Governance verificabile · non dichiarata

Governare l'IA non è un documento. È un sistema che si può verificare.

Policy, registro, controllo umano, evidenze. Ogni regola che scriviamo lascia una traccia che un auditor — o tu — può controllare. Nessun sigillo di facciata.

La governance è ciò che rende l'IA utilizzabile senza paura.

01 · Perché governare

Senza regia, l'IA non è un rischio astratto. È un costo che matura.

Strumenti usati senza tracciare, dati aziendali in mano a servizi non approvati, output mai verificati. È la shadow AI: quando conta — un audit, un incidente, un cliente — la parola non basta.

  • Output usati senza verifica → errori che nessuno traccia.
  • Dati aziendali in strumenti non approvati → shadow AI.
  • Obblighi dell'AI Act ignorati → esposizione a sanzioni.
  • Nessuna evidenza → in un controllo, non puoi dimostrare nulla.

L'AI Act prevede sanzioni fino a 35 milioni di € o il 7% del fatturato mondiale annuo per le pratiche vietate (art. 5); per gli altri obblighi le sanzioni arrivano fino a 15 milioni di € o il 3% (art. 99). Le PMI sono soggette all'importo più basso tra i due.

Reg. (UE) 2024/1689, artt. 5 e 99 · Legge 23 settembre 2025, n. 132

02 · Cosa significa governare

Non è uno slogan. Sono cinque pilastri concreti.

Conforme · art. 26 AI Act

"Governare l'IA" resta un'astrazione finché non prende una forma verificabile. Ecco i cinque pilastri su cui costruiamo — ognuno con il suo aggancio all'AI Act.

01 · Registro

Registro dei sistemi

Ogni sistema di IA usato in azienda, censito: finalità, owner, dati, rischio. Anche la shadow AI.

art. 26

02 · Rischio

Classificazione del rischio

Ogni uso collocato nella sua categoria AI Act, dagli usi vietati al rischio minimo, con gli obblighi che ne derivano.

artt. 5, 6, 50

03 · Persone

Controllo umano

Una persona competente supervisiona i sistemi ad alto rischio. L'IA propone, l'umano decide.

art. 14

04 · Regole

Policy & ruoli

Chi può usare cosa, con quali dati, con quali limiti. Scritto e assegnato, non implicito.

art. 26

05 · Prove

Evidenze & log

Ogni decisione lascia una traccia conservata: log tenuti almeno sei mesi, pronti per un controllo.

art. 26, c. 6

03 · Come lo rendiamo verificabile

Ogni controllo che scriviamo produce una prova che puoi verificare.

In sintesi: una regola non resta sulla carta. Viene applicata nel processo, lascia un'evidenza registrata e passa a una persona quando serve un controllo.

Regola

Definitascritta, non implicita

Applicazione

Nel processodove il lavoro accade

Evidenza

Registratatracciata e conservata

Supervisione

Decide la persona

La catena di verifica

Sei passi, dalla regola alla prontezza per un audit. Tocca un passo per vedere cosa lascia dietro di sé.

  1. La regola d'uso, per iscritto.

    Cosa lascia: una policy scritta e ruoli assegnati — non regole implicite nella testa delle persone.

  2. Il rischio di ogni sistema.

    Cosa lascia: ogni sistema collocato su vietato / alto rischio / trasparenza / minimo, con gli obblighi che ne derivano (artt. 5, 6, 50).

  3. Il sistema nel registro.

    Cosa lascia: una voce nel registro dei sistemi con finalità, owner, dati e data di revisione (art. 26).

  4. Con una persona competente.

    Cosa lascia: punti di sorveglianza umana definiti sui sistemi ad alto rischio. L'IA propone, la persona decide (art. 14).

  5. Le evidenze, nel tempo.

    Cosa lascia: log conservati almeno sei mesi, pronti per un controllo (art. 26, c. 6).

  6. Pronti per readiness e audit.

    Cosa lascia: documentazione e controlli allineati, pronti per una readiness ISO/IEC 42001 o per un audit.

Perché questo ti riguarda anche se non "sviluppi" l'IA: chi utilizza un sistema di IA nell'ambito della propria attività professionale è un deployer (utilizzatore). Per i sistemi ad alto rischio, il deployer ha obblighi specifici — tra cui la sorveglianza umana e la conservazione dei log (art. 26).

Reg. (UE) 2024/1689, artt. 14, 26 e 50

04 · AI Act & ISO 42001, senza mito

Cosa è legge, cosa è volontario, cosa non facciamo.

Fonti citabili

L'AI Act classifica i sistemi su quattro livelli: vietato (art. 5), alto rischio (art. 6 e Allegato III), obblighi di trasparenza (art. 50) e rischio minimo. Individuiamo dove si colloca il tuo sistema e quali obblighi ne derivano.

  • Vietato · art. 5
  • Alto rischio · art. 6, All. III
  • Trasparenza · art. 50
  • Rischio minimo

Reg. (UE) 2024/1689, artt. 5, 6, 50 e Allegato III

A seguito del Digital Omnibus (adottato dal Consiglio UE il 29 giugno 2026), gli obblighi per i sistemi ad alto rischio si applicano a partire dal 2 dicembre 2027 (sistemi stand-alone, Allegato III) e dal 2 agosto 2028 (IA integrata in prodotti regolamentati, Allegato I).

Digital Omnibus, Consiglio UE, 29 giugno 2026 · date «a partire dal», quadro in evoluzione

Mito vs realtà

Il mito

  • «L'AI Act riguarda solo chi sviluppa l'IA.»
  • «Vi fate certificare voi la ISO 42001.»
  • «Basta un documento e siamo a posto.»

La realtà

  • Riguarda anche chi la usa: sei un deployer (art. 26).
  • No. La certifica solo un organismo accreditato: noi prepariamo la readiness.
  • Serve un sistema con evidenze mantenute nel tempo.

Sulla ISO/IEC 42001 siamo netti — ed è una prova di serietà, non un limite.

ISO/IEC 42001:2023 · standard volontario, complementare all'AI Act

05 · La governance in azione

Che aspetto ha una governance fatta bene.

Esempio illustrativo

Un estratto — semplificato — di come si presenta il registro dei sistemi che costruiamo con te: ogni sistema, il suo rischio, i controlli attivi.

Estratto del registro dei sistemi di IA 4 sistemi · tracciati
Assistente e-mail (bozze)Rischio limitato
Scoring dei lead commercialiAlto rischio
Classificatore documentiRischio minimo
Chatbot del sitoTrasparenza · art. 50
Controlli attivi
  • Sorveglianza umana sul sistema ad alto rischio (art. 14).
  • Log conservati almeno sei mesi (art. 26, c. 6).
  • Informazione ai lavoratori sull'uso dell'IA.
Prossimo passo

Definire il perimetro reale con un AI Entry Assessment. Govern

Esempio illustrativo — i dati reali dei clienti non compaiono mai su questo sito

06 · Governance proporzionata

Regole su misura per una PMI. Non per una multinazionale.

La governance non deve pesare più del problema che risolve. La calibriamo sulla tua realtà — e sui soli obblighi che ti riguardano davvero.

Proporzionata

Solo gli obblighi che ti riguardano davvero: prima capiamo quali, poi agiamo.

Modulare

Parti da un assessment e cresci solo se vedi valore. Nessun impianto corporate imposto.

Senza lock-in

Nessun software obbligato: governiamo ciò che già usi, con neutralità tecnologica.

Trasferibile

Il team resta autonomo: la governance non deve dipendere da noi per funzionare.

Il primo passo

Vuoi sapere quali obblighi ti riguardano davvero?

Il punto di partenza è l'AI Entry Assessment: mappa dei sistemi, gap analysis su AI Act e ISO/IEC 42001, roadmap prioritizzata. Da lì, ogni regola avrà la sua prova.