01 · Registro
Registro dei sistemi
Ogni sistema di IA usato in azienda, censito: finalità, owner, dati, rischio. Anche la shadow AI.
art. 26
Policy, registro, controllo umano, evidenze. Ogni regola che scriviamo lascia una traccia che un auditor — o tu — può controllare. Nessun sigillo di facciata.
La governance è ciò che rende l'IA utilizzabile senza paura.
01 · Perché governare
Strumenti usati senza tracciare, dati aziendali in mano a servizi non approvati, output mai verificati. È la shadow AI: quando conta — un audit, un incidente, un cliente — la parola non basta.
L'AI Act prevede sanzioni fino a 35 milioni di € o il 7% del fatturato mondiale annuo per le pratiche vietate (art. 5); per gli altri obblighi le sanzioni arrivano fino a 15 milioni di € o il 3% (art. 99). Le PMI sono soggette all'importo più basso tra i due.
Reg. (UE) 2024/1689, artt. 5 e 99 · Legge 23 settembre 2025, n. 132
02 · Cosa significa governare
"Governare l'IA" resta un'astrazione finché non prende una forma verificabile. Ecco i cinque pilastri su cui costruiamo — ognuno con il suo aggancio all'AI Act.
01 · Registro
Ogni sistema di IA usato in azienda, censito: finalità, owner, dati, rischio. Anche la shadow AI.
art. 26
02 · Rischio
Ogni uso collocato nella sua categoria AI Act, dagli usi vietati al rischio minimo, con gli obblighi che ne derivano.
artt. 5, 6, 50
03 · Persone
Una persona competente supervisiona i sistemi ad alto rischio. L'IA propone, l'umano decide.
art. 14
04 · Regole
Chi può usare cosa, con quali dati, con quali limiti. Scritto e assegnato, non implicito.
art. 26
05 · Prove
Ogni decisione lascia una traccia conservata: log tenuti almeno sei mesi, pronti per un controllo.
art. 26, c. 6
03 · Come lo rendiamo verificabile
In sintesi: una regola non resta sulla carta. Viene applicata nel processo, lascia un'evidenza registrata e passa a una persona quando serve un controllo.
Regola
Definitascritta, non implicitaApplicazione
Nel processodove il lavoro accadeEvidenza
Registratatracciata e conservataSupervisione
Decide la personaLa catena di verifica
Sei passi, dalla regola alla prontezza per un audit. Tocca un passo per vedere cosa lascia dietro di sé.
La regola d'uso, per iscritto.
Cosa lascia: una policy scritta e ruoli assegnati — non regole implicite nella testa delle persone.
Il rischio di ogni sistema.
Cosa lascia: ogni sistema collocato su vietato / alto rischio / trasparenza / minimo, con gli obblighi che ne derivano (artt. 5, 6, 50).
Il sistema nel registro.
Cosa lascia: una voce nel registro dei sistemi con finalità, owner, dati e data di revisione (art. 26).
Con una persona competente.
Cosa lascia: punti di sorveglianza umana definiti sui sistemi ad alto rischio. L'IA propone, la persona decide (art. 14).
Le evidenze, nel tempo.
Cosa lascia: log conservati almeno sei mesi, pronti per un controllo (art. 26, c. 6).
Pronti per readiness e audit.
Cosa lascia: documentazione e controlli allineati, pronti per una readiness ISO/IEC 42001 o per un audit.
Perché questo ti riguarda anche se non "sviluppi" l'IA: chi utilizza un sistema di IA nell'ambito della propria attività professionale è un deployer (utilizzatore). Per i sistemi ad alto rischio, il deployer ha obblighi specifici — tra cui la sorveglianza umana e la conservazione dei log (art. 26).
Reg. (UE) 2024/1689, artt. 14, 26 e 50
04 · AI Act & ISO 42001, senza mito
L'AI Act classifica i sistemi su quattro livelli: vietato (art. 5), alto rischio (art. 6 e Allegato III), obblighi di trasparenza (art. 50) e rischio minimo. Individuiamo dove si colloca il tuo sistema e quali obblighi ne derivano.
Reg. (UE) 2024/1689, artt. 5, 6, 50 e Allegato III
A seguito del Digital Omnibus (adottato dal Consiglio UE il 29 giugno 2026), gli obblighi per i sistemi ad alto rischio si applicano a partire dal 2 dicembre 2027 (sistemi stand-alone, Allegato III) e dal 2 agosto 2028 (IA integrata in prodotti regolamentati, Allegato I).
Digital Omnibus, Consiglio UE, 29 giugno 2026 · date «a partire dal», quadro in evoluzione
Mito vs realtà
Sulla ISO/IEC 42001 siamo netti — ed è una prova di serietà, non un limite.
ISO/IEC 42001:2023 · standard volontario, complementare all'AI Act
05 · La governance in azione
Un estratto — semplificato — di come si presenta il registro dei sistemi che costruiamo con te: ogni sistema, il suo rischio, i controlli attivi.
Definire il perimetro reale con un AI Entry Assessment. Govern
Esempio illustrativo — i dati reali dei clienti non compaiono mai su questo sito
06 · Governance proporzionata
La governance non deve pesare più del problema che risolve. La calibriamo sulla tua realtà — e sui soli obblighi che ti riguardano davvero.
Solo gli obblighi che ti riguardano davvero: prima capiamo quali, poi agiamo.
Parti da un assessment e cresci solo se vedi valore. Nessun impianto corporate imposto.
Nessun software obbligato: governiamo ciò che già usi, con neutralità tecnologica.
Il team resta autonomo: la governance non deve dipendere da noi per funzionare.
Il primo passo
Il punto di partenza è l'AI Entry Assessment: mappa dei sistemi, gap analysis su AI Act e ISO/IEC 42001, roadmap prioritizzata. Da lì, ogni regola avrà la sua prova.