L'AI senza governance è un rischio in attesa di causa.
Framework di AI governance per essere conformi a EU AI Act, GDPR, NIS2 e altre normative settoriali. Inventario sistemi AI, classificazione rischio, documentation obbligatoria, audit trail, human oversight, incident response.
L'EU AI Act non è 'futuro'. È adesso, e mancano i framework di adeguamento.
L'EU AI Act è entrato in vigore il 1 agosto 2024 con applicazione progressiva. Le scadenze rilevanti per le aziende italiane: febbraio 2025 (sistemi proibiti completamente vietati, obblighi di AI literacy del personale), agosto 2025 (obblighi sui modelli general-purpose), agosto 2026 (sistemi ad alto rischio operativi), agosto 2027 (sistemi ad alto rischio già in uso). Non sono date lontane.
Le sanzioni previste sono enormi: fino a 35 milioni di euro o 7% del fatturato globale per le violazioni più gravi. Più rilevante per le PMI italiane: l'assenza di governance documentata significa che nel momento di un controllo, di un incidente, di una causa civile, mancano gli strumenti per dimostrare diligenza.
Il problema operativo è che il 90% delle aziende italiane oggi non sa nemmeno quanti sistemi AI ha in uso. C'è AI in molti SaaS (CRM, gestionali HR, sistemi marketing), in tool usati autonomamente dal personale (ChatGPT, Copilot, Gemini), in piattaforme proprietarie sviluppate negli ultimi 2-3 anni. Senza inventario, nessuna governance è possibile. La prima cosa che facciamo è proprio quella.
Sei componenti del framework, calibrati per la vostra dimensione
AI Inventory
Censimento completo dei sistemi AI in uso: proprietari, di terze parti, embedded in SaaS, utilizzati ad hoc dal personale. Classificazione per livello di rischio.
AI Policy aziendale
Politica scritta su uso accettabile, autorizzazioni, vendor approvati, data handling. Va comunicata, formata, accettata dal personale.
Risk Register
Per ogni sistema AI: profilo di rischio (privacy, sicurezza, accuracy, bias, conformità), mitigation in essere, gap da chiudere, responsabile, scadenza.
Documentation tecnica
Per sistemi ad alto rischio: technical documentation, data governance, monitoring plan, conformity assessment, registrazione nel database UE.
Human Oversight design
Definizione operativa di chi controlla l'AI, come, con quale frequenza. Non basta dire 'c'è supervisione umana' — serve un processo verificabile.
Incident Management
Cosa succede quando l'AI sbaglia in modo significativo: detection, escalation, mitigazione, notifica regulator (entro 15 giorni per high-risk), post-mortem, learning.
Sistemi proibiti dal 2 febbraio 2025: social scoring di stato, manipulation cognitiva subliminale, biometric categorization su attributi sensibili, predictive policing puro, scraping massivo di volti per database biometrici. La maggior parte delle aziende italiane non ne ha — ma vale la pena verificare di non averli involontariamente (es. tramite SaaS).
Come si svolge un progetto AI Governance
- 1
Fase 1 — AI Inventory (1-2 settimane)
Workshop con IT, Procurement, HR, Marketing, Operations. Survey strutturato a tutto il personale. Audit dei SaaS in uso e verifica componenti AI embedded. Output: censimento di 30-100+ sistemi AI (numeri tipici).
- 2
Fase 2 — Risk classification (1 settimana)
Per ogni sistema: classificazione AI Act + GDPR + settore-specifica. Identificazione sistemi ad alto rischio (focus dell'effort successivo). Identificazione sistemi proibiti (azione immediata: dismissione).
- 3
Fase 3 — Gap analysis (1-2 settimane)
Per ogni sistema rilevante: cosa è in compliance, cosa manca. Documentation gap per i sistemi ad alto rischio. Process gap: human oversight, incident response, monitoring. Priorità di remediation.
- 4
Fase 4 — Remediation plan (1 settimana)
Roadmap 6-12 mesi per chiudere i gap. Identificazione vendor da sostituire (sistemi proibiti, vendor non conformi). Budget e responsabilità per ogni intervento. Quick wins (azioni immediate) vs interventi strutturali.
Cosa rimane con voi
- AI Inventory completo in formato spreadsheet
- Risk register prioritizzato
- AI Policy aziendale scritta (template + adattamento)
- Gap analysis per sistemi ad alto rischio
- Roadmap remediation 6-12 mesi
- Documentation template per sistemi futuri
- Training materials per AI literacy del personale
- Presentazione executive per board
