Guide Pratiche

ISO 42001 e AI Act: come preparare una PMI italiana a un audit sull'intelligenza artificiale

SO/IEC 42001 e AI Act: guida pratica per PMI italiane su audit, documenti, ruoli e certificazione volontaria dei sistemi di gestione AI.

Redazione PMI Digital Lab

14 min

Illustrazione di audit AI per PMI con checklist, lente d’ingrandimento, scudo di sicurezza, documenti e simboli di intelligenza artificiale per ISO 42001, AI Act e GDPR.

PMI DIGITAL LAB

In questa guida

• Da dove iniziare • Esempi pratici • Errori da evitare

Da ricordare

L’AI è più utile quando parte da un problema concreto: una email da scrivere, una ricerca da verificare, una procedura da semplificare.

L’AI è più utile quando parte da un problema concreto: una email da scrivere, una ricerca da verificare, una procedura da semplificare.

Cosa devono sapere davvero le piccole e medie imprese italiane su AI Act, GDPR e certificazione volontaria ISO/IEC 42001, tra obblighi normativi, requisiti dello standard e buone pratiche organizzative.

Introduzione

Fino a poco tempo fa, "audit sull'intelligenza artificiale" riguardava quasi solo grandi gruppi tecnologici. Oggi non è più così: sempre più PMI italiane usano AI generativa, sistemi di scoring, chatbot o software predittivi nei processi quotidiani, e sempre più spesso clienti, banche o capofiliera chiedono di dimostrare che questi strumenti sono governati in modo responsabile.

Questo articolo spiega, con un approccio prudente e senza promesse assolute, che cos'è un AI Management System, cosa prevede la norma volontaria ISO/IEC 42001, come si collega ad AI Act e GDPR, e come una PMI può prepararsi a un audit — interno, richiesto da un cliente, o di certificazione vera e propria.

Avvertenza importante: questo articolo ha finalità informativa e non costituisce consulenza legale personalizzata. Le modalità concrete di audit e gli obblighi applicabili variano in base al perimetro aziendale, al settore, al livello di rischio dei sistemi AI utilizzati e all'organismo o schema di certificazione scelto. Per situazioni specifiche è opportuno rivolgersi a un legale o consulente qualificato.

1. Perché l'audit AI riguarda anche le PMI

Le PMI raramente sviluppano AI da zero: la utilizzano, integrandola in CRM, gestionali o piattaforme di terze parti. Questo non le esclude da responsabilità: l'AI Act attribuisce obblighi anche a chi "impiega" un sistema AI (il deployer), distinti da quelli del fornitore (provider). Molte PMI ricevono inoltre richieste di due diligence da banche, capofiliera o clienti internazionali sulla governance dell'AI usata nei processi che li riguardano, anche senza un obbligo diretto.

2. AI Act, GDPR e ISO/IEC 42001: cosa sono e cosa non sono

  • AI Act (Regolamento UE 2024/1689): è una legge europea vincolante, direttamente applicabile in tutti gli Stati membri. Impone obblighi differenziati in base al livello di rischio del sistema AI.

  • GDPR (Regolamento UE 2016/679): è la normativa vincolante sulla protezione dei dati personali. Si applica ogni volta che un sistema AI tratta dati personali, indipendentemente dal fatto che sia o meno "ad alto rischio" ai sensi dell'AI Act.

  • ISO/IEC 42001:2023: è uno standard tecnico volontario, pubblicato da ISO/IEC nel dicembre 2023 (recepito in Italia come UNI CEI ISO/IEC 42001), che specifica i requisiti per stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione dell'intelligenza artificiale (AI Management System, AIMS) all'interno di un'organizzazione. Non è una legge, non sostituisce alcun obbligo normativo e la sua adozione non garantisce automaticamente la conformità all'AI Act o al GDPR.

Questi tre strumenti operano su piani diversi e complementari: l'AI Act e il GDPR definiscono obblighi legali; ISO/IEC 42001 offre un framework organizzativo che può aiutare a strutturare la governance necessaria per rispettarli, ma resta uno strumento di gestione, non un requisito di legge.

Box pratico — AI literacy (articolo 4 AI Act): provider e deployer devono adottare misure per assicurare un livello sufficiente di alfabetizzazione AI delle persone che usano o gestiscono sistemi AI per loro conto. Non serve un corso identico per tutti: formazione e istruzioni vanno proporzionate a ruolo, strumento e rischio.

3. Che cos'è un AI Management System

Un AI Management System è, secondo la definizione ISO, un insieme di elementi correlati o interagenti di un'organizzazione, finalizzati a stabilire politiche, obiettivi e processi per raggiungere tali obiettivi in relazione allo sviluppo, alla fornitura o all'uso responsabile dei sistemi AI. In pratica, è la struttura organizzativa — ruoli, policy, procedure, controlli, documentazione, monitoraggio — con cui un'azienda governa i propri sistemi AI lungo l'intero ciclo di vita, dalla selezione del fornitore alla dismissione del sistema.

Non riguarda la tecnologia in sé, ma come l'organizzazione la governa: chi decide, chi controlla, quali evidenze si conservano, come si gestiscono errori e incidenti.

4. ISO/IEC 42001: certificazione volontaria, utile per la governance

La norma UNI CEI ISO/IEC 42001 è il primo standard internazionale per la certificazione volontaria dei sistemi di gestione dell'intelligenza artificiale. Nessuna fonte normativa ufficiale la rende obbligatoria per le PMI italiane: resta una scelta aziendale, motivata da governance interna, richieste contrattuali o volontà di dimostrare un uso responsabile dell'AI.

La certificazione è effettuata da organismi di certificazione indipendenti, che possono essere accreditati da organismi nazionali di accreditamento: ISO stessa non certifica alcuna organizzazione. È importante distinguere:

  • Certificazione accreditata: rilasciata da un organismo di certificazione che ha ottenuto, per lo specifico schema ISO/IEC 42001, un accreditamento da parte di un ente nazionale di accreditamento (in Italia, ACCREDIA). Offre il livello più elevato di riconoscibilità, imparzialità verificata e comparabilità internazionale.

  • Certificazione non accreditata: può comunque essere rilasciata da organismi di certificazione competenti, ma senza la supervisione indipendente di un ente di accreditamento. Non è di per sé priva di valore, ma offre minori garanzie di terzietà verificata rispetto a una certificazione accreditata.

Una PMI che voglia il massimo livello di riconoscibilità dovrebbe rivolgersi a un organismo accreditato per lo schema ISO/IEC 42001 applicabile, verificabile nei registri pubblici dell'ente di accreditamento.

Rapporto con altri standard ISO (senza sovrapposizioni): ISO/IEC 27001 riguarda la sicurezza delle informazioni; ISO/IEC 27701 estende la gestione della privacy; ISO 31000 fornisce principi generali di risk management; ISO 9001 riguarda la qualità dei processi. ISO/IEC 42001 è distinta da tutte, pur potendo integrarsi con sistemi già esistenti (in particolare ISO/IEC 27001, con struttura ad alto livello condivisa Annex SL). Un confronto quantitativo tra i requisiti richiede un'analisi caso per caso, non generalizzabile.

5. Chi effettua gli audit e chi può rilasciare una certificazione

Operano tre soggetti distinti: l'organismo di accreditamento (in Italia ACCREDIA), che verifica che gli organismi di certificazione siano competenti e imparziali secondo ISO/IEC 17021-1, integrata da ISO/IEC 42006 per lo schema AI — Accredia ha avviato l'accreditamento degli organismi che certificano i sistemi di gestione dell'intelligenza artificiale secondo la norma UNI CEI ISO/IEC 42001, e in Italia sono già stati rilasciati i primi accreditamenti; gli organismi di certificazione, che conducono gli audit e rilasciano il certificato (accreditati o meno); i consulenti, che aiutano l'azienda a prepararsi ma non possono certificarla, per evitare conflitti d'interesse.

Una PMI può verificare se un organismo è accreditato per lo schema ISO/IEC 42001 nei registri pubblici di ACCREDIA prima di avviare un percorso.

6. Quando si svolgono gli audit: iniziale, sorveglianza, ricertificazione

Il percorso di certificazione accreditata segue tipicamente questa sequenza, comune anche ad altri standard di sistema di gestione come ISO 27001 o ISO 9001: Stage 1 (revisione documentale e verifica della maturità del sistema); Stage 2 (verifica sul campo dell'effettiva implementazione, con interviste e analisi delle evidenze); audit di sorveglianza, solitamente annuali; ricertificazione, tipicamente ogni tre anni, con una verifica ampia paragonabile a un nuovo audit iniziale.

Le tempistiche esatte, i giorni-uomo e la cadenza dipendono dalle dimensioni dell'azienda, dalla complessità dei sistemi AI in perimetro e dalle regole dell'organismo scelto: non esiste una durata standard valida per tutte le PMI.

7. Caso pratico: TecnoService Srl e i tre sistemi AI

Esempio illustrativo fittizio, con finalità puramente didattica.

TecnoService Srl è una PMI italiana B2B di circa 50 dipendenti, attiva nella manutenzione industriale. Utilizza tre sistemi AI diversi, con valutazioni distinte.

Sistema 1 — Classificazione e assegnazione automatica dei ticket di assistenza

  • Finalità: smistare le richieste in base a urgenza e competenza tecnica richiesta.

  • Dati trattati: testo del ticket, contatti del cliente, storico interventi.

  • Dati da non inserire: dati sanitari o giudiziari di terzi, credenziali di accesso ai sistemi dei clienti.

  • Possibile ruolo AI Act: deployer di un sistema fornito da terzi.

  • Rischi principali: errori di priorità su guasti critici, bias nell'assegnazione tra tecnici.

  • Controlli organizzativi: revisione umana delle assegnazioni ad alta urgenza, referente interno.

  • Controlli tecnici: log delle assegnazioni, override manuale, monitoraggio periodico degli errori.

  • Supervisione umana: l'operatore può sempre riclassificare manualmente il ticket.

  • Verifiche GDPR/DPIA: valutazione preliminare; DPIA solo se emergono indicatori di rischio elevato secondo i criteri di Garante ed EDPB.

  • Documenti da conservare: scheda del sistema, contratto col fornitore, log di override, registro incidenti.

  • Possibili non conformità: assenza di procedura di revisione umana documentata.

  • Azione correttiva realistica: revisione settimanale a campione con verbale firmato.

Sistema 2 — Assistente generativo per bozze di report, email e sintesi interventi

  • Finalità: velocizzare la stesura di documenti tecnici e commerciali.

  • Dati trattati: contenuti tecnici, talvolta contatti o riferimenti a clienti.

  • Dati da non inserire: informazioni su contratti in negoziazione, dati personali non necessari, segreti industriali di terzi.

  • Possibile ruolo AI Act: deployer di un sistema generativo di terzi.

  • Trasparenza AI Act: l'uso per email commerciali, report tecnici o comunicazioni B2B non comporta automaticamente un obbligo di etichettatura. L'articolo 50 rileva in casi specifici, ad esempio per deepfake o testi AI pubblicati per informare il pubblico su questioni di interesse pubblico, in assenza di revisione editoriale e di un soggetto responsabile della pubblicazione.

  • Rischi principali: fuoriuscita di informazioni riservate nei prompt, contenuti imprecisi presentati come definitivi.

  • Controlli organizzativi: policy interna sull'uso degli strumenti generativi, formazione del personale.

  • Controlli tecnici: verifica delle condizioni contrattuali del fornitore sull'uso dei dati, eventuale disattivazione dell'addestramento sui contenuti aziendali dove disponibile.

  • Supervisione umana: revisione obbligatoria di ogni bozza prima dell'invio a clienti.

  • Verifiche GDPR/DPIA: minimizzazione dei dati inseriti nei prompt; DPIA se il trattamento presenta rischi elevati.

  • Documenti da conservare: policy firmata, evidenze di formazione, condizioni contrattuali del fornitore.

  • Possibili non conformità: assenza di policy scritta sull'uso degli strumenti generativi.

  • Azione correttiva realistica: adottare e far firmare una policy con esempi di dati da non inserire nei prompt.

Sistema 3 — Sistema predittivo su guasti e ricambi

  • Finalità: analizzare dati storici di manutenzione per segnalare probabilità di guasto o necessità di ricambi.

  • Dati trattati: dati tecnici di macchinari, storico interventi, talvolta dati riconducibili a operatori.

  • Dati da non inserire: dati personali non pertinenti, valutazioni soggettive sul personale.

  • Possibile ruolo AI Act: deployer; la classificazione dipende dal contesto d'uso e dalle finalità concrete, non è automatica.

  • Rischi principali: decisioni operative su previsioni errate senza verifica umana, uso improprio dei dati per valutare indirettamente il personale.

  • Controlli organizzativi: divieto esplicito di usare il sistema per valutazioni sul personale, referente tecnico responsabile.

  • Controlli tecnici: tracciabilità delle previsioni, soglie di confidenza documentate, test periodici di accuratezza.

  • Supervisione umana: il tecnico valida la previsione prima di ogni intervento programmato.

  • Verifiche GDPR/DPIA: valutazione su eventuale trattamento indiretto di dati riconducibili a persone fisiche; DPIA se emergono rischi elevati.

  • Documenti da conservare: documentazione tecnica del modello, log delle previsioni, verbali di validazione.

  • Possibili non conformità: assenza di test periodici di accuratezza, uso oltre lo scopo dichiarato.

  • Azione correttiva realistica: test trimestrali di accuratezza e formalizzazione scritta dello scopo autorizzato.

Nessuno dei tre sistemi è qui classificato automaticamente come "ad alto rischio" ai sensi dell'AI Act: la valutazione dipende dalla finalità concreta, dal contesto d'uso, dalle persone coinvolte e dalle norme applicabili, e va condotta caso per caso.

8. Come prepararsi a un audit: documenti, fornitori e AI generativa

Un auditor — interno, di un cliente o di un organismo di certificazione — può ragionevolmente chiedere: policy AI approvata dalla direzione; inventario dei sistemi AI; classificazione dei rischi; valutazioni d'impatto (incluse eventuali DPIA); registro fornitori AI; regole su gestione di dati e prompt; procedura di gestione incidenti; evidenze di formazione; ruoli e responsabilità; sistema di monitoraggio; verbali di audit interni e riesame della direzione; registro delle non conformità e azioni correttive. Le 12 schede del paragrafo 10 dettagliano ciascun ambito con obiettivi, responsabili e frequenze.

La maggior parte delle PMI non sviluppa AI proprietaria, ma usa soluzioni di terzi: serve quindi un registro fornitori AI con finalità dichiarata, base giuridica del trattamento, condizioni contrattuali su uso e localizzazione dei dati, eventuali certificazioni del fornitore e canale di segnalazione anomalie.

Un tema ricorrente negli audit è l'uso di assistenti AI generativi esterni da parte dei dipendenti. Le condizioni di utilizzo, l'eventuale impiego dei contenuti per il miglioramento dei modelli, la localizzazione dei dati e le garanzie contrattuali variano per fornitore, piano e impostazioni: l'azienda deve verificarle prima dell'adozione, senza dare per scontato alcun comportamento generico. Una policy interna dovrebbe indicare quali dati non inserire mai nei prompt (sanitari, giudiziari, segreti industriali di terzi, credenziali) e prevedere formazione periodica coerente con gli obblighi di AI literacy.

9. Errori comuni delle PMI

  • Policy AI trattata come documento formale mai realmente applicato.

  • Inventario dei sistemi AI mancante o non aggiornato, incluse le funzionalità AI integrate in software già acquistati.

  • Valutazione del rischio delegata interamente al fornitore, senza analisi interna.

  • Conformità normativa e certificazione volontaria confuse e presentate come equivalenti.

  • Supervisione umana non documentata, anche quando effettivamente svolta.

  • Percorso di certificazione avviato senza aver prima consolidato governance e processi interni.

10. Le 12 schede operative per organizzare una PMI prima di un audit AI

1. Governance e responsabilità

  • Obiettivo: definire chi decide e risponde delle scelte sull'AI.

  • Cosa organizzare: nomina di un referente o comitato AI designato dalla direzione.

  • Chi coinvolgere: direzione, IT, privacy, HR, qualità.

  • Cosa controllare: che i ruoli siano formalizzati, non solo informali.

  • Documenti/prove: organigramma AI, atto di nomina.

  • Frequenza consigliata: revisione annuale.

  • Errore comune: responsabilità mai attribuita esplicitamente. (Buona pratica; utile per i requisiti ISO/IEC 42001 su leadership e ruoli.)

2. Inventario dei sistemi AI

  • Obiettivo: sapere quali sistemi AI sono realmente in uso.

  • Cosa organizzare: censimento completo, inclusa l'AI integrata in software terzi.

  • Chi coinvolgere: IT, responsabili di funzione, acquisti.

  • Cosa controllare: funzionalità AI "nascoste" in strumenti già adottati.

  • Documenti/prove: registro sistemi AI (finalità, fornitore, dati trattati).

  • Frequenza consigliata: aggiornamento continuo, revisione trimestrale.

  • Errore comune: censire solo i sistemi "visibili". (Non è un obbligo autonomo dell'AI Act, ma un'evidenza organizzativa utile e coerente con un AIMS; requisito ISO/IEC 42001.)

3. Classificazione e valutazione dei rischi AI

  • Obiettivo: stabilire il livello di rischio di ciascun sistema.

  • Cosa organizzare: metodologia basata su finalità, contesto e persone coinvolte.

  • Chi coinvolgere: referente AI, privacy, legale se disponibile.

  • Cosa controllare: coerenza tra classificazione dichiarata e uso reale.

  • Documenti/prove: scheda di valutazione per sistema.

  • Frequenza consigliata: a ogni nuovo sistema o modifica sostanziale.

  • Errore comune: classificazione fatta una volta e mai aggiornata. (Non un obbligo uguale per tutte le PMI, ma l'analisi necessaria per capire ruolo e obblighi ai sensi dell'AI Act; requisito ISO/IEC 42001 sul risk management.)

4. GDPR, dati personali e DPIA

  • Obiettivo: garantire trattamento lecito dei dati personali.

  • Cosa organizzare: verifica base giuridica, minimizzazione dati, valutazione DPIA.

  • Chi coinvolgere: DPO (se nominato), privacy, IT.

  • Cosa controllare: dati personali non necessari in prompt o dataset.

  • Documenti/prove: registro trattamenti, DPIA se necessaria, informative aggiornate.

  • Frequenza consigliata: a ogni nuovo trattamento AI.

  • Errore comune: ritenere che l'AI Act sostituisca il GDPR. (Obbligo normativo GDPR, distinto e cumulativo rispetto all'AI Act.)

5. Gestione dei fornitori AI

  • Obiettivo: verificare affidabilità e garanzie contrattuali dei fornitori.

  • Cosa organizzare: registro fornitori con clausole su dati, sicurezza, responsabilità.

  • Chi coinvolgere: acquisti, legale, IT.

  • Cosa controllare: condizioni d'uso, localizzazione dati, eventuali certificazioni del fornitore.

  • Documenti/prove: contratti, DPA, schede fornitore.

  • Frequenza consigliata: annuale o a ogni rinnovo contrattuale.

  • Errore comune: non leggere le condizioni d'uso reali dello strumento. (Requisito ISO/IEC 42001 su supply chain AI; buona pratica per la due diligence GDPR.)

6. Policy per dipendenti e collaboratori

  • Obiettivo: definire regole chiare sull'uso degli strumenti AI da parte del personale.

  • Cosa organizzare: policy scritta, approvata dalla direzione, comunicata a tutti.

  • Chi coinvolgere: HR, IT, legale.

  • Cosa controllare: che la policy sia conosciuta e applicata, non solo firmata.

  • Documenti/prove: testo della policy, evidenze di comunicazione e formazione.

  • Frequenza consigliata: annuale o a ogni nuovo strumento adottato.

  • Errore comune: presumere un'automatica efficacia disciplinare della policy senza un adeguato inquadramento giuslavoristico. (Buona pratica organizzativa; il rilievo disciplinare richiede valutazione legale specifica.)

  • Obbligo normativo distinto dalla policy: ai sensi dell'articolo 4 AI Act, l'azienda deve adottare misure proporzionate per assicurare un livello sufficiente di AI literacy del personale. Una policy interna può farne parte, ma non la sostituisce da sola. Conservare registri di formazione e istruzioni operative.

7. Gestione dei prompt e delle informazioni riservate

  • Obiettivo: evitare la diffusione involontaria di dati riservati tramite prompt.

  • Cosa organizzare: linee guida su cosa può e non può essere inserito nei prompt.

  • Chi coinvolgere: IT, sicurezza, referenti di funzione.

  • Cosa controllare: esempi concreti di dati sensibili inseriti per errore.

  • Documenti/prove: linee guida sui prompt, casi corretti/scorretti.

  • Frequenza consigliata: aggiornamento semestrale.

  • Errore comune: solo divieti generici, nessuna indicazione pratica. (Buona pratica organizzativa, correlata ai requisiti ISO/IEC 42001 su gestione dei dati.)

8. Sicurezza, accessi, log e monitoraggio

  • Obiettivo: garantire tracciabilità e controllo degli accessi ai sistemi AI.

  • Cosa organizzare: gestione utenze, log delle interazioni rilevanti, monitoraggio anomalie.

  • Chi coinvolgere: IT, sicurezza informatica.

  • Cosa controllare: accessi non autorizzati, assenza di log su decisioni rilevanti.

  • Documenti/prove: policy di accesso, log conservati secondo criteri definiti.

  • Frequenza consigliata: monitoraggio continuo, revisione trimestrale.

  • Errore comune: nessuna conservazione strutturata dei log. (Obbligo specifico per certi sistemi ad alto rischio; per gli altri, controllo proporzionato coerente con ISO/IEC 42001.)

9. Supervisione umana e qualità degli output

  • Obiettivo: garantire un controllo umano effettivo sulle decisioni assistite da AI.

  • Cosa organizzare: procedure di revisione umana per output critici.

  • Chi coinvolgere: responsabili di processo, operatori.

  • Cosa controllare: che la revisione sia reale, non solo formale.

  • Documenti/prove: verbali di revisione, esempi di override.

  • Frequenza consigliata: continua, con verifica periodica a campione.

  • Errore comune: accettare ogni output senza verifica. (Obbligo specifico per certi sistemi ad alto rischio; per gli altri, controllo proporzionato coerente con ISO/IEC 42001 sulla supervisione umana.)

10. Incidenti, reclami, anomalie e non conformità

  • Obiettivo: intercettare e gestire tempestivamente malfunzionamenti o segnalazioni.

  • Cosa organizzare: canale di segnalazione interno, procedura di gestione incidenti.

  • Chi coinvolgere: referente AI, IT, direzione.

  • Cosa controllare: tempestività della risposta e tracciabilità delle azioni.

  • Documenti/prove: registro incidenti/non conformità, azioni correttive.

  • Frequenza consigliata: gestione continua, revisione trimestrale.

  • Errore comune: nessuna procedura formale, gestione solo "a voce". (Requisito ISO/IEC 42001 su non conformità e azioni correttive.)

11. Audit interno e riesame della direzione

  • Obiettivo: verificare periodicamente l'efficacia del sistema di gestione AI.

  • Cosa organizzare: piano di audit interno annuale, riesame periodico della direzione.

  • Chi coinvolgere: direzione, referente AI, funzioni coinvolte.

  • Cosa controllare: che gli esiti producano azioni concrete.

  • Documenti/prove: verbali di audit interno e di riesame della direzione.

  • Frequenza consigliata: almeno annuale.

  • Errore comune: audit interno mai svolto o puramente documentale. (Requisito ISO/IEC 42001.)

12. Preparazione e mantenimento della certificazione ISO/IEC 42001

  • Obiettivo: valutare consapevolmente se e come intraprendere un percorso di certificazione.

  • Cosa organizzare: gap analysis rispetto allo standard, scelta di un organismo accreditato per lo schema applicabile.

  • Chi coinvolgere: direzione, referente AI, eventuale consulente esterno.

  • Cosa controllare: accreditamento effettivo dell'organismo scelto, nei registri pubblici dell'ente di accreditamento.

  • Documenti/prove: report di gap analysis, contratto, piano di sorveglianza.

  • Frequenza consigliata: ciclo triennale (certificazione, sorveglianze annuali, ricertificazione).

  • Errore comune: scegliere l'organismo solo per il prezzo, senza verificarne accreditamento e competenza. (L'accreditamento non è un requisito della ISO/IEC 42001, ma la scelta corretta per una certificazione più verificabile; ACCREDIA conferma l'avvio dell'accreditamento per questo schema in Italia. La certificazione resta volontaria.)

11. Piano operativo in 90 giorni

Giorni 1-30 — Mappatura: nomina del referente AI; censimento dei sistemi AI in uso, inclusi quelli integrati in software di terzi; prima classificazione del rischio.

Giorni 31-60 — Governance: redazione o aggiornamento della policy AI; avvio del registro fornitori AI; verifica delle basi giuridiche GDPR e necessità di DPIA.

Giorni 61-90 — Controlli: procedure di supervisione umana e gestione incidenti; primo audit interno; decisione motivata su un eventuale percorso di certificazione ISO/IEC 42001, con eventuale gap analysis.

12. Tabella riepilogativa

Ambito

Obbligo normativo

Requisito ISO/IEC 42001

Buona pratica

Documento/prova utile

Classificazione del rischio AI

“Non è un obbligo uniforme per ogni PMI: serve a stabilire ruolo, categoria e obblighi applicabili.”

Sì (risk management)

Scheda di classificazione

Trattamento dati personali

Sì (GDPR)

Correlato ma non sostitutivo

Registro trattamenti, DPIA

Supervisione umana

Sì, per sistemi ad alto rischio

Consigliata anche per sistemi non ad alto rischio

Verbali di revisione

Policy uso AI generativa da parte dei dipendenti

No obbligo specifico generalizzato

Correlato (gestione dati)

Policy interna firmata

Inventario sistemi AI

“Non è un obbligo autonomo generalizzato: è utile per individuare gli obblighi applicabili e governare l’uso dell’AI.”

Registro sistemi AI

Certificazione ISO/IEC 42001

No

— (è lo standard stesso)

Sì, volontaria

Certificato, report di audit

Audit interno periodico

No obbligo generale per PMI

Verbali di audit interno

FAQ

La certificazione ISO/IEC 42001 è obbligatoria per legge in Italia o nell'UE? No. È volontaria: nessuna fonte normativa ufficiale la impone alle PMI italiane.

Una certificazione ISO/IEC 42001 garantisce la conformità all'AI Act? No. Può supportare la governance e la capacità di dimostrare controlli, ma non sostituisce la valutazione di conformità richiesta dalla normativa.

Quando entra in vigore l'AI Act e quando si applicano i suoi obblighi? Il Regolamento UE 2024/1689 è entrato in vigore il 1° agosto 2024. Le date sono scaglionate: divieti e alfabetizzazione AI dal 2 febbraio 2025; governance e obblighi per i modelli AI per finalità generali dal 2 agosto 2025; trasparenza (articolo 50) dal 2 agosto 2026. Le regole per i sistemi ad alto rischio stand-alone si applicano dal 2 dicembre 2027; quelle per i sistemi ad alto rischio integrati in prodotti regolamentati dal 2 agosto 2028. Il Consiglio UE ha dato il via libera finale al regolamento di semplificazione il 29 giugno 2026. Prima della pubblicazione dell'articolo è comunque opportuno verificare su EUR-Lex la versione vigente e l'eventuale pubblicazione in Gazzetta Ufficiale UE.

Chi può certificare un'azienda secondo ISO/IEC 42001? Qualunque organismo competente può, in linea di principio, rilasciare una certificazione. Per una certificazione accreditata — più riconoscibile e verificabile — occorre un organismo accreditato per lo schema ISO/IEC 42001, verificabile nei registri pubblici di ACCREDIA.

Una PMI che usa solo strumenti AI di terzi ha comunque obblighi? Sì: può assumere il ruolo di deployer ai sensi dell'AI Act, con obblighi proporzionati al sistema e al contesto d'uso, oltre agli obblighi GDPR quando sono trattati dati personali.

Quanto tempo richiede la preparazione a un audit AI? Non esiste una durata standard: dipende dal numero e dalla complessità dei sistemi AI in uso, dal punto di partenza organizzativo e dall'ambizione del progetto.

Conclusione

Prepararsi a un audit sull'intelligenza artificiale non significa necessariamente puntare a una certificazione ISO/IEC 42001: significa sapere quali sistemi AI si usano, chi ne è responsabile, quali rischi comportano e quali evidenze si è in grado di mostrare. Questo lavoro di governance riduce il rischio di non conformità, rafforza la capacità dell'azienda di rendere conto delle proprie decisioni e crea le basi per affrontare, se utile, un percorso di certificazione volontaria.

Fonti

  1. Testo ufficiale del Regolamento (UE) 2024/1689 su EUR-Lex: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32024R1689

  2. Consiglio dell'Unione europea, "Artificial Intelligence: Council and Parliament agree to simplify and streamline rules", comunicato stampa, 7 maggio 2026: https://www.consilium.europa.eu/en/press/press-releases/2026/05/07/artificial-intelligence-council-and-parliament-agree-to-simplify-and-streamline-rules/

  3. Parlamento europeo, Legislative Train Schedule — "Digital Omnibus on AI": https://www.europarl.europa.eu/legislative-train/package-digital-package/file-digital-omnibus-on-ai

  4. Commissione europea, "AI Act (Regulatory framework for artificial intelligence)" — pagina ufficiale con timeline di applicazione: https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai

  5. Commissione europea, AI Act Service Desk — Articolo 50, obblighi di trasparenza: https://ai-act-service-desk.ec.europa.eu/en/ai-act/article-50

  6. Commissione europea, AI Act Service Desk — FAQ ufficiali (incluse le domande su AI literacy e Digital Omnibus): https://ai-act-service-desk.ec.europa.eu/en/faq

  7. Regolamento (UE) 2016/679 (GDPR), EUR-Lex: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32016R0679

  8. European Data Protection Board (EDPB), risorse ufficiali su AI e protezione dei dati: https://www.edpb.europa.eu/

  9. Garante per la protezione dei dati personali, sito istituzionale: https://www.garanteprivacy.it/

  10. ISO, "ISO/IEC 42001:2023 — AI management systems": https://www.iso.org/standard/42001

  11. ISO, "ISO 42001 explained": https://www.iso.org/home/insights-news/resources/iso-42001-explained-what-it-is.html

  12. ACCREDIA, "Intelligenza Artificiale, l'accreditamento per certificare i sistemi di gestione": https://www.accredia.it/comunicazione/notizie/intelligenza-artificiale-laccreditamento-per-certificare-i-sistemi-di-gestione/

  13. ACCREDIA, "Accredia rilascia il 1° accreditamento per certificare i sistemi di gestione dell'AI": https://www.accredia.it/comunicazione/notizie/accredia-rilascia-il-1-accreditamento-per-certificare-i-sistemi-di-gestione-dellai/

  14. ACCREDIA, Circolare tecnica DC N° 08/2026 — Accreditamento per la certificazione dei sistemi di gestione di IA secondo la UNI CEI ISO/IEC 42001: https://www.accredia.it/documenti/circolare-tecnica-dc-n-08-2026-accreditamento-ambito-sg-per-la-certificazione-dei-sistemi-di-gestione-di-ia-secondo-la-uni-cei-iso-iec-42001/

  15. https://www.consilium.europa.eu/en/press/press-releases/2026/06/29/artificial-intelligence-council-gives-final-green-light-to-simplify-and-streamline-rules/?utm_source=chatgpt.com

Nota pratica

Prima di adottare un nuovo strumento, prova un flusso piccolo per sette giorni e misura se riduce davvero tempo, errori o passaggi inutili.

Newsletter

Una selezione chiara, senza rumore.

Ricevi guide pratiche, strumenti utili e notizie digitali spiegate per chi lavora davvero.

Iscriviti

Newsletter

Una selezione chiara, senza rumore.

Ricevi guide pratiche, strumenti utili e notizie digitali spiegate per chi lavora davvero.

Iscriviti

Newsletter

Una selezione chiara, senza rumore.

Ricevi guide pratiche, strumenti utili e notizie digitali spiegate per chi lavora davvero.

Iscriviti