IAPMESuisse
|Di Laurent Duplat, Consulente IA & PMI

AI Act UE & PMI svizzere: guida alla conformità 2026

L'AI Act UE si applica alle PMI svizzere con clienti UE. Scadenze 2025-2027, classificazione, obblighi, sanzioni, checklist in 7 tappe.

AI Act UE & PMI svizzere: guida alla conformità 2026

Molti dirigenti di PMI svizzere credono ancora che l'AI Act sia un regolamento europeo che non li riguardi. Falso. Come il RGPD prima di esso, l'AI Act si applica in modo extraterritoriale a qualsiasi azienda i cui sistemi IA siano utilizzati nell'Unione Europea, o i cui risultati siano utilizzati nell'UE. In chiaro: se ha anche un solo cliente UE, è interessato. Ecco le scadenze, gli obblighi concreti per categoria di rischio, l'articolazione con la nLPD svizzera e la checklist in 7 tappe per essere in regola prima del 2027.

Perché l'AI Act riguarda le PMI svizzere

Tre canali di extraterritorialità lo rendono ineludibile:

  1. Immissione sul mercato UE: se vende un servizio o prodotto IA in un paese UE, è fornitore ai sensi dell'AI Act.
  2. Utilizzo da clienti UE: una società di consulenza svizzera che consegna un rapporto generato da IA a un cliente tedesco è soggetta agli obblighi di trasparenza.
  3. Output utilizzato nell'UE: un chatbot multilingue di una PMI romanda che risponde a prospect francesi è interessato.

La nLPD copre i dati personali, l'AI Act copre il sistema IA stesso (concezione, immissione sul mercato, sorveglianza). I due si cumulano. Più dettagli sulla parte protezione dati nella nostra guida nLPD per PMI.

I 4 livelli di rischio dell'AI Act

| Livello | Definizione | Stato | |---|---|---| | Inaccettabile | Social scoring, manipolazione cognitiva, identificazione biometrica in tempo reale per scopi repressivi | Vietato da febbraio 2025 | | Alto rischio | Reclutamento, scoring credito, esami medici, infrastrutture critiche, giustizia, immigrazione | Obblighi rigorosi: conformità, audit, marcatura CE, supervisione umana | | Rischio limitato | Chatbot, deepfake, IA generativa per il grande pubblico | Obblighi di trasparenza: segnalare l'interazione con un'IA | | Rischio minimo | Filtri antispam, IA per videogiochi, raccomandazioni e-commerce semplici | Nessun obbligo specifico |

Per una PMI svizzera, il 90% dei casi d'uso ricade in rischio limitato o minimo. Ma il 10% può scivolare in alto rischio: triage automatico CV, scoring lead, videosorveglianza punto vendita, strumenti HR di valutazione.

Le scadenze chiave 2025-2027

| Data | Obbligo | Interessati | |---|---|---| | 2 febbraio 2025 | Divieto dei sistemi IA a rischio inaccettabile | Tutti | | 2 agosto 2025 | Regole sui modelli GPAI (GPT, Claude, Gemini, Mistral) | Fornitori LLM | | 2 febbraio 2026 | Codici di condotta obbligatori per fornitori GPAI | Fornitori LLM | | 2 agosto 2026 | Obblighi alto rischio (allegato III) | PMI con IA HR/scoring/sanità | | 2 agosto 2027 | Obblighi alto rischio (allegato I — prodotti regolati) | Industria, dispositivi medici |

Le 7 tappe di conformità

Tappa 1: Inventario esaustivo dei sistemi IA

Elenchi tutti gli strumenti IA utilizzati (dichiarati E shadow IT) con: uso aziendale, fornitore, dati trattati, pubblico (UE sì/no). Le PMI ne scoprono in genere 3-5 dimenticati. Inizi con un audit IA gratuito.

Tappa 2: Classificazione per livello di rischio

Assegni ogni strumento a una delle 4 categorie. Strumenti HR, scoring, sorveglianza, predittivo cliente richiedono un'analisi fine.

Tappa 3: Informazione trasparente degli utenti

Per il rischio limitato (chatbot, IA generativa): indichi chiaramente che l'utente interagisce con un'IA. Menzione tipo: "Questa risposta è stata generata da un'intelligenza artificiale." Aggiungere a CGU, footer sito, primi messaggi chatbot.

Tappa 4: Documentazione tecnica per l'alto rischio

Documentazione conforme allegato IV (descrizione, dati di addestramento, metriche di performance, cybersicurezza). I fornitori (Microsoft, OpenAI) ne forniscono una parte; lei documenta il suo uso.

Tappa 5: Supervisione umana

Ogni sistema ad alto rischio deve prevedere una supervisione umana effettiva: gli utenti possono ignorare l'output IA, sono formati a rilevare i bias, possono intervenire. Concretamente: un essere umano valida ogni decisione finale.

Tappa 6: Formazione dei team (art. 4 AI Act)

Obbligo in vigore dal 2 febbraio 2025: ogni dipendente che usa un sistema IA in ambito professionale deve essere formato a un livello adeguato. Per una PMI: formazione iniziale 2-4h + aggiornamento annuale. Veda il nostro catalogo formazione IA per PMI.

Tappa 7: Log, audit, sorveglianza post-mercato

Conservi i log di utilizzo IA per almeno 6 mesi. Stabilisca una procedura di notifica incidenti. Auditi annualmente la classificazione.

Sanzioni: cosa rischia una PMI

| Infrazione | Multa massima | |---|---| | Pratica IA vietata (rischio inaccettabile) | 35 M€ o 7% fatturato mondiale | | Non conformità alto rischio | 15 M€ o 3% fatturato mondiale | | Informazioni ingannevoli alle autorità | 7,5 M€ o 1% fatturato mondiale |

Le sanzioni sono calibrate sulla dimensione. Per una PMI da 5 M CHF di fatturato, la multa massima per rischio inaccettabile si attesta intorno a 350.000 CHF — lontano dai 35 M€ di facciata, ma sufficiente a mettere a rischio la sopravvivenza.

Articolazione con la nLPD: non rifare tutto

Buona notizia: se è già conforme alla nLPD, ha già percorso il 60% del cammino AI Act. Il registro dei trattamenti (art. 12 nLPD), i contratti con i responsabili, la DPIA (art. 22 nLPD), la formazione alla protezione dei dati: tutto si riutilizza.

Specifico e nuovo per l'AI Act:

  • Classificazione in 4 livelli di rischio
  • Marcatura CE per i sistemi ad alto rischio immessi sul mercato
  • Documentazione tecnica allegato IV
  • Log di utilizzo 6 mesi
  • Avviso "sta interagendo con un'IA"

FAQ

Una PMI svizzera di 5 persone è davvero interessata?

Se ha un solo cliente UE o utilizza un chatbot/IA generativa aperto al pubblico, sì per gli obblighi di trasparenza (rischio limitato). Veloce e poco costoso da implementare.

Serve un responsabile AI Act?

No, l'AI Act non impone un responsabile dedicato per le PMI. Un referente IA interno (spesso il DPO o il responsabile IT) basta.

I miei strumenti GPT, Claude, Copilot sono ad alto rischio?

I modelli GPAI in sé non sono ad alto rischio. È l'uso che ne fa a determinare la classificazione. ChatGPT per redigere email = rischio limitato. Lo stesso ChatGPT per valutare candidati = alto rischio.

Cosa succede se non agisco?

Finché un cliente UE non si lamenta, il rischio concreto resta basso. Ma il mercato B2B richiede sempre più un attestato di conformità (le grandi aziende lo impongono ai loro fornitori svizzeri).

Posso combinare conformità nLPD + AI Act?

Sì, è anzi raccomandato. Gli obblighi si sovrappongono al 40-60%. Il nostro audit IA gratuito copre entrambe le dimensioni.

Vuole sapere dove si trova la sua PMI rispetto all'AI Act? Prenoti un audit IA gratuito. Per approfondire, consulti la nostra guida budget IA PMI e il nostro catalogo consulting IA.

Torna al blog