Vai al contenuto principale
Holocron
Lab session // live
[ AI LAB · 06 · GOVERNANCE & EU AI ACT ]

L'AI senza governance è un rischio in attesa di causa.

Framework di AI governance per essere conformi a EU AI Act, GDPR, NIS2 e altre normative settoriali. Inventario sistemi AI, classificazione rischio, documentation obbligatoria, audit trail, human oversight, incident response.

09
servizi attivi
EU AI Act
compliant by design
prod-ready
not POC theater
/ PERCHÉ ADESSO

L'EU AI Act non è 'futuro'. È adesso, e mancano i framework di adeguamento.

L'EU AI Act è entrato in vigore il 1 agosto 2024 con applicazione progressiva. Le scadenze rilevanti per le aziende italiane: febbraio 2025 (sistemi proibiti completamente vietati, obblighi di AI literacy del personale), agosto 2025 (obblighi sui modelli general-purpose), agosto 2026 (sistemi ad alto rischio operativi), agosto 2027 (sistemi ad alto rischio già in uso). Non sono date lontane.

Le sanzioni previste sono enormi: fino a 35 milioni di euro o 7% del fatturato globale per le violazioni più gravi. Più rilevante per le PMI italiane: l'assenza di governance documentata significa che nel momento di un controllo, di un incidente, di una causa civile, mancano gli strumenti per dimostrare diligenza.

Il problema operativo è che il 90% delle aziende italiane oggi non sa nemmeno quanti sistemi AI ha in uso. C'è AI in molti SaaS (CRM, gestionali HR, sistemi marketing), in tool usati autonomamente dal personale (ChatGPT, Copilot, Gemini), in piattaforme proprietarie sviluppate negli ultimi 2-3 anni. Senza inventario, nessuna governance è possibile. La prima cosa che facciamo è proprio quella.

/ FRAMEWORK

Sei componenti del framework, calibrati per la vostra dimensione

01 / 06

AI Inventory

Censimento completo dei sistemi AI in uso: proprietari, di terze parti, embedded in SaaS, utilizzati ad hoc dal personale. Classificazione per livello di rischio.

02 / 06

AI Policy aziendale

Politica scritta su uso accettabile, autorizzazioni, vendor approvati, data handling. Va comunicata, formata, accettata dal personale.

03 / 06

Risk Register

Per ogni sistema AI: profilo di rischio (privacy, sicurezza, accuracy, bias, conformità), mitigation in essere, gap da chiudere, responsabile, scadenza.

04 / 06

Documentation tecnica

Per sistemi ad alto rischio: technical documentation, data governance, monitoring plan, conformity assessment, registrazione nel database UE.

05 / 06

Human Oversight design

Definizione operativa di chi controlla l'AI, come, con quale frequenza. Non basta dire 'c'è supervisione umana' — serve un processo verificabile.

06 / 06

Incident Management

Cosa succede quando l'AI sbaglia in modo significativo: detection, escalation, mitigazione, notifica regulator (entro 15 giorni per high-risk), post-mortem, learning.

Sistemi proibiti dal 2 febbraio 2025: social scoring di stato, manipulation cognitiva subliminale, biometric categorization su attributi sensibili, predictive policing puro, scraping massivo di volti per database biometrici. La maggior parte delle aziende italiane non ne ha — ma vale la pena verificare di non averli involontariamente (es. tramite SaaS).

/ METODOLOGIA

Come si svolge un progetto AI Governance

  1. 1

    Fase 1 — AI Inventory (1-2 settimane)

    Workshop con IT, Procurement, HR, Marketing, Operations. Survey strutturato a tutto il personale. Audit dei SaaS in uso e verifica componenti AI embedded. Output: censimento di 30-100+ sistemi AI (numeri tipici).

  2. 2

    Fase 2 — Risk classification (1 settimana)

    Per ogni sistema: classificazione AI Act + GDPR + settore-specifica. Identificazione sistemi ad alto rischio (focus dell'effort successivo). Identificazione sistemi proibiti (azione immediata: dismissione).

  3. 3

    Fase 3 — Gap analysis (1-2 settimane)

    Per ogni sistema rilevante: cosa è in compliance, cosa manca. Documentation gap per i sistemi ad alto rischio. Process gap: human oversight, incident response, monitoring. Priorità di remediation.

  4. 4

    Fase 4 — Remediation plan (1 settimana)

    Roadmap 6-12 mesi per chiudere i gap. Identificazione vendor da sostituire (sistemi proibiti, vendor non conformi). Budget e responsabilità per ogni intervento. Quick wins (azioni immediate) vs interventi strutturali.

/ DELIVERABLE

Cosa rimane con voi

  • AI Inventory completo in formato spreadsheet
  • Risk register prioritizzato
  • AI Policy aziendale scritta (template + adattamento)
  • Gap analysis per sistemi ad alto rischio
  • Roadmap remediation 6-12 mesi
  • Documentation template per sistemi futuri
  • Training materials per AI literacy del personale
  • Presentazione executive per board
/ FAQ

Domande frequenti

No, per due ragioni. La prima: alcune scadenze sono già passate (febbraio 2025 per sistemi proibiti e AI literacy). La seconda, più pragmatica: l'AI Inventory richiede 4-8 settimane di lavoro, la remediation 6-12 mesi. Chi parte ora arriva pronto. Chi parte a fine 2026 corre in emergenza con costi 2-3x.
No. GDPR e AI Act sono normative separate con perimetri sovrapposti ma distinti. GDPR copre il trattamento dati personali; AI Act copre l'uso di sistemi AI a prescindere dal trattamento dati. Un sistema AI può essere GDPR-compliant e AI Act non-compliant, e viceversa. Servono entrambi i framework.
HR (selezione personale), banking & finance (credit scoring, antifrode), assicurazioni (pricing, claims), healthcare (diagnostica, triage), education, infrastrutture critiche. PA in generale è esposta su molti versanti. Manifatturiero e logistica sono meno esposti come 'rischio alto' ma hanno comunque obblighi su trasparenza e literacy.
Sì. Tutti i progetti AI che sviluppiamo (Agent, RAG, Conversational AI) sono progettati per essere conformi by design — audit trail, human oversight, documentation, monitoring sono parte del costo base. Per i nostri clienti che usano il nostro Framework, i sistemi sviluppati da noi sono già 'pronti' — la documentation è generata dal processo di sviluppo.
/ Parliamone

Pronti a mettere ordine nell'AI di azienda?

Una call di 30 minuti per dimensionare l'inventory e il framework. Poi una proposta scritta entro 5 giorni lavorativi.

  • +39 050 500525
  • info@holocron.it
  • Pisa · Milano