IA: Audit di conformità — Checklist completa

Verificare la conformità dei vostri sistemi di IA all'AI Act richiede un approccio strutturato. Questa checklist copre tutti i requisiti per ogni livello di rischio, con punti di controllo specifici per il contesto normativo italiano.

Checklist 1: Inventario e classificazione

Mappatura dei sistemi

• [ ] Elenco completo di tutti i sistemi di IA utilizzati nell'organizzazione
• [ ] Per ogni sistema: nome, fornitore, finalità d'uso, dati trattati
• [ ] Identificazione del ruolo: fornitore (developer), deployer (utilizzatore) o importatore
• [ ] Classificazione del livello di rischio (inaccettabile, alto, limitato, minimo)
• [ ] Documentazione della logica di classificazione

Verifica dei divieti

• [ ] Nessun sistema di scoring sociale
• [ ] Nessun sistema di manipolazione subliminale
• [ ] Nessuno sfruttamento di vulnerabilità di gruppi specifici
• [ ] Nessun sistema di riconoscimento biometrico in tempo reale non autorizzato
• [ ] Nessun sistema di riconoscimento emotivo in ambito lavorativo o scolastico
• [ ] Nessun sistema di polizia predittiva basato esclusivamente su profilazione

Checklist 2: Sistemi ad alto rischio

Sistema di gestione del rischio (Art. 9)

• [ ] Processo di identificazione e analisi dei rischi noti e prevedibili
• [ ] Valutazione dei rischi in condizioni di uso normale e ragionevolmente prevedibile
• [ ] Misure di mitigazione adottate per ogni rischio identificato
• [ ] Rischi residui documentati e comunicati agli utilizzatori
• [ ] Test del sistema per garantire le misure di gestione del rischio
• [ ] Revisione periodica del sistema di gestione del rischio

Governance dei dati (Art. 10)

• [ ] Dataset di addestramento documentati (provenienza, caratteristiche, preparazione)
• [ ] Analisi dei bias nei dati di addestramento
• [ ] Misure per correggere i bias identificati
• [ ] Dati rappresentativi del contesto d'uso previsto
• [ ] Separazione tra dati di addestramento, validazione e test
• [ ] Politica di conservazione e gestione dei dataset

Documentazione tecnica (Art. 11)

• [ ] Descrizione generale del sistema di IA
• [ ] Elementi del sistema e processo di sviluppo
• [ ] Specifiche di progettazione dettagliate
• [ ] Descrizione dell'hardware su cui è eseguito
• [ ] Architettura del sistema e flusso di dati
• [ ] Risultati della valutazione della conformità

Registrazione automatica — Log (Art. 12)

• [ ] Sistema di logging attivo per tutte le operazioni
• [ ] Log che permettano la tracciabilità delle decisioni
• [ ] Periodo di conservazione dei log appropriato
• [ ] Protezione dei log da manipolazione
• [ ] Accessibilità dei log per le autorità di vigilanza

Trasparenza e informazioni (Art. 13)

• [ ] Istruzioni d'uso chiare e complete per i deployer
• [ ] Prestazioni e limitazioni del sistema documentate
• [ ] Livello di accuratezza dichiarato con metriche pertinenti
• [ ] Rischi noti e misure di mitigazione comunicati
• [ ] Specifiche dei dati di input richiesti

Supervisione umana (Art. 14)

• [ ] Misure per consentire la supervisione umana effettiva
• [ ] Interfaccia uomo-macchina adeguata
• [ ] Possibilità di ignorare o annullare le decisioni del sistema
• [ ] Possibilità di interrompere il sistema con un "pulsante di arresto"
• [ ] Formazione del personale addetto alla supervisione
• [ ] Procedure per l'escalation delle decisioni critiche

Accuratezza, robustezza e cybersicurezza (Art. 15)

• [ ] Livelli di accuratezza appropriati e dichiarati
• [ ] Resilienza contro errori, guasti e incoerenze
• [ ] Robustezza contro tentativi di manipolazione (adversarial attacks)
• [ ] Misure di cybersicurezza adeguate
• [ ] Piano di gestione degli incidenti specifico per il sistema di IA
• [ ] Test di sicurezza periodici

Checklist 3: Obblighi di trasparenza

Per chatbot e assistenti virtuali

• [ ] L'utente è informato che interagisce con un'IA
• [ ] L'informazione è chiara, visibile e immediata
• [ ] Non è necessaria un'azione dell'utente per vedere l'avviso
• [ ] L'avviso è presente in ogni sessione di interazione

Per contenuti generati dall'IA

• [ ] I contenuti generati sono contrassegnati come tali
• [ ] Il contrassegno è leggibile da macchina (watermark digitale)
• [ ] Il contrassegno è resistente alle modifiche comuni
• [ ] Informativa sulla generazione IA accessibile

Per sistemi di riconoscimento emotivo

• [ ] Gli utenti sono informati del funzionamento del sistema
• [ ] Il consenso è raccolto dove richiesto
• [ ] I dati biometrici sono trattati conformemente al GDPR

Checklist 4: Modelli GPAI (se applicabile)

Obblighi base

• [ ] Documentazione tecnica del modello disponibile
• [ ] Informazioni per i fornitori a valle (system card)
• [ ] Rispetto della direttiva sul diritto d'autore
• [ ] Riepilogo dei dati di addestramento pubblicato

Rischio sistemico (se >10^25 FLOPS)

• [ ] Valutazione del modello secondo protocolli standardizzati
• [ ] Valutazione e mitigazione dei rischi sistemici
• [ ] Procedura di segnalazione degli incidenti gravi
• [ ] Test di cybersicurezza (red teaming) effettuati
• [ ] Efficienza energetica documentata

Checklist 5: Conformità organizzativa

Governance

• [ ] Responsabile conformità AI Act designato
• [ ] Formazione del management sull'AI Act
• [ ] Politica aziendale sull'uso dell'IA documentata
• [ ] Processo di valutazione pre-deployment per nuovi sistemi di IA
• [ ] Budget dedicato alla conformità

Interazione con altre normative

• [ ] Coerenza con il GDPR (DPIA se necessaria, base giuridica, diritti)
• [ ] Coerenza con la NIS2 (cybersicurezza dei sistemi di IA)
• [ ] Conformità alla normativa settoriale applicabile
• [ ] Rapporto con le autorità nazionali (AgID, ACN, Garante)

Monitoraggio post-market

• [ ] Sistema di monitoraggio delle prestazioni in produzione
• [ ] Procedura di segnalazione degli incidenti alle autorità
• [ ] Feedback loop per miglioramento continuo
• [ ] Revisione periodica della conformità (almeno annuale)

Scoring dell'audit

| Punteggio | Livello | Azione | |-----------|---------|--------| | 90-100% | Conforme | Monitoraggio continuo | | 70-89% | Parzialmente conforme | Piano correttivo entro 3 mesi | | 50-69% | Non conforme | Azione immediata sui gap critici | | < 50% | Gravemente non conforme | Consulenza specialistica urgente |

Conclusione

Questa checklist è un punto di partenza, non un punto di arrivo. L'AI Act è un regolamento in evoluzione, con standard armonizzati e linee guida che saranno pubblicati progressivamente. Iniziate l'audit ora per avere il tempo di colmare i gap prima delle scadenze.

Scansiona il tuo sito web gratis con WarDek — OWASP, NIS2, GDPR, AI Act in un'unica scansione.