Compliancechecklistcompliancecto

Checklist di Conformità al Regolamento UE sull'IA per CTO e CIO

Checklist operativa per i responsabili tecnologici — valutate i vostri sistemi di IA, comprendete i requisiti e costruite una roadmap di conformità al Regolamento UE sull'IA prima della scadenza del 2026.

February 15, 202515 min read

Il Regolamento UE sull'IA (Regolamento 2024/1689) è ora legge, e i suoi obblighi si stanno applicando secondo un calendario rigoroso. In qualità di CTO o CIO, siete la persona che con maggiore probabilità sarà responsabile dell'aspetto tecnico della conformità — e quella che dovrà rispondere quando il consiglio di amministrazione chiederà: "Siamo pronti?"

Il presente articolo fornisce una checklist strutturata e operativa per aiutarvi a valutare la posizione della vostra organizzazione, identificare le lacune e costruire una roadmap di conformità. È pensata per i responsabili tecnologici di imprese che sviluppano, implementano o acquisiscono sistemi di IA che operano nel mercato dell'UE.

Le pratiche di IA vietate sono applicabili dal 2 febbraio 2025. Gli obblighi per i modelli di IA per finalità generali entrano in vigore il 2 agosto 2025. La piena applicazione per i sistemi di IA ad alto rischio inizia il 2 agosto 2026. È il momento di agire.

Fase 1: Scoperta e inventario

Prima di poter essere conformi, dovete sapere cosa avete. La maggior parte delle organizzazioni sottostima significativamente il numero di sistemi di IA che gestisce.

Checklist: Inventario dei sistemi di IA

  • Identificate tutti i sistemi di IA nell'organizzazione — non solo quelli etichettati come "IA." La definizione del regolamento (Articolo 3, paragrafo 1) è ampia: qualsiasi sistema basato su macchina progettato per operare con diversi livelli di autonomia che genera output come previsioni, raccomandazioni, decisioni o contenuti.
  • Includete l'IA di terze parti — sistemi che acquisite, integrate o a cui accedete tramite API. In qualità di deployer, avete obblighi anche per i sistemi che non avete costruito.
  • Mappate i sistemi di IA sulle funzioni aziendali — HR, servizio clienti, rilevamento frodi, moderazione dei contenuti, supply chain, marketing, funzionalità di prodotto, strumenti interni.
  • Documentate lo scopo e l'ambito di ciascun sistema — quali decisioni influenza, quali dati elabora, chi è interessato dai suoi output.
  • Identificate il fornitore di ciascun sistema — è sviluppato internamente, acquisito da un vendor o open source? I vostri obblighi differiscono a seconda del vostro ruolo nella catena del valore.

La definizione di "sistema di IA" nel regolamento è intenzionalmente ampia. Comprende modelli di apprendimento automatico, sistemi esperti basati su regole, approcci statistici e sistemi ibridi. In caso di dubbio, includete un sistema nel vostro inventario — è molto meglio sovraclassificare e poi escludere piuttosto che perdere un sistema che si rivela in ambito.

Checklist: Identificazione del ruolo

Il Regolamento sull'IA assegna obblighi diversi in base al vostro ruolo. Potreste ricoprire più ruoli contemporaneamente:

  • Fornitore (Articolo 3, paragrafo 3) — sviluppate un sistema di IA o lo fate sviluppare per vostro conto e lo immettete sul mercato o lo mettete in servizio con il vostro nome o marchio
  • Deployer (Articolo 3, paragrafo 4) — utilizzate un sistema di IA sotto la vostra autorità (anche se non lo avete costruito)
  • Importatore — immettete sul mercato UE un sistema di IA di un fornitore stabilito al di fuori dell'UE
  • Distributore — rendete disponibile sul mercato UE un sistema di IA senza essere fornitore o importatore
  • Rappresentante autorizzato — siete incaricati da un fornitore extra-UE di agire per suo conto

Fase 2: Classificazione del rischio

Il cuore del Regolamento sull'IA è il suo approccio basato sul rischio. I vostri obblighi dipendono interamente dalla categoria di rischio in cui rientra ciascun sistema di IA.

Checklist: Screening delle pratiche vietate (Articolo 5)

  • Esaminate ciascun sistema di IA rispetto alle otto pratiche vietate dell'Articolo 5
  • Segnalate qualsiasi sistema che coinvolga: tecniche subliminali o manipolative, sfruttamento di gruppi vulnerabili, social scoring, polizia predittiva individuale, raccolta indiscriminata di immagini facciali, riconoscimento delle emozioni nei luoghi di lavoro/istituti di istruzione, categorizzazione biometrica per attributi sensibili o identificazione biometrica remota in tempo reale negli spazi pubblici
  • Per i sistemi segnalati: determinate immediatamente se il sistema deve essere dismesso, riprogettato o rientra in un'eccezione circoscritta
  • Documentate la vostra analisi per ciascun sistema — inclusa la motivazione per cui i sistemi prossimi al confine non sono vietati
Unacceptable Risk

Checklist: Classificazione ad alto rischio (Articoli 6 e Allegato III)

  • Verificate l'Allegato I — il vostro sistema di IA funge da componente di sicurezza di un prodotto, o è esso stesso un prodotto, disciplinato dalla legislazione di armonizzazione dell'UE (dispositivi medici, macchinari, giocattoli, veicoli, aviazione, ecc.)?
  • Verificate l'Allegato III — il vostro sistema di IA rientra in una delle otto aree ad alto rischio?
    • Identificazione e categorizzazione biometrica
    • Gestione e funzionamento di infrastrutture critiche
    • Istruzione e formazione professionale (ammissioni, valutazioni)
    • Occupazione, gestione dei lavoratori e accesso al lavoro autonomo (selezione, assegnazione dei compiti, monitoraggio, valutazione)
    • Accesso a servizi privati essenziali e a servizi pubblici (credit scoring, pricing assicurativo, servizi di emergenza)
    • Attività di contrasto (valutazione del rischio, poligrafi, analisi delle prove)
    • Migrazione, asilo e gestione delle frontiere
    • Amministrazione della giustizia e processi democratici
  • Applicate l'eccezione dell'Articolo 6, paragrafo 3 — anche se elencato nell'Allegato III, un sistema non è ad alto rischio se non presenta un rischio significativo di danno. Documentate attentamente questa valutazione se vi fate affidamento.
  • Documentate la motivazione della classificazione per ogni sistema di IA — questo sarà un documento chiave in qualsiasi indagine normativa
High Risk

Checklist: Sistemi a rischio limitato e rischio minimo

  • Identificate i sistemi con obblighi di trasparenza (Articolo 50) — chatbot, deepfake, riconoscimento delle emozioni, categorizzazione biometrica
  • Classificate i sistemi rimanenti come a rischio minimo — codici di condotta volontari incoraggiati ma nessun obbligo obbligatorio
  • Documentate tutte le classificazioni nel vostro registro IA

Automatizzate la documentazione di conformità

Ctrl AI genera tracce di esecuzione e output contrassegnati dalla fiducia pronti per l'audit per ogni decisione dell'IA, fornendo ai CTO la base probatoria che le autorità di regolamentazione si aspettano.

Scoprite Ctrl AI

Fase 3: Analisi delle lacune per i sistemi ad alto rischio

Se avete identificato sistemi di IA ad alto rischio, è qui che inizia il lavoro sostanziale. Gli Articoli da 8 a 15 definiscono i requisiti.

Checklist: Governance dei dati (Articolo 10)

  • Documentate i set di dati di addestramento, validazione e test — inclusa la loro provenienza, pertinenza, rappresentatività ed eventuali lacune o distorsioni note
  • Implementate criteri di qualità dei dati — esaminate i dati per errori, incompletezze e distorsioni prima dell'addestramento e su base continuativa
  • Garantite una governance dei dati adeguata — compresi i processi di raccolta, etichettatura, pulizia e arricchimento dei dati
  • Affrontate le distorsioni nei set di dati — specialmente per quanto riguarda le caratteristiche protette (genere, etnia, età, disabilità)
  • Per il trattamento di dati personali: confermate la conformità al GDPR, compresa la base giuridica, la minimizzazione dei dati e la limitazione delle finalità

Checklist: Documentazione tecnica (Articolo 11)

  • Preparate la documentazione tecnica prima che un sistema sia immesso sul mercato — questo non è facoltativo e deve essere mantenuta aggiornata
  • Includete tutti gli elementi specificati nell'Allegato IV: descrizione generale, processo di sviluppo, monitoraggio e controllo, gestione del rischio, modifiche e norme applicate
  • Assicuratevi che la documentazione sia sufficientemente completa perché le autorità possano valutare la conformità — una documentazione vaga o superficiale non sarà sufficiente

Checklist: Conservazione delle registrazioni e log (Articolo 12)

  • Implementate la registrazione automatica degli eventi durante il funzionamento del sistema di IA — il regolamento richiede la tracciabilità
  • Assicuratevi che i log registrino: il periodo di ciascun utilizzo, la banca dati di riferimento rispetto alla quale i dati di input sono stati verificati, i dati di input per i quali la ricerca ha portato a una corrispondenza e l'identificazione delle persone coinvolte nella sorveglianza umana
  • Definite i periodi di conservazione dei log — almeno per il periodo adeguato alla finalità prevista del sistema, e non meno di sei mesi salvo diversa indicazione
  • Assicuratevi che i log siano accessibili ai deployer e disponibili alle autorità su richiesta

Checklist: Trasparenza e informazioni (Articolo 13)

  • Progettate sistemi trasparenti — i deployer devono poter comprendere e utilizzare in modo appropriato l'output del sistema
  • Fornite istruzioni per l'uso chiare che coprano: finalità prevista, livello di accuratezza e robustezza, limitazioni note, rischi di uso improprio ragionevolmente prevedibile, misure di sorveglianza umana e specifiche dei dati di input attesi
  • Se del caso: informate le persone che sono soggette a una decisione presa da un sistema di IA ad alto rischio

Checklist: Sorveglianza umana (Articolo 14)

  • Progettate sistemi per una sorveglianza umana efficace — questo significa una sorveglianza reale e significativa, non una mera formalità
  • Assicuratevi che il supervisore umano possa: comprendere pienamente le capacità e i limiti del sistema, interpretare correttamente gli output, decidere di non utilizzare il sistema o di ignorare il suo output, e intervenire o arrestare il sistema
  • Implementate meccanismi "human-on-the-loop" o "human-in-the-loop" adeguati al livello di rischio e al contesto
  • Formate le persone responsabili della sorveglianza umana — devono possedere le competenze, la formazione e l'autorità per svolgere il proprio ruolo

Checklist: Accuratezza, robustezza e cybersicurezza (Articolo 15)

  • Definite e dichiarate le metriche di accuratezza — il sistema deve raggiungere il livello di accuratezza adeguato alla sua finalità prevista
  • Testate la robustezza — il sistema dovrebbe funzionare in modo coerente nelle condizioni previste e gestire con eleganza errori o incongruenze
  • Implementate misure di cybersicurezza — proteggete contro la manipolazione non autorizzata di dati di addestramento, input o del modello stesso (avvelenamento dei dati, esempi avversariali, estrazione del modello)
  • Documentate tutti i risultati dei test e includeteli nella documentazione tecnica

Fase 4: Prontezza organizzativa

La conformità tecnica è necessaria ma non sufficiente. Servono anche strutture e processi organizzativi.

Checklist: Sistema di gestione della qualità (Articolo 16)

  • Istituite un sistema di gestione della qualità proporzionato alle dimensioni della vostra organizzazione — politiche e procedure documentate per lo sviluppo, l'implementazione e il monitoraggio dei sistemi di IA
  • Includete la strategia di conformità, l'allocazione delle risorse e la responsabilità nel SGQ
  • Implementate un sistema di sorveglianza post-commercializzazione (Articolo 72) — processi sistematici per raccogliere e analizzare dati sulle prestazioni dei vostri sistemi di IA dopo l'implementazione
  • Definite un processo di segnalazione degli incidenti gravi (Articolo 73) — dovete segnalare alle autorità entro 15 giorni dal momento in cui venite a conoscenza di un incidente grave

Checklist: Valutazione della conformità (Articoli 43-44)

  • Determinate quale procedura di valutazione della conformità si applica a ciascun sistema ad alto rischio — controllo interno (Allegato VI) o valutazione da parte di terzi (Allegato VII)
  • Identificate se è richiesto un organismo notificato — è obbligatorio per determinati sistemi di IA biometrici e per infrastrutture critiche
  • Preparate la dichiarazione UE di conformità (Articolo 47) — una dichiarazione formale che il sistema soddisfa tutti i requisiti applicabili
  • Apponete la marcatura CE (Articolo 48) prima di immettere il sistema sul mercato
  • Registrate il sistema nella banca dati dell'UE (Articolo 49)

Checklist: Obblighi dei deployer (Articolo 26)

Se implementate (utilizzate) sistemi di IA ad alto rischio costruiti da altri:

  • Utilizzate il sistema conformemente alle istruzioni per l'uso del fornitore
  • Assegnate la sorveglianza umana a persone con le competenze, la formazione e l'autorità necessarie
  • Assicuratevi che i dati di input siano pertinenti e sufficientemente rappresentativi per la finalità prevista del sistema
  • Monitorate il funzionamento del sistema e segnalate qualsiasi incidente grave al fornitore e all'autorità competente
  • Conducete una valutazione d'impatto sui diritti fondamentali (Articolo 27) se siete un organismo di diritto pubblico o un soggetto privato che eroga servizi pubblici
  • Informate le persone che sono soggette a una decisione di un sistema di IA ad alto rischio, ove richiesto

Gli obblighi dei deployer si applicano anche se avete acquistato un sistema di IA da un vendor che dichiara di essere "conforme al Regolamento UE sull'IA". La conformità è una responsabilità condivisa. Non potete esternalizzare i vostri obblighi di deployer al vostro fornitore.

Fase 5: Calendario e roadmap

Costruite una roadmap concreta con tappe allineate all'applicazione progressiva del regolamento.

Fase 6: Conformità continua

La conformità non è un progetto una tantum. Il Regolamento sull'IA richiede monitoraggio e adattamento continui.

Checklist: Obblighi continui

  • Monitorate le prestazioni dei sistemi di IA dopo l'implementazione — tracciate le metriche di accuratezza, distorsione e affidabilità nel tempo
  • Aggiornate la documentazione tecnica ogni volta che il sistema viene sostanzialmente modificato (Articolo 43, paragrafo 4)
  • Segnalate gli incidenti gravi all'autorità di vigilanza del mercato competente entro i tempi prescritti
  • Mantenetevi aggiornati con le linee guida normative — l'Ufficio per l'IA, il Comitato per l'IA e le autorità nazionali emetteranno atti di esecuzione, norme e codici di buone pratiche nel corso del 2025-2027
  • Conducete audit interni periodici dei vostri sistemi di IA rispetto ai requisiti del regolamento
  • Riformate i vostri team man mano che il panorama normativo evolve
  • Mantenete il vostro registro IA — tenetelo aggiornato man mano che i sistemi vengono aggiunti, modificati o dismessi

Le organizzazioni che trattano la conformità al Regolamento sull'IA come un programma continuo — non come un adempimento una tantum — si troveranno meglio posizionate non solo per la conformità normativa, ma per la costruzione di sistemi di IA genuinamente affidabili. I requisiti per la governance dei dati, la trasparenza, la sorveglianza umana e la robustezza sono semplicemente buone pratiche ingegneristiche codificate in legge.

Errori comuni per i responsabili tecnologici

Sulla base dei requisiti del regolamento e dei primi segnali di applicazione, ecco gli errori che CTO e CIO dovrebbero attivamente evitare:

Sottovalutazione dell'ambito. La definizione di "sistema di IA" del Regolamento sull'IA è più ampia di quanto molti si aspettino. Se cercate solo i sistemi esplicitamente etichettati come "IA" o "ML", vi sfuggiranno i sistemi basati su regole, i modelli statistici e l'IA incorporata negli strumenti di terze parti.

Trattamento della conformità come questione solo giuridica. La conformità al Regolamento sull'IA richiede un lavoro tecnico approfondito — governance dei dati, registrazione, test, documentazione. I team legali non possono farlo da soli. La leadership ingegneristica deve essere direttamente coinvolta.

Ignorare gli obblighi dei deployer. Molti CTO presumono che se acquistano un sistema di IA da un vendor conforme, siano coperti. Non è così. I deployer hanno obblighi indipendenti per la sorveglianza umana, il monitoraggio e la qualità dei dati di input.

Rinviare l'azione. Con le pratiche vietate già applicabili e gli obblighi per l'alto rischio che entrano in vigore nell'agosto 2026, le organizzazioni che non hanno ancora avviato il loro programma di conformità sono già in ritardo.

Trascurare gli obblighi per i modelli GPAI. Se la vostra organizzazione fornisce o effettua il fine-tuning di un modello di IA per finalità generali, si applicano requisiti aggiuntivi ai sensi degli Articoli 51-55, con applicazione a partire dall'agosto 2025.

Conclusione

La conformità al Regolamento UE sull'IA è una sfida tecnica e organizzativa che rientra appieno nel dominio del CTO e del CIO. La checklist sopra riportata fornisce un percorso strutturato dalla scoperta alla conformità continua, allineato al calendario di applicazione progressiva del regolamento.

Le organizzazioni che navigheranno questa transizione con maggiore fluidità sono quelle che iniziano adesso, investono in un inventario e una classificazione sistematici, e trattano la conformità non come un peso ma come un'opportunità per costruire sistemi di IA trasparenti, robusti e degni di fiducia.

La scadenza è chiara. I requisiti sono definiti. La domanda è se la vostra organizzazione sarà pronta.

Make Your AI Auditable and Compliant

Ctrl AI provides expert-verified reasoning units with full execution traces — the infrastructure you need for EU AI Act compliance.

Explore Ctrl AI

Articoli correlati

Compliance6 min read

Requisiti di Documentazione Tecnica per i Sistemi di IA

Quale documentazione tecnica è richiesta dal Regolamento UE sull'IA — requisiti dell'Allegato IV, registrazioni della gestione del rischio, documentazione della governance dei dati e come mantenere la conformità.

Compliance6 min read

Valutazione della Conformità ai sensi del Regolamento UE sull'IA

Guida alle procedure di valutazione della conformità per i sistemi di IA ad alto rischio — controllo interno, valutazione da parte di terzi, marcatura CE e dichiarazione UE di conformità.

Compliance8 min read

Requisiti di Sorveglianza Umana nel Regolamento UE sull'IA

Guida agli obblighi di sorveglianza umana dell'Articolo 14 — cosa devono implementare i deployer, prevenzione del bias da automazione e diritto di prevalere sulle decisioni dell'IA nei sistemi ad alto rischio.