Checklist Conformità AI 2026: EU AI Act, GDPR, ISO 42001 e Oltre

La conformità AI non è più un problema con un singolo framework. Le organizzazioni che operano nel 2026 devono soddisfare obblighi attraverso molteplici framework che si intersecano simultaneamente: l'EU AI Act, il GDPR (che si applica ai sistemi AI che trattano dati personali), ISO 42001 (lo standard per i sistemi di gestione dell'AI), il NIST AI RMF (per le organizzazioni allineate agli USA) e le normative settoriali specifiche in finanza, sanità e infrastrutture.

Per le aziende italiane, questo panorama normativo è particolarmente rilevante: l'Italia opera pienamente nel perimetro europeo, con il Garante Privacy tra le autorità di protezione dei dati più attive in Europa e AGID/ACN come autorità di vigilanza designate per l'EU AI Act.

Questa checklist fornisce un riferimento di conformità unificato. È organizzata per framework e progettata per essere utilizzata dai team di compliance che conducono revisioni trimestrali, dal consulente legale che valuta i deployment AI e dai team di prodotto che si preparano per le security review dei procurement enterprise.

Come Usare Questa Checklist

Ogni sezione copre un framework. Le voci sono contrassegnate con il ruolo organizzativo principalmente responsabile:

  • [Legale/Compliance]: Policy, documentazione, monitoraggio degli obblighi normativi
  • [Tecnico]: Ingegneria, architettura, sicurezza e data science
  • [Governance]: Senior management, AI Review Board, responsabilità executive
  • [Operazioni]: Gestione quotidiana e monitoraggio dei sistemi AI

Monitoraggio dello stato: Assegna a ogni voce uno di questi stati:

  • FATTO: Pienamente implementato con evidenza documentata
  • IN CORSO: Implementazione in corso con data di completamento target
  • GAP: Non ancora avviato — richiede un piano di remediation

Esegui questa checklist rispetto al tuo inventario di sistemi AI. Non ogni voce si applica a ogni sistema — usa le note di contesto per determinare l'applicabilità.

Sezione 1: Fondazione — Struttura di Governance AI

Prima di verificare i requisiti specifici del framework, verifica che questi elementi di governance fondazionali siano in atto. Le lacune qui si propagano in ogni altra sezione.

1.1 Inventario AI

  • [Governance] Esiste un inventario completo e aggiornato di tutti i sistemi AI in uso o in sviluppo.
  • [Governance] Ogni sistema AI ha un AI System Owner nominato con responsabilità documentata.
  • [Governance] L'inventario include: nome del sistema, scopo, input di dati, output, fornitore (interno/terze parti), contesto di deployment e classificazione del rischio.
  • [Governance] L'inventario viene revisionato e aggiornato almeno trimestralmente.
  • [Tecnico] I sistemi AI shadow (strumenti AI usati dai dipendenti al di fuori dei deployment sanzionati dall'IT) sono identificati tramite monitoraggio e inclusi nel perimetro.

1.2 Organo di Governance AI

  • [Governance] Esiste un AI Review Board o funzione di governance equivalente con membership definita e cadenza delle riunioni.
  • [Governance] Il Board ha autorità documentata per approvare, sospendere o fermare i deployment AI.
  • [Governance] I termini di riferimento dell'AI Review Board sono documentati e approvati dalla leadership executive.
  • [Governance] L'etica e la conformità AI è una voce permanente nell'ordine del giorno dei report executive e del consiglio di amministrazione.

1.3 AI Policy

  • [Legale/Compliance] Esiste una AI Policy organizzativa, approvata dal senior management.
  • [Legale/Compliance] La policy copre: principi di uso responsabile, usi vietati, requisiti di supervisione, segnalazione degli incidenti e standard di procurement AI di terze parti.
  • [Legale/Compliance] La policy è comunicata a tutto il personale che usa o supervisiona sistemi AI.
  • [Legale/Compliance] La policy viene revisionata almeno annualmente.

Sezione 2: Conformità EU AI Act

2.1 Pratiche AI Vietate (Articolo 5 — Applicabile dal 2 febbraio 2025)

Tutte le organizzazioni:

  • [Legale/Compliance] Hai confermato che nessun sistema AI nella tua organizzazione esegue identificazione biometrica remota in tempo reale in spazi pubblici (salvo dove legalmente autorizzato).
  • [Legale/Compliance] Hai confermato che nessun sistema AI esegue manipolazione subliminale degli individui.
  • [Legale/Compliance] Hai confermato che nessun sistema AI esegue social scoring degli individui da parte o per conto di un'autorità pubblica.
  • [Legale/Compliance] Hai confermato che nessun sistema AI è usato per inferire attributi sensibili (razza, opinioni politiche, orientamento sessuale, ecc.) attraverso la categorizzazione biometrica senza base giuridica.
  • [Legale/Compliance] Hai confermato che nessun sistema AI esegue scraping di immagini facciali da internet o CCTV senza base giuridica per costruire database di riconoscimento.
  • [Governance] Esiste una firma formale del consulente legale che conferma che non vengono usate pratiche AI vietate.

2.2 Classificazione AI ad Alto Rischio

  • [Legale/Compliance] Ogni sistema AI nel tuo inventario è stato valutato rispetto ai criteri dell'Articolo 6(1) (componente di sicurezza di un prodotto regolamentato) e dell'Articolo 6(2) / Allegato III (dominio applicativo).
  • [Legale/Compliance] Le decisioni di classificazione sono documentate con motivazione legale.
  • [Legale/Compliance] Qualsiasi rivendicazione di eccezione dell'Articolo 6(3) (non ad alto rischio nonostante il dominio Allegato III) è documentata con evidenza.
  • [Governance] Le decisioni di classificazione sono state revisionate dal consulente legale.
  • [Legale/Compliance] Esiste un processo per riclassificare i sistemi quando i casi d'uso cambiano o l'Allegato III viene modificato.

2.3 AI ad Alto Rischio — Obblighi del Provider (Articoli 9-17)

Applica questi controlli solo ai sistemi AI che SVILUPPI e metti sul mercato come ad alto rischio.

Sistema di Gestione del Rischio (Articolo 9):

  • [Tecnico] Un sistema di gestione del rischio documentato copre l'intero ciclo di vita di ogni sistema AI ad alto rischio.
  • [Tecnico] La gestione del rischio include l'identificazione, la stima, la valutazione e la mitigazione iterativa dei rischi.
  • [Tecnico] Il sistema di gestione del rischio viene revisionato e aggiornato con ogni modifica significativa del sistema.

Governance dei Dati (Articolo 10):

  • [Tecnico] I dataset di training, validazione e test sono documentati con provenienza e valutazione della qualità.
  • [Tecnico] Le pratiche di governance dei dati affrontano rilevanza, rappresentatività, accuratezza e completezza.
  • [Tecnico] La valutazione del bias dei dati di training è documentata.

Documentazione Tecnica (Articolo 11 + Allegato IV):

  • [Tecnico] Esiste una documentazione tecnica che copre tutti i 15 elementi dell'Allegato IV ed è aggiornata.
  • [Tecnico] La documentazione viene mantenuta per tutto il ciclo di vita del sistema e aggiornata per le modifiche significative.

Logging Automatico (Articolo 12):

  • [Tecnico] Il sistema AI registra automaticamente gli eventi rilevanti per l'operazione, le performance e le anomalie.
  • [Tecnico] I log sono immutabili, con timestamp e archiviati in modo sicuro.
  • [Tecnico] Il periodo di retention dei log è definito e soddisfa i requisiti normativi.

Trasparenza ai Deployer (Articolo 13):

  • [Tecnico] Le istruzioni per l'uso vengono fornite ai deployer coprendo: scopo previsto, metriche di performance, requisiti tecnici, misure di supervisione umana e requisiti di manutenzione.
  • [Legale/Compliance] Le istruzioni per l'uso vengono consegnate contrattualmente ai deployer.

Design della Supervisione Umana (Articolo 14):

  • [Tecnico] Il sistema è tecnicamente in grado di essere monitorato da persone designate.
  • [Tecnico] Le capacità di override, interruzione e arresto sono implementate e testate.
  • [Tecnico] Il sistema fornisce output interpretabili per supportare la supervisione umana.

Accuratezza e Robustezza (Articolo 15):

  • [Tecnico] Le metriche di accuratezza sono definite, misurate e dichiarate nella documentazione.
  • [Tecnico] La resilienza a errori, guasti e incongruenze è testata e documentata.
  • [Tecnico] Le misure di cybersecurity che affrontano le minacce specifiche dell'AI sono implementate.

Valutazione della Conformità (Articolo 43):

  • [Legale/Compliance] Il percorso di valutazione della conformità applicabile (auto-valutazione vs. terze parti) è stato determinato.
  • [Legale/Compliance] La valutazione della conformità è completata prima della messa sul mercato.
  • [Legale/Compliance] La marcatura CE è apposta dove richiesto.

Registrazione nel Database UE (Articolo 49):

  • [Legale/Compliance] I sistemi AI ad alto rischio sono registrati nel database AI UE prima della messa sul mercato.
  • [Legale/Compliance] Le informazioni di registrazione sono mantenute aggiornate.

2.4 AI ad Alto Rischio — Obblighi del Deployer (Articolo 26)

Applica questi controlli ai sistemi AI ad alto rischio che USI e che sono stati sviluppati da terze parti.

  • [Operazioni] Hai ricevuto e revisionato le istruzioni per l'uso del provider.
  • [Operazioni] Le persone designate per la supervisione umana sono assegnate, qualificate e formate per ogni sistema AI ad alto rischio.
  • [Operazioni] Usi il sistema solo all'interno del suo scopo previsto dichiarato dal provider.
  • [Legale/Compliance] Hai un processo per segnalare anomalie e incidenti gravi al provider.
  • [Legale/Compliance] Dove applicabile, è stata completata una Valutazione dell'Impatto sui Diritti Fondamentali (FRIA).
  • [Legale/Compliance] Dove applicabile, ti sei registrato nel database AI UE come deployer.

2.5 Obblighi Modelli GPAI (Articoli 52-56 — Applicabili dal 2 agosto 2025)

Applica se FORNISCI un modello GPAI (modello di fondazione) messo sul mercato UE.

  • [Legale/Compliance] La documentazione tecnica per il modello GPAI è mantenuta.
  • [Legale/Compliance] Una sintesi dei dati di training è pubblicata in conformità con gli obblighi sul diritto d'autore.
  • [Legale/Compliance] Le politiche per rispettare la legge sui diritti fondamentali dell'UE sono documentate.
  • [Legale/Compliance] Se il modello supera 10^25 FLOPs di compute di training o è designato come rischio sistemico dall'Ufficio AI: test avversariali condotti, processo di segnalazione degli incidenti stabilito, misure di cybersecurity implementate.

2.6 Obblighi di Trasparenza (Articolo 50)

Applica a tutti i sistemi AI che interagiscono con gli umani o generano contenuti.

  • [Tecnico] Gli utenti che interagiscono con chatbot AI o agenti virtuali sono informati che stanno comunicando con l'AI.
  • [Tecnico] I contenuti generati dall'AI (immagini, audio, video) sono contrassegnati come generati dall'AI.
  • [Tecnico] I sistemi di riconoscimento delle emozioni o categorizzazione biometrica divulgano il loro funzionamento ai soggetti.

Sezione 3: Conformità GDPR per i Sistemi AI

L'EU AI Act e il GDPR creano obblighi sovrapposti per i sistemi AI che trattano dati personali. Questa sezione copre gli obblighi GDPR specifici per l'AI.

3.1 Base Giuridica e Limitazione della Finalità

  • [Legale/Compliance] La base giuridica ai sensi dell'Articolo 6 GDPR è documentata per tutto il trattamento di dati personali nei sistemi AI.
  • [Legale/Compliance] Dove vengono trattati dati di categoria speciale (Articolo 9) nel training o nel funzionamento AI, è documentata la base giuridica aggiuntiva.
  • [Legale/Compliance] I sistemi AI trattano i dati personali solo per le finalità dichiarate — nessun utilizzo secondario senza base giuridica aggiuntiva.
  • [Tecnico] I controlli tecnici impediscono ai sistemi AI di usare i dati personali per finalità non dichiarate.

3.2 Diritti degli Interessati nei Contesti AI

  • [Legale/Compliance] Diritto Articolo 22 di non essere soggetti a decisioni basate esclusivamente su trattamento automatizzato: le decisioni influenzate dall'AI che riguardano gli individui sono identificate, e vengono implementati processi conformi (revisione umana, opt-out, opposizione).
  • [Legale/Compliance] Le informazioni significative sulla logica delle decisioni automatizzate vengono fornite agli interessati su richiesta (Articolo 15(1)(h)).
  • [Tecnico] Le richieste di cancellazione (diritto all'oblio) possono essere soddisfatte — i dati personali nei set di dati di training e negli output AI possono essere identificati e rimossi.
  • [Tecnico] Gli obblighi di portabilità dei dati sono affrontati per i dati personali trattati dall'AI.

3.3 Valutazione d'Impatto sulla Protezione dei Dati (DPIA)

  • [Legale/Compliance] Una DPIA (Articolo 35 GDPR) è stata completata per i sistemi AI che coinvolgono trattamento su larga scala di dati personali, profilazione sistematica o trattamento di categorie speciali.
  • [Legale/Compliance] Le DPIA vengono revisionate quando i sistemi AI vengono significativamente modificati.
  • [Legale/Compliance] Dove una DPIA indica un rischio residuo elevato, l'autorità di vigilanza è stata consultata (Articolo 36) — per l'Italia, il Garante Privacy.

3.4 Minimizzazione dei Dati e Retention

  • [Tecnico] I sistemi AI trattano solo i dati personali necessari per il loro scopo dichiarato.
  • [Tecnico] Le informazioni personali nei dati di training sono pseudonimizzate o anonimizzate dove possibile.
  • [Legale/Compliance] I programmi di retention per i dati di training AI e i log operativi sono definiti e applicati.
  • [Tecnico] Gli output AI contenenti dati personali sono soggetti agli stessi controlli di retention degli altri dati personali.

3.5 Responsabili del Trattamento AI di Terze Parti

  • [Legale/Compliance] I Data Processing Agreement (DPA) ai sensi dell'Articolo 28 GDPR sono in atto con tutti i vendor AI che trattano dati personali per tuo conto.
  • [Legale/Compliance] I DPA specificano l'oggetto, la durata, la natura e lo scopo del trattamento AI.
  • [Legale/Compliance] I trasferimenti di dati personali verso paesi terzi a provider AI sono coperti da salvaguardie appropriate (SCC, decisioni di adeguatezza).

Sezione 4: ISO 42001 Sistema di Gestione AI

4.1 Contesto e Ambito (Clausola 4)

  • [Governance] L'ambito dell'AIMS è formalmente definito e documentato.
  • [Legale/Compliance] Le questioni interne ed esterne rilevanti per l'AIMS sono identificate e monitorate.
  • [Governance] Le parti interessate e i loro requisiti sono identificati.
  • [Governance] Il ruolo dell'organizzazione nella catena del valore AI (provider, deployer o entrambi) è formalmente dichiarato.

4.2 Leadership (Clausola 5)

  • [Governance] Il top management dimostra l'impegno di leadership verso l'AIMS.
  • [Governance] Una AI Policy (Clausola 5.2) è stabilita, comunicata e mantenuta.
  • [Governance] Ruoli, responsabilità e autorità per la governance AI sono assegnati.

4.3 Pianificazione (Clausola 6)

  • [Legale/Compliance] I rischi e le opportunità AI sono identificati e valutati.
  • [Governance] Gli obiettivi AIMS sono stabiliti, documentati e misurabili.
  • [Governance] I piani per raggiungere gli obiettivi includono azioni, risorse, timeline e parti responsabili.

4.4 Supporto (Clausola 7)

  • [Governance] Le risorse necessarie per l'AIMS sono identificate e fornite.
  • [Operazioni] I requisiti di competenza per i ruoli che affrontano l'AI sono definiti.
  • [Operazioni] I record di formazione per il personale che affronta l'AI sono mantenuti.
  • [Legale/Compliance] La documentazione AIMS richiesta è controllata e mantenuta.

4.5 Operazione (Clausola 8)

  • [Tecnico] Le valutazioni dell'impatto dei sistemi AI sono condotte per i sistemi nel perimetro.
  • [Tecnico] La documentazione dei sistemi AI (Allegato A, Controllo 8.1) è mantenuta per tutti i sistemi.
  • [Tecnico] I meccanismi di supervisione umana sono implementati e documentati.
  • [Legale/Compliance] Il processo di due diligence per i provider AI di terze parti è documentato e operativo.

4.6 Valutazione delle Performance (Clausola 9)

  • [Governance] Gli audit AIMS interni sono condotti su un programma pianificato.
  • [Governance] La revisione del management avviene a intervalli pianificati con output documentati.
  • [Operazioni] Le performance AIMS rispetto agli obiettivi sono monitorate e misurate.

4.7 Miglioramento (Clausola 10)

  • [Operazioni] Le non conformità sono identificate, documentate e affrontate attraverso azioni correttive.
  • [Operazioni] L'analisi della causa radice è condotta per le non conformità significative.
  • [Governance] Il miglioramento continuo dell'AIMS è attivamente perseguito.

Sezione 5: NIST AI Risk Management Framework

5.1 Funzione GOVERN

  • [Governance] I ruoli e le responsabilità organizzative per il rischio AI sono definiti (GOVERN 1.1).
  • [Governance] La tolleranza al rischio AI è documentata e comunicata (GOVERN 1.2).
  • [Governance] Le politiche organizzative per l'AI responsabile sono stabilite e mantenute (GOVERN 2.1).
  • [Legale/Compliance] I requisiti legali, normativi e contrattuali del rischio AI sono identificati (GOVERN 4.1).

5.2 Funzione MAP

  • [Tecnico] Il contesto organizzativo per ogni sistema AI è documentato (MAP 1.1).
  • [Tecnico] I rischi scientifici e tecnologici di ogni sistema AI sono identificati (MAP 1.5).
  • [Tecnico] I rischi AI specifici per individui, comunità e società sono mappati (MAP 2.1).
  • [Tecnico] Gli impatti sul ciclo di vita AI da dati e modelli di terze parti sono identificati (MAP 3.1).

5.3 Funzione MEASURE

  • [Tecnico] I metodi e le metriche per misurare il rischio AI sono stabiliti (MEASURE 1.1).
  • [Tecnico] Le performance dei sistemi AI sono valutate prima e dopo il deployment (MEASURE 2.2).
  • [Tecnico] I test del bias sono condotti usando metodi appropriati al caso d'uso (MEASURE 2.7).
  • [Tecnico] La resilienza dei sistemi AI agli input avversariali è testata (MEASURE 2.8).

5.4 Funzione MANAGE

  • [Operazioni] Le risposte al rischio AI, inclusi i piani di risposta al rischio, sono documentate (MANAGE 1.1).
  • [Operazioni] I rischi residui dopo il trattamento sono monitorati su base continuativa (MANAGE 1.3).
  • [Operazioni] I meccanismi di feedback da utenti e comunità colpite sono stabiliti (MANAGE 4.1).
  • [Governance] Le procedure di monitoraggio e escalation del rischio AI sono testate (MANAGE 2.2).

Sezione 6: Conformità Settoriale Specifica

6.1 Servizi Finanziari (UE: Linee Guida EBA AI, DORA, MiFID II)

  • [Legale/Compliance] I sistemi AI usati nelle decisioni di credito sono conformi alle linee guida EBA sulla gestione del rischio dei modelli di machine learning.
  • [Legale/Compliance] I sistemi AI usati nel trading o nella consulenza agli investimenti sono conformi ai requisiti MiFID II per i controlli del trading algoritmico.
  • [Tecnico] I sistemi AI coperti da DORA (Digital Operational Resilience Act) sono inclusi nella gestione del rischio ICT.
  • [Legale/Compliance] I processi di validazione dei modelli per i sistemi AI finanziari sono documentati e condotti da funzioni indipendenti.

6.2 Sanità (MDR UE, IVDR, AI Clinica)

  • [Legale/Compliance] I dispositivi medici AI o gli IVD sono registrati ai sensi del MDR/IVDR e conformi ai requisiti degli organismi notificati pertinenti.
  • [Legale/Compliance] Gli strumenti AI clinici nei ruoli di diagnosi o raccomandazione terapeutica sono soggetti a validazione clinica.
  • [Tecnico] La sorveglianza post-mercato per i dispositivi medici AI include il monitoraggio delle performance specifico per l'AI.

6.3 Settore Pubblico

  • [Legale/Compliance] Le Valutazioni dell'Impatto sui Diritti Fondamentali (FRIA) sono completate per i deployment AI ad alto rischio.
  • [Legale/Compliance] Il procurement di sistemi AI dai vendor include la due diligence sulla conformità AI.
  • [Governance] I sistemi AI rivolti al pubblico includono la divulgazione dell'uso AI in conformità con gli obblighi di trasparenza.

Sezione 7: Sicurezza AI e Risposta agli Incidenti

  • [Tecnico] Il threat model specifico per l'AI è documentato coprendo input avversariali, prompt injection, estrazione del modello e data poisoning.
  • [Tecnico] I sistemi AI sono inclusi nel programma di vulnerability management dell'organizzazione.
  • [Tecnico] I controlli di accesso per i dati di training AI, i pesi del modello e l'infrastruttura di inferenza sono implementati e revisionati.
  • [Operazioni] Esiste una procedura di risposta agli incidenti AI: i passi di rilevamento, contenimento, investigazione, notifica e recupero sono documentati.
  • [Operazioni] Il personale sa come segnalare gli incidenti AI — inclusi output AI inaspettati, sospetti attacchi avversariali e violazioni dei dati legate all'AI.
  • [Legale/Compliance] Gli obblighi di segnalazione degli incidenti gravi ai sensi dell'Articolo 73 dell'EU AI Act sono compresi e i processi sono stabiliti.
  • [Legale/Compliance] Gli incidenti AI che costituiscono anche violazioni di dati personali sono segnalati ai sensi dell'Articolo 33 GDPR entro 72 ore — in Italia, al Garante Privacy.

Master Status Dashboard

Usa questa tabella per tracciare la postura complessiva di conformità attraverso i framework.

Framework Voci Totali FATTO IN CORSO GAP % Completo
Fondazione Governance 15
EU AI Act — Vietate 6
EU AI Act — Alto Rischio Provider 22
EU AI Act — Alto Rischio Deployer 7
EU AI Act — Trasparenza 3
GDPR per AI 18
ISO 42001 22
NIST AI RMF 12
Settoriale Specifica Variabile
Sicurezza AI 7

Soglia di allerta: Qualsiasi framework sotto il 60% di completamento richiede un piano di remediation immediato con escalation executive.

Come Knowlee Aiuta a Colmare i Gap di Conformità

Molte voci in questa checklist richiedono capacità tecniche che devono essere integrate nella tua piattaforma AI — non aggiunte in seguito. Knowlee fornisce:

  • Audit logging automatico e immutabile: Affronta direttamente il logging dell'Articolo 12, la responsabilità GDPR e i requisiti di evidenza della Clausola 9 di ISO 42001.
  • Workflow human-in-the-loop: I gate di approvazione configurabili soddisfano la supervisione umana dell'Articolo 14 e la conformità all'Articolo 22 GDPR.
  • Tracce di spiegabilità: Ogni output include catene di ragionamento e citazioni delle fonti — soddisfacendo le voci di checklist di trasparenza e responsabilità.
  • Gestione dei dati allineata al GDPR: Minimizzazione dei dati, controlli di retention e supporto ai diritti degli interessati integrati nella piattaforma.
  • Certificazione SOC 2 Type II: Verifica di terze parti dei controlli di sicurezza — direttamente rilevante per le voci di sicurezza della Sezione 7.

[link:/glossary/ai-act] | [link:/glossary/iso-42001] | [link:/glossary/trustworthy-ai]

FAQ: Checklist Conformità AI

D: Con quale frequenza dovremmo eseguire questa checklist?

La checklist completa dovrebbe essere eseguita annualmente come parte del ciclo di revisione della governance AI. Le singole sezioni dovrebbero essere attivate da eventi specifici: un nuovo deployment AI (esegui la checklist completa per quel sistema), un aggiornamento normativo (esegui le sezioni interessate per tutti i sistemi), un incidente AI (esegui le sezioni sicurezza e GDPR), o una modifica significativa del sistema (esegui le sezioni di classificazione e obblighi del provider).

D: Tutte le voci della checklist si applicano a ogni sistema AI?

No. La checklist è un riferimento completo, non un requisito universale. Le voci dovrebbero essere applicate in base alle caratteristiche specifiche del sistema AI: la sua classificazione del rischio, se sei provider o deployer, quali dati tratta e in quale settore operi. Le note di contesto in tutta la checklist guidano l'applicabilità.

D: Cosa conta come "modifica significativa" che innesca la riclassificazione?

L'EU AI Act non definisce la "modifica sostanziale" con precisione matematica, ma la guida della Commissione indica che le modifiche che influenzano lo scopo previsto del sistema, le metriche di performance, le proprietà di sicurezza o il profilo di rischio sono sostanziali. Il re-training su nuovi dati, l'aggiunta di nuovi casi d'uso o il cambiamento della popolazione utente target richiedono tipicamente una revisione della riclassificazione.

D: Usiamo AI incorporata in prodotti SaaS di terze parti (CRM, ERP, strumenti di produttività). Queste rientrano nel perimetro?

Sì, se quelle capacità AI vengono utilizzate in modi che rientrano nei domini dell'Allegato III o comportano un trattamento su larga scala di dati personali. Molte organizzazioni hanno un'esposizione AI significativa attraverso funzionalità incorporate nel software esistente che non è mai stato inventariato. La checklist dell'inventario AI fondazionale (Sezione 1.1) dovrebbe catturare tutte le capacità AI, incluse quelle incorporate in prodotti di terze parti.

D: Come gestiamo la sovrapposizione tra GDPR e EU AI Act sul processo decisionale automatizzato?

I due framework sono esplicitamente progettati per coesistere. L'EU AI Act non modifica gli obblighi GDPR — li integra. Dove entrambi si applicano, devi soddisfare entrambi. I requisiti di supervisione umana dell'EU AI Act (Articolo 14) e gli obblighi dell'Articolo 22 GDPR hanno una sovrapposizione significativa: entrambi richiedono una revisione umana significativa per le decisioni automatizzate consequenziali. Una singola implementazione tecnica (gate di approvazione umana nei workflow AI) può soddisfare entrambi, a condizione che sia documentata come che serve a entrambe le finalità.