Compliance AI Act: cosa serve davvero documentare

In compliance c'è un detto che vale anche per l'AI Act: se non è documentato, non è successo. Puoi aver formato benissimo i tuoi dipendenti, aver scritto policy chiare, aver scelto solo tool affidabili. Se non ce l'hai per iscritto e archiviato, in caso di controllo non serve a nulla.

Per una PMI italiana servono 7 documenti per essere a posto sull'AI Act. Non 30, non 5: 7. Questa è la checklist operativa che usiamo nei nostri assessment.

TL;DR

I 7 documenti chiave:

1. Inventario sistemi AI in uso in azienda.
2. Policy AI interna in 1 pagina (operativa per dipendenti).
3. Procedure tecniche (documento esteso per compliance, GDPR/AI Act crosswalk).
4. Registro formativo con attestati individuali per ogni dipendente formato.
5. Valutazione di impatto per i sistemi AI ad alto rischio (se applicabili).
6. Contratti DPA con i fornitori AI principali (Microsoft, OpenAI, ecc.).
7. Log degli incidenti AI con relativa gestione.

Tutti devono essere datati, versionati, archiviati in posto accessibile e aggiornati periodicamente.

1. Inventario sistemi AI

Cosa contiene: la lista di tutti i sistemi AI usati in azienda, con per ognuno:

• Nome del sistema (es. Microsoft 365 Copilot, ChatGPT Team, HubSpot AI features).
• Scopo d'uso (es. supporto scrittura email, analisi vendite, screening CV).
• Categoria di rischio AI Act (minimo, limitato, alto, vietato).
• Tipo di dati trattati (personali, sensibili, business confidential, pubblici).
• Data di adozione e utenti coinvolti (numero, ruoli).
• Fornitore e base contrattuale (DPA firmato? Sì/No).

Formato consigliato: Excel o Airtable condiviso. Va aggiornato ogni volta che adotti un nuovo tool o ne dismetti uno.

Tempo di costruzione iniziale per una PMI di 50 persone: 2-3 giornate di lavoro (la parte più lunga è scoprire lo "shadow AI").

2. Policy AI interna in 1 pagina

Il documento operativo per i dipendenti. Ne abbiamo parlato approfonditamente in questa guida dedicata.

In sintesi: 1 pagina A4 con 4 sezioni — tool ammessi, regole d'oro, dati vietati, contatti per dubbi. Distribuita in onboarding, stampata in spazi comuni, aggiornata ogni 6 mesi.

3. Procedure tecniche (documento esteso)

Diverso dalla policy in 1 pagina: questo è il documento tecnico di compliance che mostri agli auditor o ai clienti grandi che chiedono dichiarazione AI Act. Cosa contiene:

• Crosswalk AI Act ↔ GDPR: per ogni sistema AI in inventario, come è gestito ai fini privacy (base giuridica, informativa, retention).
• Categorizzazione del rischio secondo l'AI Act (con motivazione).
• Misure di mitigazione adottate per ogni rischio identificato.
• Procedure di gestione incidenti (come comportarsi se l'AI fa un errore, chi viene coinvolto, tempi di risposta).
• Procedure di review periodica (ogni quanto si rivedono inventario, policy, formazione).
• Riferimenti normativi completi (AI Act articoli, GDPR articoli, linee guida del Garante).

Questo documento può essere lungo 15-30 pagine. Lo legge il compliance officer (o il consulente esterno) in caso di audit. Non è destinato ai dipendenti operativi.

Tempo di costruzione iniziale: 3-5 giornate di lavoro qualificato (consulente o compliance officer interno).

4. Registro formativo con attestati individuali

Il pezzo più contestato in caso di sanzione. Per ogni dipendente che usa AI direttamente o indirettamente:

• Nome e ruolo.
• Corso seguito (titolo, fornitore, durata).
• Date di erogazione.
• Esito (es. quiz finale superato all'85%).
• Attestato individuale scaricabile (PDF con codice di verifica univoco).
• Data di scadenza dell'attestato (di solito 12-24 mesi dalla formazione).

Formato: piattaforma e-learning con tracking automatico (LMS, scorm-compatibile). In alternativa, Excel + cartella attestati PDF, ma è più fragile.

I corsi e-learning con attestato verificabile pubblicamente (come quello di IA in Azienda) sono la soluzione più solida: l'auditor o il cliente possono verificare in autonomia che l'attestato sia autentico.

5. Valutazione di impatto per sistemi ad alto rischio

Quando serve: solo se la tua azienda usa sistemi AI classificati "ad alto rischio" dall'AI Act. La maggior parte delle PMI italiane non ha sistemi ad alto rischio. Casi tipici in cui sì:

• HR che usa AI per screening CV o decisioni di assunzione.
• Banche/finanziarie che usano AI per scoring credito.
• Healthcare con AI per supporto diagnostico.
• Gestori di infrastrutture critiche con AI di controllo.
• Educational con AI per valutazioni studenti.

Se rientri in uno di questi, serve una valutazione di impatto specifica per ogni sistema, che copre:

• Descrizione del sistema e del suo scopo.
• Analisi del rischio per i diritti delle persone interessate.
• Misure di mitigazione adottate.
• Possibilità di intervento umano.
• Modalità di contestazione delle decisioni automatizzate.

Questa documentazione deve essere conservata e disponibile per le autorità per almeno 10 anni dopo la dismissione del sistema.

6. Contratti DPA con fornitori AI

Per ogni fornitore AI con cui condividi dati personali:

• Data Processing Agreement firmato (o equivalente Standard Contractual Clauses se trasferimento extra-UE).
• Garanzie tecniche e organizzative del fornitore.
• Audit report se il fornitore ne pubblica (es. SOC 2, ISO 27001).

Per i fornitori principali del 2026:

• Microsoft: DPA disponibile per tenant business. Standard SOC 2 Type II e ISO 27001.
• OpenAI: DPA disponibile per Team/Enterprise (non per account personali).
• Anthropic Claude: DPA disponibile per Pro/Team/Enterprise.
• Google Workspace: DPA disponibile.

Conserva i contratti firmati e le date di rinnovo. Verifica annualmente.

7. Log degli incidenti AI

Quando l'AI fa un errore (e lo farà), serve documentare:

• Data e descrizione dell'incidente.
• Sistema AI coinvolto.
• Persone interessate (dipendenti, clienti, terzi).
• Impatto (data leak? danno economico? errore decisionale? niente di concreto?).
• Azione di gestione (chi è stato avvisato, cosa è stato corretto, in quanto tempo).
• Lezione appresa (cosa cambia in policy / formazione / processo per evitarlo).

Anche per micro-incidenti senza impatto concreto, vale la pena annotarli. È la prova che hai un processo di gestione AI vivo.

In caso di incidente serio (data breach), si attivano contestualmente le procedure GDPR (notifica al Garante entro 72 ore se applicabile).

Errori comuni da evitare

Vediamo le carenze più frequenti nelle PMI italiane:

Errore 1 — Documenti scritti una volta e dimenticati. La policy AI di 12 mesi fa è già vecchia. Serve aggiornarla almeno 2 volte all'anno.

Errore 2 — Mancanza di attestati individuali. Aver fatto una giornata di formazione "in plenaria" senza tracking dei singoli partecipanti vale poco.

Errore 3 — Confondere policy operativa e documento tecnico. La policy in 1 pagina è per i dipendenti; il documento tecnico è per audit. Non mettere tutto in un unico documento di 50 pagine.

Errore 4 — Ignorare lo shadow AI. L'inventario serve per quello che usate ufficialmente E per quello che usate "ufficiosamente". Il sondaggio anonimo è il modo migliore per scoprirlo.

Errore 5 — Conservare i documenti solo in locale. Una cartella "AI_Compliance" su SharePoint condivisa, con permessi di sola lettura per i dipendenti e write per il compliance officer, è il minimo.

Quanto tempo serve per costruire questa documentazione

Per una PMI di 50 dipendenti che parte da zero:

• Inventario sistemi AI: 2-3 giornate.
• Policy in 1 pagina: 1 giornata + 1-2 giornate per la consultazione interna.
• Documento tecnico: 3-5 giornate (consulente o compliance officer interno).
• Set-up formativo: 1-2 settimane per scegliere e attivare un corso.
• Erogazione formazione + raccolta attestati: 4-8 settimane.
• Mappatura DPA fornitori: 2-3 giornate.

Totale realistico: 2-3 mesi per essere a posto al 100%, partendo da zero. Con una squadra che ha già qualche pezzo, si scende a 4-6 settimane.

---

Vuoi essere a posto su tutto in 3 mesi?

L'Assessment Compliance AI Act di IA in Azienda è un progetto di 3 mesi in cui costruiamo la documentazione completa per la tua azienda: inventario, policy, procedure tecniche, formazione documentata, contratti, log. Il tutto audit-ready.

Scopri Assessment & Compliance · Vedi anche: Articolo 4 AI Act