Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

sicurezza

AI Act: come costruire la conformità by design con risk engineering e audit

Home Sicurezza digitale
Partecipa al dibattito
Indirizzo copiato

L’AI Act introduce un modello basato sul rischio che spinge dalla compliance formale alla conformità by design. Risk engineering, data governance e controllo documentale diventano processi continui, integrati con NIS 2 e orientamenti 2026

Pubblicato il 2 mar 2026
Claudio Caldarola

avvocato e giurista italiano specializzato in intelligenza artificiale e diritto delle tecnologie

New Delhi Declaration on AI Impact (1); ai act; AI antiriciclaggio
iperammortamento software industriale

L’entrata in vigore del Regolamento UE 2024/1689 “Artificial Intelligence Act – AI Act” configura un’architettura regolatoria densa e stratificata, imperniata su un approccio basato sul rischio.

Proviamo allora ad analizzare la transizione dalla compliance formale a un modello di conformità by design, inteso come processo sistemico che integra l’ingegneria del rischio, la data governance e il controllo documentale lungo l’intero ciclo di vita del sistema.

Attraverso l’esame del quadro normativo emergente e l’integrazione con la Direttiva UE 2022/2555 NIS 2 e gli orientamenti internazionali del 2026, definiamo un framework operativo in cui la tracciabilità decisionale e la validazione sperimentale diventano i pilastri per una responsabilità “accountability” misurabile e auditabile, allineando lo sviluppo tecnologico ai requisiti di trasparenza, protezione della privacy e robustezza.

Conformità by design e architettura del rischio nell’AI Act

Il Regolamento UE 2024/1689, noto come AI Act, regolamento europeo sull’intelligenza artificiale, stabilisce regole armonizzate per l’immissione sul mercato, la messa in servizio e l’uso di sistemi di intelligenza artificiale nell’Unione. L’impianto del regolamento europeo AI Act si fonda su un approccio basato sul rischio, che differenzia la disciplina applicabile in funzione della gravità e della natura dei rischi connessi ai sistemi di IA.

In tale prospettiva, il regolamento vieta le pratiche di intelligenza artificiale considerate inaccettabili, stabilisce i requisiti specifici per i sistemi di IA “ad alto rischio” e prevede gli obblighi distinti per le ulteriori categorie disciplinate, tra cui i modelli di IA per finalità generali “General Purpose AI – GPAI”.
L’AI Act non si limita a imporre obblighi statici, ma richiede un’applicazione simultanea e complementare di vari atti legislativi, garantendo la coerenza con la normativa di armonizzazione dell’Unione esistente.

Per i sistemi “ad alto rischio”, il regolamento impone un’architettura di conformità che deve essere integrata fin dalle fasi embrionali dello sviluppo. Tale approccio trasforma il concetto di “conformità” in un processo di risk engineering continuo, dove la valutazione è un’attività dinamica che tiene conto della finalità prevista del sistema, della natura dei dati trattati e dei potenziali impatti negativi sui diritti fondamentali.

Gestione dinamica del rischio e ciclo di vita

Ai sensi dell’Articolo 9 del Regolamento UE 2024/1689, i fornitori di sistemi “ad alto rischio” devono istituire un sistema di gestione dei rischi attivo per l’intero ciclo di vita del sistema.

Ingegneria del rischio e governance dei dati nei sistemi ad alto rischio

Ai sensi dell’Articolo 9 del Regolamento UE 2024/1689, i fornitori di sistemi “ad alto rischio” devono istituire un sistema di gestione dei rischi attivo per l’intero ciclo di vita del sistema. La conformità by design si manifesta attraverso l’obbligo di garantire la qualità dei dataset utilizzati per l’addestramento, la convalida e la prova. I dati devono essere pertinenti, rappresentativi e, per quanto possibile, esenti da errori, al fine di evitare output discriminatori che potrebbero colpire gruppi vulnerabili o violare i diritti fondamentali.

In questo ambito, la governance deve estendersi oltre la mera accuratezza statistica, integrando le preoccupazioni espresse nella Dichiarazione congiunta sulle immagini generate dall’IA e la protezione della privacy del 23 febbraio 2026. Le autorità di controllo, infatti, sottolineano come anche per esempio lo sviluppo di sistemi generativi richieda l’adozione di principi fondamentali volti a prevenire la creazione di contenuti dannosi, quali immagini intime non consensuali o raffigurazioni diffamatorie e la conformità by design si traduce, anche qui, nell’obbligo per le organizzazioni di implementare salvaguardie robuste che impediscano l’uso improprio di informazioni personali sin dalle fasi di addestramento dei modelli.

Dataset, non discriminazione e tutela dei gruppi vulnerabili

I dati devono essere pertinenti, rappresentativi e, per quanto possibile, esenti da errori, per ridurre il rischio di output discriminatori.

AI Act e NIS 2: cybersicurezza, resilienza e supply chain

L’analisi del quadro regolatorio non può prescindere dal coordinamento con la Direttiva UE 2022/2555, Direttiva relativa a misure per un livello comune elevato di cibersicurezza nell’Unione. La “NIS 2”, infatti, mira a eliminare le divergenze tra gli Stati membri stabilendo norme minime per un quadro normativo coordinato in materia di cybersicurezza, estendendo il suo ambito di applicazione a settori vitali.

Esiste una profonda interconnessione tra la sicurezza dei sistemi di intelligenza artificiale, e la resilienza delle infrastrutture digitali. L’AI Act richiede che i sistemi “ad alto rischio” siano progettati per garantire un livello adeguato di cybersicurezza, proteggendoli da tentativi di alterazione, mentre la NIS 2 integra questo quadro imponendo una governance della sicurezza delle reti che include la sicurezza della catena di approvvigionamento, elemento critico quando si integrano componenti di IA di terze parti.

Una vulnerabilità informatica in un sistema di intelligenza artificiale può avere impatti sistemici sulla sicurezza pubblica, rendendo la resilienza informatica un prerequisito della conformità legale.

Catena di approvvigionamento e componenti di terze parti

La NIS 2 impone una governance che include la sicurezza della catena di approvvigionamento, rilevante quando si integrano componenti di IA di terze parti.

Trasparenza, documentazione e tracciabilità nell’AI Act

L’architettura dell’AI Act impone standard elevati di documentazione tecnica e tracciabilità “logging”. La progettazione infatti deve permettere una sorveglianza umana efficace, volta cioè a prevenire o minimizzare i rischi per la salute, la sicurezza e di tutti i diritti fondamentali della persona umana.

La tracciabilità decisionale e la trasparenza sono ulteriormente rafforzate dalla necessità di garantire la provenienza dei contenuti. Come evidenziato dal predetto Joint Statement del 2026, le organizzazioni sono chiamate ad adottare standard tecnici che permettano di identificare chiaramente i contenuti generati dall’intelligenza artificiale. Sicché, tale requisito non è solo un onere informativo, ma una misura di protezione della privacy e dell’identità degli individui, volta a contrastare la diffusione di deepfake e a garantire che i sistemi siano sviluppati in conformità con i quadri giuridici internazionali sulla protezione dei dati.

L’obiettivo dunque è quello di rendere il sistema “auditabile”, permettendo a terzi di ricostruire il nesso causale tra input, addestramento e output generato.

Provenienza dei contenuti e contrasto ai deepfake

Le organizzazioni sono chiamate ad adottare standard tecnici per identificare chiaramente i contenuti generati dall’IA e contrastare i deepfake.

Valutazione della conformità, organismi notificati e marcatura CE

Per i sistemi “ad alto rischio”, l’accesso al mercato è subordinato a una procedura di valutazione della conformità rigorosa. Gli organismi notificati, quali soggetti terzi indipendenti incaricati delle attività di valutazione, certificazione e ispezione, verificano che i fornitori abbiano correttamente implementato i processi di governance previsti.

Le procedure includono il controllo del sistema di gestione della qualità e della documentazione tecnica. In caso di esito positivo, viene rilasciata la certificazione che abilita la marcatura CE. Il fabbricante deve mantenere a disposizione delle autorità nazionali tutta la documentazione pertinente, incluse le decisioni e le relazioni trasmesse dagli organismi notificati, per almeno 10 anni dall’immissione sul mercato.

Questo meccanismo garantisce che la responsabilità del fornitore sia costante e verificabile nel tempo.

Documentazione e conservazione per 10 anni

Il fabbricante deve mantenere a disposizione delle autorità nazionali la documentazione pertinente per almeno 10 anni dall’immissione sul mercato.

Criticità applicative e prospettive: Digital Omnibus, AI Office e autorità nazionali

Nonostante l’obiettivo di armonizzazione, emergono significative criticità legate alla complessità del quadro normativo. La necessità di coordinare l’AI Act con le legislazioni settoriali e con gli obblighi della Direttiva UE 2022/2555 “NIS 2” può generare oneri amministrativi gravosi per gli operatori.

In risposta a tali criticità, la Commissione Europea ha elaborato una proposta di regolamento denominata Digital Omnibus. È opportuno precisare che, sebbene tale proposta delinei la strategia di semplificazione legislativa dell’Unione, la sua effettiva entrata in vigore non è allo stato attuale certa, dipendendo dal completamento dell’iter legislativo ordinario. La proposta mira a ridurre la frammentazione degli obblighi di notifica degli incidenti, oggi dispersi tra AI Act, NIS 2 e GDPR, ipotizzando meccanismi di segnalazione centralizzati.

In questo contesto, si evidenzia l’esigenza di coordinare le funzioni dell’Ufficio europeo per l’IA “AI Office” con le autorità nazionali competenti, identificate in Italia nell’Agenzia per l’Italia Digitale – AgID e nell’Agenzia per la Cybersicurezza Nazionale – ACN, per garantire una vigilanza coerente ed evitare paralisi burocratiche. Tale sinergia risulta critica per i modelli di IA per finalità generali GPAI con rischio sistemico e laddove i requisiti di robustezza dell’AI Act si sovrappongono ai profili di sicurezza informatica della NIS 2.

Sotto il profilo della tutela dei diritti, il Joint Statement del 2026 esplicita una preoccupazione sistemica per i potenziali danni ai minori, quali il cyberbullismo e lo sfruttamento, con particolare riferimento alla creazione di immagini intime non consensuali (NCII – Non-Consensual Intimate Imagery) e alla manipolazione delle immagini per finalità illecite. Ciò impone ai fornitori di integrare filtri preventivi specifici e meccanismi di monitoraggio proattivo.

La complessità interpretativa risiede, dunque, nel bilanciare l’innovazione tecnologica con l’obbligo di prevenire reati gravi in un contesto di giurisdizioni multiple e requisiti legali variabili. Il Digital Omnibus si pone proprio l’obiettivo di rendere tali obblighi più coerenti e meno frammentati a livello transfrontaliero.

Notifiche incidenti e segnalazione centralizzata

La proposta mira a ridurre la frammentazione degli obblighi di notifica tra AI Act, NIS 2 e GDPR, ipotizzando meccanismi centralizzati.

Conformità by design come paradigma di accountability misurabile

L’AI Act, integrato dalla NIS 2 e dagli indirizzi delle autorità di protezione dei dati, definisce un nuovo paradigma per l’innovazione tecnologica. La conformità by design rappresenta il punto di incontro tra tecnica e diritto, dove l’ingegneria del rischio diventa lo strumento per garantire il rispetto dei valori fondamentali dell’Unione europea.

La prospettiva che emerge è quella di un’Unione Europea che ambisce a una “IA affidabile”. Attraverso l’allineamento tra gestione del rischio, qualità dei dati e supervisione umana, il Regolamento UE 2024/1689 trasforma l’accountability da principio etico a obbligo giuridico misurabile. Il successo di questa architettura dipenderà molto dalla capacità delle organizzazioni di rendere la compliance un processo dinamico, capace di adattarsi alle evoluzioni tecnologiche senza mai derogare alla tutela della dignità e della privacy degli individui.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

C
Claudio Caldarola
avvocato e giurista italiano specializzato in intelligenza artificiale e diritto delle tecnologie
Claudio Caldarola, avvocato e giurista italiano specializzato in intelligenza artificiale e diritto delle tecnologie, con competenze sulla regolamentazione delle nuove tecnologie, protezione dei dati, governance digitale ed etica dell’intelligenza artificiale. Presidente e fondatore, dal 2018, di GP4AI – Global Professionals for Artificial Intelligence aps ets (www.gp4ai.com), svolge attività accademica come docente in master universitari e programmi di alta formazione. National PhD Student in Artificial Intelligence Health and Life Sciences presso l’Università Campus Bio-Medico di Roma. La sua attività si concentra sul Regolamento europeo sull’intelligenza artificiale, sulla compliance algoritmica, sui criteri ESG applicati ai sistemi intelligenti, sui neurodiritti legati alle interfacce cervello-computer (BCI), sull’agentic AI, e sulle implicazioni di governance, policy e geopolitica dell’IA, con un approccio integrato che coniuga diritto, tecnologia e strategie di impatto sistemico. Iscritto alla Società Italiana di Intelligence – Socint. In precedenza è stato componente della Commissione Informatica dell’Ordine degli Avvocati di Bari. Dal 2025 cura la rubrica “IA & Legal” su ItaloRED.it. Riconosciuto esperto nel settore dell’IA, è regolarmente invitato come relatore in contesti accademici, istituzionali e professionali, nonché punto di riferimento su tematiche legate all’innovazione tecnologica, anche sui media.
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • sostenibilità aziendale (1) chiarezza nei rapporti aziendali Regolamento IA aziendale

  • strategie aziendali

    Oltre la trasparenza: la chiarezza come vantaggio competitivo

    12 Ago 2025

    di Sergio Aracu e Stefano Gazzella

    Condividi
  • AI ACT obblighi intelligenza artificiale etica

  • intelligenza artificiale

    AI Act, i tre documenti chiave per rispettare gli obblighi

    31 Lug 2025

    di Giacomo Borgognone e Anna Cataleta

    Condividi
  • Agenti AI tecnologie emergenti - genai in azienda soluzioni di intelligenza artificiale; AI codice penale AI generativa in azienda

  • la guida

    Agenti AI in azienda: come adottarli in modo conforme e sicuro

    02 Feb 2026

    di Giacomo Borgognone e Anna Cataleta

    Condividi
0
Lascia un commento, la tua opinione conta.x