Checklist interattiva per verificare la tua conformità all'AI Act in base al tuo ruolo nell'organizzazione. DPO, HR Director, CIO, CdA e dirigenti di PMI.
L’errore più frequente di fronte all’AI Act: credere che un solo dipartimento possa gestire la conformità da solo. Il DPO non può fare tutto. Nemmeno il CIO. La conformità all’AI Act mobilita competenze giuridiche, tecniche, HR e strategiche — può riuscire solo se ogni ruolo assume le proprie responsabilità specifiche.
Questo capitolo ti propone una checklist interattiva per ruolo per identificare con precisione ciò che ti riguarda e monitorare i tuoi progressi.
Il DPO (o il responsabile della conformità) svolge un ruolo centrale. Deve inventariare tutti i sistemi di IA, classificarli secondo i livelli di rischio definiti dal regolamento e assicurarsi che le pratiche vietate non vengano utilizzate nell’organizzazione.
È anche il collegamento tra la direzione, il CIO e l’HR Director: coordina gli sforzi e prepara le prove in vista di un eventuale audit. In Italia, il DPO dovrà interagire con diverse autorità competenti — dal Garante per la protezione dei dati personali per gli aspetti legati ai dati, all’AgID (Agenzia per l’Italia Digitale) per le implicazioni sulla trasformazione digitale, fino all’ACN (Agenzia per la Cybersicurezza Nazionale) per i requisiti di sicurezza.
Articolo 26, paragrafo 5 — Règlement (UE) 2024/1689
I deployer di sistemi di IA ad alto rischio monitorano il funzionamento del sistema di IA ad alto rischio sulla base delle istruzioni per l’uso e […] informano il fornitore o il distributore e la pertinente autorità di sorveglianza del mercato.
L’Articolo 4 pone la formazione sull’IA al centro della conformità. L’HR Director è la persona meglio posizionata per implementare un programma di sviluppo delle competenze adattato a ogni profilo di collaboratore.
Questo va oltre l’organizzazione di un webinar. Bisogna poter documentare il percorso formativo, misurare i risultati e produrre prove che il livello di competenza in IA sia proporzionato al ruolo di ciascuno.
📄AI Act Articolo 4: l'obbligo di formazione sull'IA spiegato→Il CIO ha la responsabilità di mappare tutti i sistemi di IA impiegati — compresi quelli adottati dalle aree aziendali senza approvazione (shadow AI). Per ogni sistema classificato ad alto rischio, deve implementare la documentazione tecnica, garantire la tracciabilità delle decisioni algoritmiche e integrare i meccanismi di supervisione umana richiesti.
La sfida più frequente: gli strumenti di IA integrati in software di terze parti (CRM, ERP, suite per l’ufficio). Il CIO deve identificare questi componenti IA “invisibili” e verificare il loro livello di rischio. Per le aziende italiane, questo è particolarmente rilevante per i sistemi utilizzati da enti come INPS o Agenzia delle Entrate, dove l’automazione dei processi tramite IA è in forte espansione.
📄Shadow IT in azienda: rischi e soluzioni nel 2026→La direzione deve validare la strategia di conformità, allocare i budget (in particolare per la formazione dell’Articolo 4) e nominare un responsabile AI Act. Monitora l’avanzamento tramite un cruscotto di conformità e anticipa le scadenze normative per evitare brutte sorprese.
Il rischio principale per il CdA: la sottostima del budget. La conformità all’AI Act ha un costo — ma è di gran lunga inferiore alle sanzioni potenziali (fino a 35 milioni di euro o il 7% del fatturato mondiale).
Le PMI non sono esenti dall’AI Act. Ma l’approccio deve essere proporzionato: identificare se l’azienda utilizza sistemi di IA (anche indirettamente tramite software di terze parti), formare i team sulle buone pratiche, verificare la conformità dei fornitori e documentare gli utilizzi.
Per una PMI, la priorità assoluta è l’Articolo 4: un programma di formazione documentato, anche semplice, basta a dimostrare la buona fede dell’organizzazione.
Seleziona il tuo ruolo e spunta le azioni già completate. Il tuo avanzamento è salvato localmente nel tuo browser — puoi tornarci in qualsiasi momento.
Selectionnez votre role :
La checklist per ruolo è utile per chiarire le responsabilità individuali. Ma la conformità all’AI Act richiede un coordinamento attivo tra le funzioni. Ecco i meccanismi essenziali.
Riunisci DPO, HR Director, CIO e un membro del CdA in un comitato dedicato che si riunisce mensilmente. L’obiettivo: condividere i progressi, sbloccare gli ostacoli e decidere le priorità. Senza questo comitato, ogni funzione avanza in silo e i punti ciechi si moltiplicano.
Il DPO coordina, il CIO fornisce la mappatura tecnica, l’HR Director identifica gli utilizzi aziendali. L’inventario deve essere unico, condiviso e aggiornato regolarmente. Un foglio di calcolo può bastare per iniziare — l’importante è che esista e sia completo.
Il programma formativo guidato dall’HR Director deve essere calibrato in base alla classificazione dei rischi stabilita dal DPO. I collaboratori che utilizzano sistemi ad alto rischio hanno bisogno di una formazione più approfondita rispetto a chi usa un semplice assistente conversazionale.
Non aspettare un’ispezione per costruire il tuo fascicolo. Ogni azione di conformità deve essere documentata con data, responsabile e deliverable. L’onere della prova spetta all’organizzazione: sta a te dimostrare di aver agito.
📄Governance IA in azienda: 5 passi per strutturarsi→La sfida della tracciabilità
L’AI Act non chiede la perfezione — chiede la prova dello sforzo. Un programma di formazione documentato, un inventario dei sistemi di IA aggiornato, verbali di un comitato di conformità: questi elementi costituiscono la tua prima linea di difesa in caso di ispezione. L’assenza totale di documentazione è, al contrario, una mancanza conclamata.