Guide Pratiche
ISO 42001 e AI Act: come preparare una PMI italiana a un audit sull'intelligenza artificiale
SO/IEC 42001 e AI Act: guida pratica per PMI italiane su audit, documenti, ruoli e certificazione volontaria dei sistemi di gestione AI.
Redazione PMI Digital Lab
14 min

PMI DIGITAL LAB
In questa guida
• Da dove iniziare • Esempi pratici • Errori da evitare
Da ricordare
Cosa devono sapere davvero le piccole e medie imprese italiane su AI Act, GDPR e certificazione volontaria ISO/IEC 42001, tra obblighi normativi, requisiti dello standard e buone pratiche organizzative.
Introduzione
Fino a poco tempo fa, "audit sull'intelligenza artificiale" riguardava quasi solo grandi gruppi tecnologici. Oggi non è più così: sempre più PMI italiane usano AI generativa, sistemi di scoring, chatbot o software predittivi nei processi quotidiani, e sempre più spesso clienti, banche o capofiliera chiedono di dimostrare che questi strumenti sono governati in modo responsabile.
Questo articolo spiega, con un approccio prudente e senza promesse assolute, che cos'è un AI Management System, cosa prevede la norma volontaria ISO/IEC 42001, come si collega ad AI Act e GDPR, e come una PMI può prepararsi a un audit — interno, richiesto da un cliente, o di certificazione vera e propria.
Avvertenza importante: questo articolo ha finalità informativa e non costituisce consulenza legale personalizzata. Le modalità concrete di audit e gli obblighi applicabili variano in base al perimetro aziendale, al settore, al livello di rischio dei sistemi AI utilizzati e all'organismo o schema di certificazione scelto. Per situazioni specifiche è opportuno rivolgersi a un legale o consulente qualificato.
1. Perché l'audit AI riguarda anche le PMI
Le PMI raramente sviluppano AI da zero: la utilizzano, integrandola in CRM, gestionali o piattaforme di terze parti. Questo non le esclude da responsabilità: l'AI Act attribuisce obblighi anche a chi "impiega" un sistema AI (il deployer), distinti da quelli del fornitore (provider). Molte PMI ricevono inoltre richieste di due diligence da banche, capofiliera o clienti internazionali sulla governance dell'AI usata nei processi che li riguardano, anche senza un obbligo diretto.
2. AI Act, GDPR e ISO/IEC 42001: cosa sono e cosa non sono
AI Act (Regolamento UE 2024/1689): è una legge europea vincolante, direttamente applicabile in tutti gli Stati membri. Impone obblighi differenziati in base al livello di rischio del sistema AI.
GDPR (Regolamento UE 2016/679): è la normativa vincolante sulla protezione dei dati personali. Si applica ogni volta che un sistema AI tratta dati personali, indipendentemente dal fatto che sia o meno "ad alto rischio" ai sensi dell'AI Act.
ISO/IEC 42001:2023: è uno standard tecnico volontario, pubblicato da ISO/IEC nel dicembre 2023 (recepito in Italia come UNI CEI ISO/IEC 42001), che specifica i requisiti per stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione dell'intelligenza artificiale (AI Management System, AIMS) all'interno di un'organizzazione. Non è una legge, non sostituisce alcun obbligo normativo e la sua adozione non garantisce automaticamente la conformità all'AI Act o al GDPR.
Questi tre strumenti operano su piani diversi e complementari: l'AI Act e il GDPR definiscono obblighi legali; ISO/IEC 42001 offre un framework organizzativo che può aiutare a strutturare la governance necessaria per rispettarli, ma resta uno strumento di gestione, non un requisito di legge.
Box pratico — AI literacy (articolo 4 AI Act): provider e deployer devono adottare misure per assicurare un livello sufficiente di alfabetizzazione AI delle persone che usano o gestiscono sistemi AI per loro conto. Non serve un corso identico per tutti: formazione e istruzioni vanno proporzionate a ruolo, strumento e rischio.
3. Che cos'è un AI Management System
Un AI Management System è, secondo la definizione ISO, un insieme di elementi correlati o interagenti di un'organizzazione, finalizzati a stabilire politiche, obiettivi e processi per raggiungere tali obiettivi in relazione allo sviluppo, alla fornitura o all'uso responsabile dei sistemi AI. In pratica, è la struttura organizzativa — ruoli, policy, procedure, controlli, documentazione, monitoraggio — con cui un'azienda governa i propri sistemi AI lungo l'intero ciclo di vita, dalla selezione del fornitore alla dismissione del sistema.
Non riguarda la tecnologia in sé, ma come l'organizzazione la governa: chi decide, chi controlla, quali evidenze si conservano, come si gestiscono errori e incidenti.
4. ISO/IEC 42001: certificazione volontaria, utile per la governance
La norma UNI CEI ISO/IEC 42001 è il primo standard internazionale per la certificazione volontaria dei sistemi di gestione dell'intelligenza artificiale. Nessuna fonte normativa ufficiale la rende obbligatoria per le PMI italiane: resta una scelta aziendale, motivata da governance interna, richieste contrattuali o volontà di dimostrare un uso responsabile dell'AI.
La certificazione è effettuata da organismi di certificazione indipendenti, che possono essere accreditati da organismi nazionali di accreditamento: ISO stessa non certifica alcuna organizzazione. È importante distinguere:
Certificazione accreditata: rilasciata da un organismo di certificazione che ha ottenuto, per lo specifico schema ISO/IEC 42001, un accreditamento da parte di un ente nazionale di accreditamento (in Italia, ACCREDIA). Offre il livello più elevato di riconoscibilità, imparzialità verificata e comparabilità internazionale.
Certificazione non accreditata: può comunque essere rilasciata da organismi di certificazione competenti, ma senza la supervisione indipendente di un ente di accreditamento. Non è di per sé priva di valore, ma offre minori garanzie di terzietà verificata rispetto a una certificazione accreditata.
Una PMI che voglia il massimo livello di riconoscibilità dovrebbe rivolgersi a un organismo accreditato per lo schema ISO/IEC 42001 applicabile, verificabile nei registri pubblici dell'ente di accreditamento.
Rapporto con altri standard ISO (senza sovrapposizioni): ISO/IEC 27001 riguarda la sicurezza delle informazioni; ISO/IEC 27701 estende la gestione della privacy; ISO 31000 fornisce principi generali di risk management; ISO 9001 riguarda la qualità dei processi. ISO/IEC 42001 è distinta da tutte, pur potendo integrarsi con sistemi già esistenti (in particolare ISO/IEC 27001, con struttura ad alto livello condivisa Annex SL). Un confronto quantitativo tra i requisiti richiede un'analisi caso per caso, non generalizzabile.
5. Chi effettua gli audit e chi può rilasciare una certificazione
Operano tre soggetti distinti: l'organismo di accreditamento (in Italia ACCREDIA), che verifica che gli organismi di certificazione siano competenti e imparziali secondo ISO/IEC 17021-1, integrata da ISO/IEC 42006 per lo schema AI — Accredia ha avviato l'accreditamento degli organismi che certificano i sistemi di gestione dell'intelligenza artificiale secondo la norma UNI CEI ISO/IEC 42001, e in Italia sono già stati rilasciati i primi accreditamenti; gli organismi di certificazione, che conducono gli audit e rilasciano il certificato (accreditati o meno); i consulenti, che aiutano l'azienda a prepararsi ma non possono certificarla, per evitare conflitti d'interesse.
Una PMI può verificare se un organismo è accreditato per lo schema ISO/IEC 42001 nei registri pubblici di ACCREDIA prima di avviare un percorso.
6. Quando si svolgono gli audit: iniziale, sorveglianza, ricertificazione
Il percorso di certificazione accreditata segue tipicamente questa sequenza, comune anche ad altri standard di sistema di gestione come ISO 27001 o ISO 9001: Stage 1 (revisione documentale e verifica della maturità del sistema); Stage 2 (verifica sul campo dell'effettiva implementazione, con interviste e analisi delle evidenze); audit di sorveglianza, solitamente annuali; ricertificazione, tipicamente ogni tre anni, con una verifica ampia paragonabile a un nuovo audit iniziale.
Le tempistiche esatte, i giorni-uomo e la cadenza dipendono dalle dimensioni dell'azienda, dalla complessità dei sistemi AI in perimetro e dalle regole dell'organismo scelto: non esiste una durata standard valida per tutte le PMI.
7. Caso pratico: TecnoService Srl e i tre sistemi AI
Esempio illustrativo fittizio, con finalità puramente didattica.
TecnoService Srl è una PMI italiana B2B di circa 50 dipendenti, attiva nella manutenzione industriale. Utilizza tre sistemi AI diversi, con valutazioni distinte.
Sistema 1 — Classificazione e assegnazione automatica dei ticket di assistenza
Finalità: smistare le richieste in base a urgenza e competenza tecnica richiesta.
Dati trattati: testo del ticket, contatti del cliente, storico interventi.
Dati da non inserire: dati sanitari o giudiziari di terzi, credenziali di accesso ai sistemi dei clienti.
Possibile ruolo AI Act: deployer di un sistema fornito da terzi.
Rischi principali: errori di priorità su guasti critici, bias nell'assegnazione tra tecnici.
Controlli organizzativi: revisione umana delle assegnazioni ad alta urgenza, referente interno.
Controlli tecnici: log delle assegnazioni, override manuale, monitoraggio periodico degli errori.
Supervisione umana: l'operatore può sempre riclassificare manualmente il ticket.
Verifiche GDPR/DPIA: valutazione preliminare; DPIA solo se emergono indicatori di rischio elevato secondo i criteri di Garante ed EDPB.
Documenti da conservare: scheda del sistema, contratto col fornitore, log di override, registro incidenti.
Possibili non conformità: assenza di procedura di revisione umana documentata.
Azione correttiva realistica: revisione settimanale a campione con verbale firmato.
Sistema 2 — Assistente generativo per bozze di report, email e sintesi interventi
Finalità: velocizzare la stesura di documenti tecnici e commerciali.
Dati trattati: contenuti tecnici, talvolta contatti o riferimenti a clienti.
Dati da non inserire: informazioni su contratti in negoziazione, dati personali non necessari, segreti industriali di terzi.
Possibile ruolo AI Act: deployer di un sistema generativo di terzi.
Trasparenza AI Act: l'uso per email commerciali, report tecnici o comunicazioni B2B non comporta automaticamente un obbligo di etichettatura. L'articolo 50 rileva in casi specifici, ad esempio per deepfake o testi AI pubblicati per informare il pubblico su questioni di interesse pubblico, in assenza di revisione editoriale e di un soggetto responsabile della pubblicazione.
Rischi principali: fuoriuscita di informazioni riservate nei prompt, contenuti imprecisi presentati come definitivi.
Controlli organizzativi: policy interna sull'uso degli strumenti generativi, formazione del personale.
Controlli tecnici: verifica delle condizioni contrattuali del fornitore sull'uso dei dati, eventuale disattivazione dell'addestramento sui contenuti aziendali dove disponibile.
Supervisione umana: revisione obbligatoria di ogni bozza prima dell'invio a clienti.
Verifiche GDPR/DPIA: minimizzazione dei dati inseriti nei prompt; DPIA se il trattamento presenta rischi elevati.
Documenti da conservare: policy firmata, evidenze di formazione, condizioni contrattuali del fornitore.
Possibili non conformità: assenza di policy scritta sull'uso degli strumenti generativi.
Azione correttiva realistica: adottare e far firmare una policy con esempi di dati da non inserire nei prompt.
Sistema 3 — Sistema predittivo su guasti e ricambi
Finalità: analizzare dati storici di manutenzione per segnalare probabilità di guasto o necessità di ricambi.
Dati trattati: dati tecnici di macchinari, storico interventi, talvolta dati riconducibili a operatori.
Dati da non inserire: dati personali non pertinenti, valutazioni soggettive sul personale.
Possibile ruolo AI Act: deployer; la classificazione dipende dal contesto d'uso e dalle finalità concrete, non è automatica.
Rischi principali: decisioni operative su previsioni errate senza verifica umana, uso improprio dei dati per valutare indirettamente il personale.
Controlli organizzativi: divieto esplicito di usare il sistema per valutazioni sul personale, referente tecnico responsabile.
Controlli tecnici: tracciabilità delle previsioni, soglie di confidenza documentate, test periodici di accuratezza.
Supervisione umana: il tecnico valida la previsione prima di ogni intervento programmato.
Verifiche GDPR/DPIA: valutazione su eventuale trattamento indiretto di dati riconducibili a persone fisiche; DPIA se emergono rischi elevati.
Documenti da conservare: documentazione tecnica del modello, log delle previsioni, verbali di validazione.
Possibili non conformità: assenza di test periodici di accuratezza, uso oltre lo scopo dichiarato.
Azione correttiva realistica: test trimestrali di accuratezza e formalizzazione scritta dello scopo autorizzato.
Nessuno dei tre sistemi è qui classificato automaticamente come "ad alto rischio" ai sensi dell'AI Act: la valutazione dipende dalla finalità concreta, dal contesto d'uso, dalle persone coinvolte e dalle norme applicabili, e va condotta caso per caso.
8. Come prepararsi a un audit: documenti, fornitori e AI generativa
Un auditor — interno, di un cliente o di un organismo di certificazione — può ragionevolmente chiedere: policy AI approvata dalla direzione; inventario dei sistemi AI; classificazione dei rischi; valutazioni d'impatto (incluse eventuali DPIA); registro fornitori AI; regole su gestione di dati e prompt; procedura di gestione incidenti; evidenze di formazione; ruoli e responsabilità; sistema di monitoraggio; verbali di audit interni e riesame della direzione; registro delle non conformità e azioni correttive. Le 12 schede del paragrafo 10 dettagliano ciascun ambito con obiettivi, responsabili e frequenze.
La maggior parte delle PMI non sviluppa AI proprietaria, ma usa soluzioni di terzi: serve quindi un registro fornitori AI con finalità dichiarata, base giuridica del trattamento, condizioni contrattuali su uso e localizzazione dei dati, eventuali certificazioni del fornitore e canale di segnalazione anomalie.
Un tema ricorrente negli audit è l'uso di assistenti AI generativi esterni da parte dei dipendenti. Le condizioni di utilizzo, l'eventuale impiego dei contenuti per il miglioramento dei modelli, la localizzazione dei dati e le garanzie contrattuali variano per fornitore, piano e impostazioni: l'azienda deve verificarle prima dell'adozione, senza dare per scontato alcun comportamento generico. Una policy interna dovrebbe indicare quali dati non inserire mai nei prompt (sanitari, giudiziari, segreti industriali di terzi, credenziali) e prevedere formazione periodica coerente con gli obblighi di AI literacy.
9. Errori comuni delle PMI
Policy AI trattata come documento formale mai realmente applicato.
Inventario dei sistemi AI mancante o non aggiornato, incluse le funzionalità AI integrate in software già acquistati.
Valutazione del rischio delegata interamente al fornitore, senza analisi interna.
Conformità normativa e certificazione volontaria confuse e presentate come equivalenti.
Supervisione umana non documentata, anche quando effettivamente svolta.
Percorso di certificazione avviato senza aver prima consolidato governance e processi interni.
10. Le 12 schede operative per organizzare una PMI prima di un audit AI
1. Governance e responsabilità
Obiettivo: definire chi decide e risponde delle scelte sull'AI.
Cosa organizzare: nomina di un referente o comitato AI designato dalla direzione.
Chi coinvolgere: direzione, IT, privacy, HR, qualità.
Cosa controllare: che i ruoli siano formalizzati, non solo informali.
Documenti/prove: organigramma AI, atto di nomina.
Frequenza consigliata: revisione annuale.
Errore comune: responsabilità mai attribuita esplicitamente. (Buona pratica; utile per i requisiti ISO/IEC 42001 su leadership e ruoli.)
2. Inventario dei sistemi AI
Obiettivo: sapere quali sistemi AI sono realmente in uso.
Cosa organizzare: censimento completo, inclusa l'AI integrata in software terzi.
Chi coinvolgere: IT, responsabili di funzione, acquisti.
Cosa controllare: funzionalità AI "nascoste" in strumenti già adottati.
Documenti/prove: registro sistemi AI (finalità, fornitore, dati trattati).
Frequenza consigliata: aggiornamento continuo, revisione trimestrale.
Errore comune: censire solo i sistemi "visibili". (Non è un obbligo autonomo dell'AI Act, ma un'evidenza organizzativa utile e coerente con un AIMS; requisito ISO/IEC 42001.)
3. Classificazione e valutazione dei rischi AI
Obiettivo: stabilire il livello di rischio di ciascun sistema.
Cosa organizzare: metodologia basata su finalità, contesto e persone coinvolte.
Chi coinvolgere: referente AI, privacy, legale se disponibile.
Cosa controllare: coerenza tra classificazione dichiarata e uso reale.
Documenti/prove: scheda di valutazione per sistema.
Frequenza consigliata: a ogni nuovo sistema o modifica sostanziale.
Errore comune: classificazione fatta una volta e mai aggiornata. (Non un obbligo uguale per tutte le PMI, ma l'analisi necessaria per capire ruolo e obblighi ai sensi dell'AI Act; requisito ISO/IEC 42001 sul risk management.)
4. GDPR, dati personali e DPIA
Obiettivo: garantire trattamento lecito dei dati personali.
Cosa organizzare: verifica base giuridica, minimizzazione dati, valutazione DPIA.
Chi coinvolgere: DPO (se nominato), privacy, IT.
Cosa controllare: dati personali non necessari in prompt o dataset.
Documenti/prove: registro trattamenti, DPIA se necessaria, informative aggiornate.
Frequenza consigliata: a ogni nuovo trattamento AI.
Errore comune: ritenere che l'AI Act sostituisca il GDPR. (Obbligo normativo GDPR, distinto e cumulativo rispetto all'AI Act.)
5. Gestione dei fornitori AI
Obiettivo: verificare affidabilità e garanzie contrattuali dei fornitori.
Cosa organizzare: registro fornitori con clausole su dati, sicurezza, responsabilità.
Chi coinvolgere: acquisti, legale, IT.
Cosa controllare: condizioni d'uso, localizzazione dati, eventuali certificazioni del fornitore.
Documenti/prove: contratti, DPA, schede fornitore.
Frequenza consigliata: annuale o a ogni rinnovo contrattuale.
Errore comune: non leggere le condizioni d'uso reali dello strumento. (Requisito ISO/IEC 42001 su supply chain AI; buona pratica per la due diligence GDPR.)
6. Policy per dipendenti e collaboratori
Obiettivo: definire regole chiare sull'uso degli strumenti AI da parte del personale.
Cosa organizzare: policy scritta, approvata dalla direzione, comunicata a tutti.
Chi coinvolgere: HR, IT, legale.
Cosa controllare: che la policy sia conosciuta e applicata, non solo firmata.
Documenti/prove: testo della policy, evidenze di comunicazione e formazione.
Frequenza consigliata: annuale o a ogni nuovo strumento adottato.
Errore comune: presumere un'automatica efficacia disciplinare della policy senza un adeguato inquadramento giuslavoristico. (Buona pratica organizzativa; il rilievo disciplinare richiede valutazione legale specifica.)
Obbligo normativo distinto dalla policy: ai sensi dell'articolo 4 AI Act, l'azienda deve adottare misure proporzionate per assicurare un livello sufficiente di AI literacy del personale. Una policy interna può farne parte, ma non la sostituisce da sola. Conservare registri di formazione e istruzioni operative.
7. Gestione dei prompt e delle informazioni riservate
Obiettivo: evitare la diffusione involontaria di dati riservati tramite prompt.
Cosa organizzare: linee guida su cosa può e non può essere inserito nei prompt.
Chi coinvolgere: IT, sicurezza, referenti di funzione.
Cosa controllare: esempi concreti di dati sensibili inseriti per errore.
Documenti/prove: linee guida sui prompt, casi corretti/scorretti.
Frequenza consigliata: aggiornamento semestrale.
Errore comune: solo divieti generici, nessuna indicazione pratica. (Buona pratica organizzativa, correlata ai requisiti ISO/IEC 42001 su gestione dei dati.)
8. Sicurezza, accessi, log e monitoraggio
Obiettivo: garantire tracciabilità e controllo degli accessi ai sistemi AI.
Cosa organizzare: gestione utenze, log delle interazioni rilevanti, monitoraggio anomalie.
Chi coinvolgere: IT, sicurezza informatica.
Cosa controllare: accessi non autorizzati, assenza di log su decisioni rilevanti.
Documenti/prove: policy di accesso, log conservati secondo criteri definiti.
Frequenza consigliata: monitoraggio continuo, revisione trimestrale.
Errore comune: nessuna conservazione strutturata dei log. (Obbligo specifico per certi sistemi ad alto rischio; per gli altri, controllo proporzionato coerente con ISO/IEC 42001.)
9. Supervisione umana e qualità degli output
Obiettivo: garantire un controllo umano effettivo sulle decisioni assistite da AI.
Cosa organizzare: procedure di revisione umana per output critici.
Chi coinvolgere: responsabili di processo, operatori.
Cosa controllare: che la revisione sia reale, non solo formale.
Documenti/prove: verbali di revisione, esempi di override.
Frequenza consigliata: continua, con verifica periodica a campione.
Errore comune: accettare ogni output senza verifica. (Obbligo specifico per certi sistemi ad alto rischio; per gli altri, controllo proporzionato coerente con ISO/IEC 42001 sulla supervisione umana.)
10. Incidenti, reclami, anomalie e non conformità
Obiettivo: intercettare e gestire tempestivamente malfunzionamenti o segnalazioni.
Cosa organizzare: canale di segnalazione interno, procedura di gestione incidenti.
Chi coinvolgere: referente AI, IT, direzione.
Cosa controllare: tempestività della risposta e tracciabilità delle azioni.
Documenti/prove: registro incidenti/non conformità, azioni correttive.
Frequenza consigliata: gestione continua, revisione trimestrale.
Errore comune: nessuna procedura formale, gestione solo "a voce". (Requisito ISO/IEC 42001 su non conformità e azioni correttive.)
11. Audit interno e riesame della direzione
Obiettivo: verificare periodicamente l'efficacia del sistema di gestione AI.
Cosa organizzare: piano di audit interno annuale, riesame periodico della direzione.
Chi coinvolgere: direzione, referente AI, funzioni coinvolte.
Cosa controllare: che gli esiti producano azioni concrete.
Documenti/prove: verbali di audit interno e di riesame della direzione.
Frequenza consigliata: almeno annuale.
Errore comune: audit interno mai svolto o puramente documentale. (Requisito ISO/IEC 42001.)
12. Preparazione e mantenimento della certificazione ISO/IEC 42001
Obiettivo: valutare consapevolmente se e come intraprendere un percorso di certificazione.
Cosa organizzare: gap analysis rispetto allo standard, scelta di un organismo accreditato per lo schema applicabile.
Chi coinvolgere: direzione, referente AI, eventuale consulente esterno.
Cosa controllare: accreditamento effettivo dell'organismo scelto, nei registri pubblici dell'ente di accreditamento.
Documenti/prove: report di gap analysis, contratto, piano di sorveglianza.
Frequenza consigliata: ciclo triennale (certificazione, sorveglianze annuali, ricertificazione).
Errore comune: scegliere l'organismo solo per il prezzo, senza verificarne accreditamento e competenza. (L'accreditamento non è un requisito della ISO/IEC 42001, ma la scelta corretta per una certificazione più verificabile; ACCREDIA conferma l'avvio dell'accreditamento per questo schema in Italia. La certificazione resta volontaria.)
11. Piano operativo in 90 giorni
Giorni 1-30 — Mappatura: nomina del referente AI; censimento dei sistemi AI in uso, inclusi quelli integrati in software di terzi; prima classificazione del rischio.
Giorni 31-60 — Governance: redazione o aggiornamento della policy AI; avvio del registro fornitori AI; verifica delle basi giuridiche GDPR e necessità di DPIA.
Giorni 61-90 — Controlli: procedure di supervisione umana e gestione incidenti; primo audit interno; decisione motivata su un eventuale percorso di certificazione ISO/IEC 42001, con eventuale gap analysis.
12. Tabella riepilogativa
Ambito | Obbligo normativo | Requisito ISO/IEC 42001 | Buona pratica | Documento/prova utile |
|---|---|---|---|---|
Classificazione del rischio AI | “Non è un obbligo uniforme per ogni PMI: serve a stabilire ruolo, categoria e obblighi applicabili.” | Sì (risk management) | — | Scheda di classificazione |
Trattamento dati personali | Sì (GDPR) | Correlato ma non sostitutivo | — | Registro trattamenti, DPIA |
Supervisione umana | Sì, per sistemi ad alto rischio | Sì | Consigliata anche per sistemi non ad alto rischio | Verbali di revisione |
Policy uso AI generativa da parte dei dipendenti | No obbligo specifico generalizzato | Correlato (gestione dati) | Sì | Policy interna firmata |
Inventario sistemi AI | “Non è un obbligo autonomo generalizzato: è utile per individuare gli obblighi applicabili e governare l’uso dell’AI.” | Sì | — | Registro sistemi AI |
Certificazione ISO/IEC 42001 | No | — (è lo standard stesso) | Sì, volontaria | Certificato, report di audit |
Audit interno periodico | No obbligo generale per PMI | Sì | Sì | Verbali di audit interno |
FAQ
La certificazione ISO/IEC 42001 è obbligatoria per legge in Italia o nell'UE? No. È volontaria: nessuna fonte normativa ufficiale la impone alle PMI italiane.
Una certificazione ISO/IEC 42001 garantisce la conformità all'AI Act? No. Può supportare la governance e la capacità di dimostrare controlli, ma non sostituisce la valutazione di conformità richiesta dalla normativa.
Quando entra in vigore l'AI Act e quando si applicano i suoi obblighi? Il Regolamento UE 2024/1689 è entrato in vigore il 1° agosto 2024. Le date sono scaglionate: divieti e alfabetizzazione AI dal 2 febbraio 2025; governance e obblighi per i modelli AI per finalità generali dal 2 agosto 2025; trasparenza (articolo 50) dal 2 agosto 2026. Le regole per i sistemi ad alto rischio stand-alone si applicano dal 2 dicembre 2027; quelle per i sistemi ad alto rischio integrati in prodotti regolamentati dal 2 agosto 2028. Il Consiglio UE ha dato il via libera finale al regolamento di semplificazione il 29 giugno 2026. Prima della pubblicazione dell'articolo è comunque opportuno verificare su EUR-Lex la versione vigente e l'eventuale pubblicazione in Gazzetta Ufficiale UE.
Chi può certificare un'azienda secondo ISO/IEC 42001? Qualunque organismo competente può, in linea di principio, rilasciare una certificazione. Per una certificazione accreditata — più riconoscibile e verificabile — occorre un organismo accreditato per lo schema ISO/IEC 42001, verificabile nei registri pubblici di ACCREDIA.
Una PMI che usa solo strumenti AI di terzi ha comunque obblighi? Sì: può assumere il ruolo di deployer ai sensi dell'AI Act, con obblighi proporzionati al sistema e al contesto d'uso, oltre agli obblighi GDPR quando sono trattati dati personali.
Quanto tempo richiede la preparazione a un audit AI? Non esiste una durata standard: dipende dal numero e dalla complessità dei sistemi AI in uso, dal punto di partenza organizzativo e dall'ambizione del progetto.
Conclusione
Prepararsi a un audit sull'intelligenza artificiale non significa necessariamente puntare a una certificazione ISO/IEC 42001: significa sapere quali sistemi AI si usano, chi ne è responsabile, quali rischi comportano e quali evidenze si è in grado di mostrare. Questo lavoro di governance riduce il rischio di non conformità, rafforza la capacità dell'azienda di rendere conto delle proprie decisioni e crea le basi per affrontare, se utile, un percorso di certificazione volontaria.
Fonti
Testo ufficiale del Regolamento (UE) 2024/1689 su EUR-Lex: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32024R1689
Consiglio dell'Unione europea, "Artificial Intelligence: Council and Parliament agree to simplify and streamline rules", comunicato stampa, 7 maggio 2026: https://www.consilium.europa.eu/en/press/press-releases/2026/05/07/artificial-intelligence-council-and-parliament-agree-to-simplify-and-streamline-rules/
Parlamento europeo, Legislative Train Schedule — "Digital Omnibus on AI": https://www.europarl.europa.eu/legislative-train/package-digital-package/file-digital-omnibus-on-ai
Commissione europea, "AI Act (Regulatory framework for artificial intelligence)" — pagina ufficiale con timeline di applicazione: https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
Commissione europea, AI Act Service Desk — Articolo 50, obblighi di trasparenza: https://ai-act-service-desk.ec.europa.eu/en/ai-act/article-50
Commissione europea, AI Act Service Desk — FAQ ufficiali (incluse le domande su AI literacy e Digital Omnibus): https://ai-act-service-desk.ec.europa.eu/en/faq
Regolamento (UE) 2016/679 (GDPR), EUR-Lex: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32016R0679
European Data Protection Board (EDPB), risorse ufficiali su AI e protezione dei dati: https://www.edpb.europa.eu/
Garante per la protezione dei dati personali, sito istituzionale: https://www.garanteprivacy.it/
ISO, "ISO/IEC 42001:2023 — AI management systems": https://www.iso.org/standard/42001
ISO, "ISO 42001 explained": https://www.iso.org/home/insights-news/resources/iso-42001-explained-what-it-is.html
ACCREDIA, "Intelligenza Artificiale, l'accreditamento per certificare i sistemi di gestione": https://www.accredia.it/comunicazione/notizie/intelligenza-artificiale-laccreditamento-per-certificare-i-sistemi-di-gestione/
ACCREDIA, "Accredia rilascia il 1° accreditamento per certificare i sistemi di gestione dell'AI": https://www.accredia.it/comunicazione/notizie/accredia-rilascia-il-1-accreditamento-per-certificare-i-sistemi-di-gestione-dellai/
ACCREDIA, Circolare tecnica DC N° 08/2026 — Accreditamento per la certificazione dei sistemi di gestione di IA secondo la UNI CEI ISO/IEC 42001: https://www.accredia.it/documenti/circolare-tecnica-dc-n-08-2026-accreditamento-ambito-sg-per-la-certificazione-dei-sistemi-di-gestione-di-ia-secondo-la-uni-cei-iso-iec-42001/
https://www.consilium.europa.eu/en/press/press-releases/2026/06/29/artificial-intelligence-council-gives-final-green-light-to-simplify-and-streamline-rules/?utm_source=chatgpt.com
Nota pratica
Prima di adottare un nuovo strumento, prova un flusso piccolo per sette giorni e misura se riduce davvero tempo, errori o passaggi inutili.
Articoli correlati
Guide Pratiche
Guida pratica alla fatturazione elettronica per PMI nel 2026: SdI, scarti, conservazione digitale, software, sicurezza e checklist operativa.
Guide Pratiche
Cybersecurity per PMI: 10 regole pratiche per dipendenti su password, phishing, backup, accessi e gestione degli incidenti.
AI per PMI
Scopri cosa includono i piani Google Workspace con Gemini, come scegliere tra Starter, Standard, Plus ed Enterprise e quali attenzioni servono per usare l’AI in azienda nel rispetto di GDPR e AI Act.