Compliance Officer e AI Act
Per il compliance officer di una PMI o mid-market regolamentato, l'AI Act è il quarto livello di un grattacielo: sopra il GDPR (in vigore dal 2018), NIS2 (ottobre 2024), DORA (gennaio 2025) ora si aggiunge l'AI Act. Il lavoro non è leggere la norma — è capire dove si sovrappone alle altre e disegnare un controllo unico che le soddisfa tutte.
L'AI Act è il quarto strato di compliance dopo GDPR, NIS2 e DORA. Disegna controlli unici che soddisfano più normative.
Cosa devi fare, in ordine di urgenza.
- Art. 6 + Annex IIIMappare i sistemi di IA esistenti contro Annex III e Art. 5 — la prima diligenza è capire dove sei oggi.
- Art. 4Coordinare il programma alfabetizzazione (Art. 4) col piano formazione GDPR e l'ISO 42001 se applicabile.
- L. 132/2025Aggiornare il Modello 231 con la nuova fattispecie penale sui deepfake (L. 132/2025) e i principi sull'IA nel rapporto di lavoro.
- Art. 25/26Inserire nei contratti fornitori AI le clausole Art. 25/26 — un addendum standard è meglio di una rinegoziazione caso per caso.
- Art. 17 (QMS)Pianificare audit interni periodici sui sistemi ad alto rischio — il fascicolo Allegato IV è il primo input.
I workflow che useresti ogni settimana.
Cruscotto compliance score
Punteggio aggregato di compliance AI (registro + classificazioni + documentazione + Art. 4) — è il «cruscotto del board» che presenti al CdA.
Mappa articoli AI Act + L. 132/2025
Per ogni sistema AI, il verdetto del classificatore cita l'articolo dell'Allegato III applicato e i punti collegati. Sovrapposizioni con altre normative (GDPR, NIS2, DORA, MDR) restano in capo al compliance officer — Konformia non automatizza il cross-check con quelle.
Registro incidenti Art. 73
Registro degli incidenti gravi con flag di gravità, escalation al fornitore + autorità entro i termini Art. 73 (15 giorni, 2 per gravi).
Esportazione audit-pronta
Export CSV del registro dei sistemi IA per auditor esterni o ispezioni. Ogni PDF generato (Allegato IV, DoC, FRIA…) include il codice di verifica SHA-256 stampato sulla pagina.
Il ruolo di Compliance Officer mappa direttamente al profilo AI Compliance & Risk Manager della norma UNI 11621-8:2026 — la prima norma italiana sui ruoli AI in allineamento con il Regolamento (UE) 2024/1689.
Apri la scheda AI-CRMQuello che chiedono nel tuo ruolo.
Il mio compliance management è in Excel. Devo passare a un tool?
Per un singolo sistema AI Excel funziona; per 5+ sistemi e 7 documenti per ciascuno (Allegato IV, DoC, FRIA, RMS, IFU, PMP, SCL) diventa insostenibile, soprattutto col versionamento richiesto dall'Art. 11. Konformia è progettato esattamente per questo passaggio di scala.Quale ordine seguire: GDPR/NIS2 → AI Act o tutto insieme?
Tutto insieme dove si sovrappone (la stragrande maggioranza dei casi). Konformia tratta i 4 livelli come «marcatori» sullo stesso sistema; un sistema HR può essere contemporaneamente alto rischio AI Act + DPIA GDPR + impatto NIS2 se è un fornitore critico.Devo certificarmi ISO 42001?
Non oggi. La certificazione ISO 42001 è volontaria e diventa rilevante per gare pubbliche / clienti enterprise da fine 2026. Konformia tiene traccia degli standard armonizzati applicati nella sezione 6 dell'Allegato IV — se domani decidi di certificarti, gran parte delle evidenze (registro, gestione del rischio, formazione, audit trail) è già pronta.Per la mia organizzazione bastano gli articoli Art. 4 + 26?
Se sei deployer di sistemi AI di terzi senza modificarli, sì — Art. 4 + Art. 26 + IFU ricevute dal fornitore + FRIA dove richiesta. Se modifichi il sistema o lo immetti sul mercato come tuo, diventi co-fornitore e ricadi negli artt. 9-17.
Continua sugli altri profili.
DPO (Data Protection Officer)
Cosa cambia per il DPO con l'AI Act: registro sistemi AI, FRIA Art. 27, integrazione DPIA, supporto AgID e Garante. Workflow Konformia.
CTO startup
AI Act per CTO startup: classificazione sistemi, Allegato IV pre-launch, audit log come evidenza, integrazione CI/CD. Workflow developer-first.
Commercialista e studio professionale
AI Act per commercialisti: nuova linea servizi compliance AI per clienti PMI, multi-cliente in Konformia, revenue share, dashboard partner.
Konformia per Compliance Officer.
Workflow tarati sul tuo ruolo, registro condiviso col team, audit log opponibile. Tre minuti di setup, dieci anni di documentazione tecnica.

