Il Manager Potenziato
AI & Compliance: Non Adeguarsi è un Lusso che Non Puoi Permetterti

Data di aggiornamento: 2 agosto 2025
Giovanni Giamminola

AI Advisor for business trasformation
Docente presso il Master "AI-Driven Business Models" dell'Università Cattolica di Milano.
Alberto Bozzo

Avvocato, DPO e Membro della Commissione informatica e AI presso Unione Triveneta dei Consigli dell'Ordine degli Avvocati
⚠️ IN AZIENDA HAI AUTORIZZATO L' AI ?
⚠️ HAI UNA GOVERNANCE SULL' AI ?
⚠️ HAI FORMATO I TUOI DIPENDENTI ?

Dal 2 AGOSTO 2025, la mancata osservanza di questi obblighi espone l’azienda a sanzioni amministrative crescenti, oltre a rischi reputazionali e legali, in linea con le disposizioni previste dal Regolamento.
È pertanto necessario definire politiche interne chiare, programmi di formazione specifici e aggiornamenti continui, per mitigare i rischi associati all’uso non controllato o autorizzato di strumenti AI, come ChatGPT e altri chatbot, da parte dei dipendenti.
Perché Muoversi SUBITO: Lo Scenario Normativo
Comprendere la tempistica dell'entrata in vigore dell'AI Act è cruciale per pianificare le prossime mosse. Ecco un riassunto delle scadenze e degli effetti pratici per la tua azienda:
“Day 0-30”: 6 Mosse Lampo dal 2 Agosto
Nei primi 30 giorni dall'entrata in vigore, è fondamentale agire rapidamente per impostare le basi della conformità. Queste 6 mosse rapide ti permetteranno di partire con il piede giusto:
1
Inventario & Classificazione
Crea un elenco completo di tutti i sistemi IA utilizzati (interni, SaaS, modelli esterni) e classificali per livello di rischio (vietato, alto rischio, GPAI, limitato, minimo) basandoti sull'AI Act.
2
Stop Immediato ai Casi d’Uso Vietati
Identifica e blocca immediatamente pratiche IA esplicitamente proibite, come social-scoring, emotional tracking dei dipendenti o sorveglianza biometrica indiscriminata.
3
Assegna i Ruoli ex Art. 3
Definisci e registra i ruoli specifici (Provider, User, Importer, Distributor, Authorized Rep.) per ciascun sistema IA in un "Registro AI" interno.
4
Nomina un “AI Lead”
Identifica una figura responsabile (anche part-time nelle PMI) che coordini le attività di conformità tra IT, Legal, DPO, Risk & HR.
5
Contratti Fornitori AI
Verificare che i contratti con i fornitori offrano garanzie di conformità.
6
Kick-off AI Literacy
Avvia programmi di formazione base su IA per tutto il personale entro 6 mesi, come richiesto dall'Art. 4.

Tutti i modelli necessari all'implementazione (esempio: foglio inventario, lettera di incarico, check-list contrattuale) sono disponibili su richiesta.
“Day 30-90”: Costruisci la Base di Compliance
Una volta completate le mosse iniziali, i successivi 60 giorni devono essere dedicati alla costruzione di una solida base di conformità. Questi sono i pilastri su cui si fonda la tua strategia IA-compliant:
1
Risk-Management System (Art. 9)
Implementa un workflow documentato per identificare, valutare, mitigare e monitorare i rischi IA. Elabora la scheda di valutazione e la matrice rischio/probabilità/impatto.
2
Governance dei Dati (Art. 10)
Definisci criteri minimi per accuratezza, rappresentatività, aggiornamento e data-lineage. Se usi dati personali, integra la DPIA con i requisiti specifici per l'IA usando il modulo ad hoc, come ad esempio il “DPIA-AI”.
3
Documentazione Tecnica Preliminare
Prepara la struttura del Technical File per ogni sistema IA ad alto rischio (descrizione, architettura, dataset, metriche, human-oversight, cybersecurity).
4
Logging & Trasparenza (Art. 12-13)
Abilita log con timestamp su training, test e produzione. Inserisci disclaimer “Powered by AI” in chatbot o output generativi per garantire trasparenza agli utenti.
5
Formazione Intermedia
Organizza workshop specifici per i team che utilizzano l'IA, coprendo temi come bias, prompt safety e privacy.
Roadmap “90-180 Giorni” e Oltre
La conformità IA è un processo continuo. La seguente roadmap illustra gli obiettivi chiave e i deliverable nelle fasi successive, garantendo una progressione verso una piena integrazione e sorveglianza dei sistemi IA.
AI Literacy – Le 28 Best Practice UE (Snapshot)
La Commissione Europea ha pubblicato un "living repository" con 28 iniziative aziendali esemplari per l'AI Literacy. Ecco come la tua azienda può capitalizzarle e ispirarsi ai migliori:
Struttura di Governance Consigliata
Per gestire efficacemente la conformità AI, si raccomanda una struttura di governance chiara che garantisca autonomia e responsabilità. La seguente gerarchia è pensata per integrare le funzioni chiave e assicurare una supervisione costante:
Board / CEO
   └─ AI Governance Committee  (riunioni trimestrali)
        ├─ AI Lead / Compliance Officer
        │    ├─ Risk Mgmt & DPIA-AI
        │    └─ Incident Reporting
        ├─ Tech Lead (MLOps)
        ├─ DPO / Privacy
        └─ HR – AI Literacy
  • È fondamentale che il ramo compliance goda di autonomia e indipendenza, potendo bloccare un progetto IA se non conforme.
  • Integra l’audit IA nel piano di Internal Audit, utilizzando una check-list ad-hoc.
Checklist Finale “Ready for 2 Agosto”
Per assicurarti di essere pronto per la data cruciale del 2 agosto, usa questa checklist riassuntiva. Ogni punto rappresenta un'azione o un deliverable chiave da completare per una conformità iniziale robusta.
  • Inventario sistemi IA e classificazione rischio completati
  • Registro ruoli (provider/user) pubblicato in intranet
  • Use-case vietati rimossi / sospesi
  • AI Lead nominato, comitato governance calendarizzato
  • Contratti fornitori AI aggiornati con clausola AI Act
  • AI Literacy livello base erogata a ≥ 90 % del personale
  • Risk-Management System e data-governance policy avviati
  • Technical File draft per ogni High-Risk system
  • Logging & trasparenza attivati nei servizi cliente
  • Incident-response & escalation procedure testate
Questa sintesi condensa i punti essenziali per l'azione immediata.
⚠️ DISCLAIMER

Il presente vademecum è basato sullo stato della normativa alla data di redazione. Dato il carattere evolutivo della materia AI Act e del processo di recepimento italiano, molti aspetti operativi specifici dipenderanno dai decreti attuativi italiani non ancora emanati. Le informazioni contenute hanno carattere generale e non sostituiscono la consulenza legale specializzata.
Riferimenti Normativi
  1. Regolamento (UE) 2024/1689 del Parlamento Europeo e del Consiglio del 13 giugno 2024 - https://eur-lex.europa.eu/eli/reg/2024/1689/oj/eng
  1. EU Artificial Intelligence Act - Implementation Timeline - https://artificialintelligenceact.eu/implementation-timeline/
  1. AI Act | Shaping Europe's digital future - European Commission - https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
  1. Disegno di legge S. 1146 - 19ª Legislatura | Senato della Repubblica - https://www.senato.it/leggi-e-documenti/disegni-di-legge/scheda-ddl?did=58262
  1. Disegno di legge n. 1146/2024 (Ddl Intelligenza Artificiale): ok dalla Camera - https://www.diritto.it/disegno-legge-n-1146-2024-intelligenza-artificiale/
  1. Linee Guida per l'adozione dell'IA nella PA - AgID - https://www.agid.gov.it/it/ambiti-intervento/intelligenza-artificiale
  1. AI Act - Articolo 4 (AI literacy) - https://eur-lex.europa.eu/eli/reg/2024/1689/oj/eng
  1. EU AI Office - AI Literacy Practices Repository - https://digital-strategy.ec.europa.eu/en/library/ai-literacy-practices
  1. Assicurazioni Generali - AI Literacy Programme Case Study - EU AI Pact Repository
  1. Living Repository of AI Literacy Practices - European Commission - https://digital-strategy.ec.europa.eu/en/library/ai-literacy-practices
  1. ACN - Agenzia per la Cybersicurezza Nazionale - https://www.acn.gov.it/
  1. Garante Privacy - https://www.gpdp.it/