Ruolo · Compliance trasversale

Compliance Officer e AI Act

Per il compliance officer di una PMI o mid-market regolamentato, l'AI Act è il quarto livello di un grattacielo: sopra il GDPR (in vigore dal 2018), NIS2 (ottobre 2024), DORA (gennaio 2025) ora si aggiunge l'AI Act. Il lavoro non è leggere la norma — è capire dove si sovrappone alle altre e disegnare un controllo unico che le soddisfa tutte.

Il cambiamento principale

L'AI Act è il quarto strato di compliance dopo GDPR, NIS2 e DORA. Disegna controlli unici che soddisfano più normative.

Le nuove responsabilità

Cosa devi fare, in ordine di urgenza.

  • Art. 6 + Annex IIIMappare i sistemi di IA esistenti contro Annex III e Art. 5 — la prima diligenza è capire dove sei oggi.
  • Art. 4Coordinare il programma alfabetizzazione (Art. 4) col piano formazione GDPR e l'ISO 42001 se applicabile.
  • L. 132/2025Aggiornare il Modello 231 con la nuova fattispecie penale sui deepfake (L. 132/2025) e i principi sull'IA nel rapporto di lavoro.
  • Art. 25/26Inserire nei contratti fornitori AI le clausole Art. 25/26 — un addendum standard è meglio di una rinegoziazione caso per caso.
  • Art. 17 (QMS)Pianificare audit interni periodici sui sistemi ad alto rischio — il fascicolo Allegato IV è il primo input.
Konformia per il tuo ruolo

I workflow che useresti ogni settimana.

Cruscotto compliance score

Punteggio aggregato di compliance AI (registro + classificazioni + documentazione + Art. 4) — è il «cruscotto del board» che presenti al CdA.

Mappa articoli AI Act + L. 132/2025

Per ogni sistema AI, il verdetto del classificatore cita l'articolo dell'Allegato III applicato e i punti collegati. Sovrapposizioni con altre normative (GDPR, NIS2, DORA, MDR) restano in capo al compliance officer — Konformia non automatizza il cross-check con quelle.

Registro incidenti Art. 73

Registro degli incidenti gravi con flag di gravità, escalation al fornitore + autorità entro i termini Art. 73 (15 giorni, 2 per gravi).

Esportazione audit-pronta

Export CSV del registro dei sistemi IA per auditor esterni o ispezioni. Ogni PDF generato (Allegato IV, DoC, FRIA…) include il codice di verifica SHA-256 stampato sulla pagina.

Norma italiana UNI 11621-8:2026

Il ruolo di Compliance Officer mappa direttamente al profilo AI Compliance & Risk Manager della norma UNI 11621-8:2026 — la prima norma italiana sui ruoli AI in allineamento con il Regolamento (UE) 2024/1689.

Apri la scheda AI-CRM
Domande frequenti

Quello che chiedono nel tuo ruolo.

  • Il mio compliance management è in Excel. Devo passare a un tool?
    Per un singolo sistema AI Excel funziona; per 5+ sistemi e 7 documenti per ciascuno (Allegato IV, DoC, FRIA, RMS, IFU, PMP, SCL) diventa insostenibile, soprattutto col versionamento richiesto dall'Art. 11. Konformia è progettato esattamente per questo passaggio di scala.
  • Quale ordine seguire: GDPR/NIS2 → AI Act o tutto insieme?
    Tutto insieme dove si sovrappone (la stragrande maggioranza dei casi). Konformia tratta i 4 livelli come «marcatori» sullo stesso sistema; un sistema HR può essere contemporaneamente alto rischio AI Act + DPIA GDPR + impatto NIS2 se è un fornitore critico.
  • Devo certificarmi ISO 42001?
    Non oggi. La certificazione ISO 42001 è volontaria e diventa rilevante per gare pubbliche / clienti enterprise da fine 2026. Konformia tiene traccia degli standard armonizzati applicati nella sezione 6 dell'Allegato IV — se domani decidi di certificarti, gran parte delle evidenze (registro, gestione del rischio, formazione, audit trail) è già pronta.
  • Per la mia organizzazione bastano gli articoli Art. 4 + 26?
    Se sei deployer di sistemi AI di terzi senza modificarli, sì — Art. 4 + Art. 26 + IFU ricevute dal fornitore + FRIA dove richiesta. Se modifichi il sistema o lo immetti sul mercato come tuo, diventi co-fornitore e ricadi negli artt. 9-17.
Inizia con Konformia

Konformia per Compliance Officer.

Workflow tarati sul tuo ruolo, registro condiviso col team, audit log opponibile. Tre minuti di setup, dieci anni di documentazione tecnica.