilanza attiva?
Le autorità nazionali (in Italia: AgID e Garante Privacy, in coordinamento con l'AI Office europeo) avranno piena capacità operativa di vigilanza a partire dal 2 agosto 2026.
Ma attenzione: questo non significa che potete aspettare fino ad allora. Gli obblighi sono già in vigore, e le autorità possono intervenire anche prima di quella data in caso di incidenti gravi o segnalazioni.
Il passo successivo
Se non avete ancora avviato un percorso di conformità all'AI Act, il momento migliore per iniziare è adesso. Il percorso ha tre fasi:
- Capire dove siete: fate il nostro test gratuito di AI Literacy — in 5 domande avete un primo orientamento
- Analizzare i sistemi di IA in uso: con un AI Act Assessment professionale
- Costruire la compliance: formazione, Policy, documentazione
Digityze vi affianca in ogni fase, con percorsi calibrati sulla dimensione e sulle esigenze specifiche della vostra azienda. Prenota una call gratuita per capire da dove partire.
Hai trovato utile questo articolo? Valuta quanto sei pronto per l'AI Act con il nostro test gratuito.