Governance dell'IA fin dal primo giorno: il costo del retrofit per le PMI
Le regole sull'IA convergono: regolamento sull'IA (ago. 2026), leggi statali USA, Asia. Le PMI che costruiscono la governance dal primo giorno evitano la trappola del retrofit in stile GDPR.

Nel giugno 2020, un distributore britannico di 180 persone che chiameremo Northbridge Trading ha pagato 142.000 £ per fare il retrofit del GDPR: un registro delle attività di trattamento, tre DPIA, un piano di risposta alle violazioni, sei contratti con fornitori e la riprogettazione del CRM secondo il principio della protezione fin dalla progettazione che gli stessi consulenti, due anni prima, avevano stimato in 28.000 £ se progettata a monte. Il direttore operativo che ha firmato quelle fatture si trova ora davanti allo stesso precipizio con l'IA.
La fattura del retrofit che nessuno aveva messo a budget
Northbridge Trading è un caso composito, ricostruito da quattro incarichi reali tra il 2019 e il 2021. Abbiamo cambiato i nomi; i numeri sono autentici. Ciò che conta è lo schema, perché sta per ripetersi.
Nel maggio 2018 Northbridge ha affrontato il GDPR con un modello di policy da 200 £ e la sensazione che il lavoro fosse concluso. Nel maggio 2020 è arrivata la prima richiesta di accesso da parte di un interessato; è seguita una violazione sfiorata nell'integrazione delle buste paga; un reclamo all'ICO è giunto due settimane dopo. Entro il terzo trimestre del 2020 l'azienda aveva ingaggiato un legale esterno e un ingegnere della privacy per costruire un registro delle attività di trattamento, tre valutazioni d'impatto sulla protezione dei dati, un piano di risposta agli incidenti, sei contratti di nomina a responsabile del trattamento e la riprogettazione del CRM, con i controlli di protezione fin dalla progettazione innestati a posteriori in flussi di dati già operativi. Il conto è arrivato a circa cinque volte il valore di riferimento della progettazione a monte che la stessa società di consulenza aveva calcolato sull'architettura del 2017, e tutto sotto pressione normativa.
Sei anni dopo, lo stesso direttore operativo gestisce tre strumenti di IA introdotti nel corso del 2025: un assistente per la selezione dei CV, un sintetizzatore delle chiamate commerciali e un chatbot di assistenza clienti. Nessun registro di IA, nessuna classificazione del rischio per caso d'uso, nessuna documentazione ai sensi dell'art. 26, nessun programma di alfabetizzazione ai sensi dell'art. 4. Il regolamento sull'intelligenza artificiale (Regolamento (UE) 2024/1689, «AI Act») è entrato in vigore il 1° agosto 2024 [1]; il calendario della Commissione fissa la piena applicabilità, compresa la maggior parte degli obblighi sui sistemi ad alto rischio, al 2 agosto 2026 [2]. Lo strumento di selezione dei CV è ad alto rischio ai sensi dell'allegato III. La guida dell'ICO sull'IA è vincolante per le PMI britanniche ai sensi dello UK GDPR dal 2023 [7]. «Mi rifiuto», ci dice, «di firmare quell'assegno una seconda volta.»
La convergenza: perché «aspettare e vedere» ha smesso di essere prudente nel 2024
La «convergenza globale» che alimenta l'argomento a favore della progettazione a monte non è uno slogan di marketing. Nel 2024 il volume normativo è diventato misurabile e la spina dorsale tecnica condivisa è diventata visibile.
I numeri che le autorità non vogliono farvi trascurare
L'AI Index 2025 di Stanford HAI registra 59 regolamenti federali statunitensi sull'IA emanati nel 2024, più del doppio rispetto al 2023, distribuiti su un numero doppio di agenzie [3]. Gli Stati americani hanno approvato 131 leggi sull'IA in un solo anno, contro le 49 complessive fino al 2023 [3]. I riferimenti legislativi all'IA sono cresciuti del 21,3 % in 75 Paesi nel 2024 [3]. Per un direttore operativo che deve decidere se agire ora o attendere, quel volume non è rumore di fondo. È il segnale.
Il Regolamento (UE) 2024/1689 è entrato in vigore il 1° agosto 2024 [1]. Il calendario scaglionato della Commissione è la tabella di marcia pubblicata più chiara a disposizione: pratiche di IA vietate operative dal 2 febbraio 2025; obblighi sui modelli per finalità generali operativi dal 2 agosto 2025; piena applicabilità ai sistemi ad alto rischio dal 2 agosto 2026; regole sui prodotti ad alto rischio incorporati prorogate al 2 agosto 2027 [2]. Non è un unico precipizio. È una scalinata. Le PMI che attendono di arrivare all'ultimo gradino ne hanno già mancati due.
L'ancoraggio condiviso: OCSE, NIST, ISO/IEC 42001
Sotto quel volume si trova una spina dorsale condivisa che rende durevole, tra le diverse giurisdizioni, una governance progettata per tempo. I Principi dell'OCSE sull'IA, rivisti nel maggio 2024, sono stati adottati da 47 o più Paesi [4]. Costituiscono la base esplicita dell'allineamento di UE, Regno Unito, USA e G7. Il NIST AI Risk Management Framework 1.0 organizza gli obblighi attorno a quattro funzioni: Govern, Map, Measure e Manage [5]. Il programma di normazione del regolamento sull'IA fa riferimento a quel nucleo; l'AI Playbook britannico (febbraio 2025) codifica 10 principi per l'IA pubblica e prefigura standard equivalenti per la sua catena di fornitura [6].
ISO/IEC 42001 è diventato la certificazione di livello procurement che oggi gli acquirenti della fascia media del mercato richiedono. Una governance progettata sull'intersezione tra i principi dell'OCSE, le funzioni del NIST e i requisiti dell'ICO sopravvive a qualsiasi inasprimento di un singolo regime. La spina dorsale condivisa assorbe la variazione.

Perché «se ne occupa il fornitore» crolla davanti all'art. 26?
La frase più difficile da scrivere nella pagina commerciale di qualsiasi fornitore è: «Non possiamo assumerci il compito del deployer al posto vostro.» Ai sensi del regolamento sull'IA, il confine tra fornitore e deployer è esplicito e non si sposta perché avete acquistato un piano enterprise.
Il modello di responsabilità condivisa in parole semplici
L'art. 16 stabilisce gli obblighi del fornitore: valutazione della conformità, documentazione tecnica, monitoraggio post-commercializzazione [1]. L'art. 26 stabilisce gli obblighi del deployer: usare il sistema secondo le istruzioni, garantire la sorveglianza umana, mantenere pertinenti i dati di input, conservare i log degli usi ad alto rischio per almeno sei mesi e informare i lavoratori e i clienti interessati [1]. L'art. 4 aggiunge un obbligo di alfabetizzazione in materia di IA per ogni membro del personale che usa l'IA, proporzionato al suo ruolo, indipendentemente dal modello sottostante [1]. L'art. 50 impone che gli utenti sappiano quando interagiscono con un'IA, in tutti i livelli di rischio [1].
Quei quattro articoli descrivono obblighi che ricadono sulla PMI. Il DPA firmato da un fornitore non li riassegna.
Ciò che ChatGPT Enterprise e Copilot non esternalizzano
Nel momento in cui una PMI britannica incolla un CV in ChatGPT per selezionare candidati, diventa un deployer ad alto rischio ai sensi dell'allegato III [1]. La classificazione di quel caso d'uso spetta al deployer. La pagina Enterprise Privacy di OpenAI copre le garanzie lato modello: nessun addestramento sui dati aziendali, cifratura, log di audit. Non classifica il vostro caso d'uso, non redige il vostro protocollo di sorveglianza umana, non forma il vostro personale e non tiene i log del deployer di cui all'art. 26, par. 6. Una PMI di 40 persone che usa un'IA per la selezione dei CV ha gli stessi obblighi ex art. 26 di un datore di lavoro del FTSE 100. La dimensione dell'impresa non rientra nella regola di classificazione.
Ai sensi dello UK GDPR, il rapporto con il titolare del trattamento segue la stessa logica. I dati personali in un prompt rendono la PMI il titolare del trattamento. I diritti dell'interessato non sono delegabili a un fornitore.
L'ICO è stato chiaro fin dal 2023
La guida dell'ICO sull'IA spiega come i principi dello UK GDPR si applichino al trattamento di dati personali tramite IA, compresi i requisiti di DPIA, l'attenuazione dei bias e il processo decisionale automatizzato [7]. La guida è in fase di revisione a seguito del Data (Use and Access) Act 2025, entrato in vigore il 19 giugno 2025 [7]. Il toolkit di audit dell'IA dell'ICO fornisce checklist concrete in materia di governance, responsabilizzazione, trasparenza e diritti individuali [8]. Quelle checklist descrivono ciò di cui il deployer ha bisogno prima che l'ICO si presenti, non dopo. I tre strumenti di Northbridge non ne hanno alcuna. Il DPA del fornitore copre il fornitore. La lacuna appartiene al deployer.
Le prove empiriche sul costo del retrofit del GDPR: ciò che sappiamo
L'argomento empirico a favore della progettazione a monte della governance non si fonda sull'intuizione. Si fonda su ciò che è accaduto alle imprese UE che nel 2018 hanno trattato il GDPR come un ripensamento.
MIT Sloan / Bessen et al.: l'unico studio su larga scala del retrofit a disposizione
Lo studio del MIT Sloan / Bessen, Janßen, Peukert e Seamans ha confrontato imprese UE ed extra-UE dopo l'avvio dell'enforcement nel maggio 2018. I risultati sono netti: le imprese UE hanno ridotto del 26 % i dati conservati e del 15 % la capacità di calcolo, rispetto ai gruppi di controllo extra-UE [9]. La riduzione si è concentrata nella coorte che non aveva progettato per la privacy fin dall'inizio, la coorte del retrofit. Non si trattava di sanzioni o spese legali, ma di disagi operativi: prodotti dismessi, dataset di marketing cancellati, integrazioni ricostruite da zero. Le aziende che avevano progettato la privacy a monte fin dal 2016 hanno assorbito lo stesso regolamento senza quei tagli.
Northbridge Trading ha seguito il percorso del retrofit. Ha affrontato la conformità al GDPR nel 2018 con un modello di policy da 200 £ e ha scoperto il costo reale due anni dopo. I dati del MIT Sloan descrivono esattamente ciò che ha pagato: la rilavorazione architetturale che arriva quando si innestano gli obblighi di conformità in un sistema che non era stato progettato per sostenerli.
Il moltiplicatore di 2,4 volte del retrofit
I valori di riferimento di settore sul costo del retrofit giungono alla stessa conclusione dal lato dei costi: le PMI ritardatarie hanno pagato circa 2,4 volte quanto pagato dai concorrenti che avevano progettato a monte, tra registro delle attività di trattamento, DPIA, registri delle basi giuridiche, processi per le violazioni, rinegoziazione dei DPA e rilavorazione del CRM.
Ciascuna di quelle categorie del GDPR trova un equivalente diretto nel regolamento sull'IA. Un registro di IA sostituisce il registro delle attività di trattamento. Una valutazione d'impatto sui diritti fondamentali ai sensi dell'art. 27 sostituisce la DPIA del GDPR. La conservazione dei log del deployer ai sensi dell'art. 26, par. 6 sostituisce il registro delle violazioni. Le categorie sono le stesse; l'intreccio è più profondo. Modelli di IA, prompt e flussi di lavoro sono accoppiati a livello architetturale in modi che i flussi di dati non conoscevano. Estrarre gli agganci di logging o i controlli di sorveglianza da una pipeline di IA già operativa è una riscrittura ingegneristica, non un documento di policy. Ecco perché il moltiplicatore di Northbridge, pari a circa 5 volte, rientra agevolmente nell'intervallo che i dati di settore prevedono sotto la pressione dell'enforcement.
L'aritmetica dei costi per una PMI: progettazione a monte contro retrofit, voce per voce
Il moltiplicatore del retrofit e i dati operativi del MIT Sloan sono utili punti di riferimento, ma un direttore operativo ha bisogno di cifre da mettere in un documento per il consiglio di amministrazione. Ecco l'aritmetica per una PMI di 180 persone che usa tre strumenti di IA.
Valore di riferimento della progettazione a monte per una PMI di 180 persone con 3 strumenti di IA
Progettare la governance dell'IA fin dall'inizio, distribuita su dodici settimane, costa, sulla base della nostra esperienza sul campo:
- Registro di IA e classificazione dei casi d'uso per livello di rischio: 4-6 giornate di lavoro interno più una revisione di un consulente da 2.000-4.000 £
- Programma di alfabetizzazione in materia di IA (art. 4): 90 minuti di base per tutto il personale, una giornata intera per i responsabili dell'IA: 3.000-5.000 £
- Protocollo di sorveglianza umana e conservazione dei log (art. 26, par. 6) integrati nell'architettura: 4.000-6.000 £ di ingegneria più una revisione legale di 2 giornate
- Dossier di due diligence sui fornitori che copre DPA, model card e tracciabilità della divulgazione sui modelli per finalità generali: 2.000-3.000 £
Costo complessivo indicativo della progettazione a monte: 18.000-32.000 £ su dodici settimane.
Budget del retrofit sotto la pressione dell'enforcement (terzo trimestre 2026)
Fare il retrofit dello stesso insieme sotto la pressione del terzo trimestre 2026 costa sensibilmente di più:
- Legale esterno per delimitare l'esposizione all'allegato III dopo un incidente: 15.000-25.000 £
- FRIA (art. 27) e aggiornamento della DPIA su tre strumenti già operativi: 20.000-35.000 £
- Retrofit del logging e ricostruzione del flusso di sorveglianza umana: 40.000-70.000 £
- Consultazione dei lavoratori, informative di trasparenza e comunicazioni ai clienti: 8.000-12.000 £
Costo complessivo indicativo del retrofit: 85.000-145.000 £ in sei-dodici settimane di rimedio compresso. Il rapporto va da circa 2,7 a 5,1 volte, riproducendo il limite inferiore del valore di riferimento di settore e raggiungendo il limite superiore di Northbridge.
Perché il moltiplicatore è peggiore che con il GDPR
Tre ragioni strutturali spingono il moltiplicatore del retrofit dell'IA al di sopra del dato del GDPR. In primo luogo, i flussi di lavoro dell'IA sono intrecciati: prompt, versioni del modello e azioni automatizzate a valle sono accoppiati per progettazione, perciò la superficie di refactoring è più ampia che nel ricablaggio dei flussi di dati. In secondo luogo, le ricostruzioni legate agli appalti corrono parallele alla scadenza del regolatore. Una PMI che perde gare d'appalto mentre è in corso il rimedio paga entrambi i costi contemporaneamente. In terzo luogo, il tetto delle sanzioni è più alto. L'art. 99 fissa le sanzioni fino al 7 % del fatturato mondiale annuo o a 35 milioni di EUR per le pratiche vietate [1]. La direttiva sulla responsabilità in materia di IA aggiunge un'esposizione a richieste risarcitorie civili che il GDPR non generava.
Per una PMI britannica con un fatturato annuo di 25 milioni di £, un calcolo di base prudente (prima delle riduzioni per le PMI) raggiunge 750.000 EUR [1]. Il costo della progettazione a monte non è un onere di conformità. È una copertura contro una sanzione che è un multiplo di sé stesso.

Quali sono i sette documenti della governance dell'IA fin dal primo giorno?
La governance dell'IA fin dal primo giorno per una PMI di 50-500 dipendenti non è astratta. Sono sette documenti realizzabili in due settimane.
1-3: inventario e classificazione
Documento 1 — Registro di IA. Uno schema di una pagina: nome del sistema, fornitore, modello, caso d'uso, classi di dati, livello di rischio, responsabile, protocollo di sorveglianza e data di riesame. Non richiede un consulente per essere costruito; richiede disciplina per essere mantenuto.
Documento 2 — Albero decisionale di classificazione dei casi d'uso per livello di rischio. Mappato sulle categorie dell'allegato III: selezione del personale, valutazione del merito creditizio, accesso all'istruzione, identificazione biometrica e infrastrutture critiche [1]. Se uno strumento tocca uno qualsiasi di quei flussi di lavoro, fa scattare gli obblighi per l'alto rischio.
Documento 3 — Dossier di due diligence sui fornitori. Contratto di nomina a responsabile del trattamento, model card, divulgazione sul modello per finalità generali, sintesi della valutazione della conformità ed elenco dei sub-responsabili. Qui conta lo stato di firmatario del codice di buone pratiche per i modelli per finalità generali del fornitore sottostante [13].
4-5: operare e proteggere
Documento 4 — Protocollo di sorveglianza umana. L'art. 26, par. 5 impone una persona designata in grado di riesaminare e annullare qualsiasi decisione automatizzata [1]. Il protocollo specifica chi sia quella persona, il flusso di annullamento, i criteri di escalation e la cadenza di riesame.
Documento 5 — Programma di alfabetizzazione in materia di IA (art. 4). 90 minuti di base per tutto il personale, mezza giornata per gli utenti avanzati e una giornata intera per i responsabili dell'IA, aggiornato ogni anno [1]. L'art. 4 si applica a tutti i deployer a prescindere dal fornitore, e la proporzionalità si commisura al ruolo, non al numero di dipendenti.
6-7: documentare e rispondere
Documento 6 — Processo di logging e gestione degli incidenti. I log del deployer di cui all'art. 26, par. 6, il monitoraggio della deriva dei modelli e i controlli del ciclo di vita della sicurezza tratti dalle Guidelines for Secure AI System Development dell'NCSC, guida congiunta con CISA e 21 agenzie internazionali per la cybersicurezza [10]. Integrate il log nell'architettura; i documenti di policy senza agganci ingegneristici falliscono all'audit.
Documento 7 — Dossier di trasparenza e informazione dei lavoratori. Le informative agli utenti ex art. 50 per l'IA rivolta ai clienti, l'informazione dei lavoratori ex art. 26, par. 7 per qualsiasi IA che monitori i dipendenti e un canale di reclamo chiaro [1].
Ancorati a framework avallati dai regolatori
Ogni documento si mappa sulle checklist di governance e responsabilizzazione del framework di audit dell'IA dell'ICO [8] e sul nucleo del NIST AI RMF: Govern, Map, Measure e Manage [5]. ISO/IEC 42001 si mappa sullo stesso insieme dei sette documenti. Costruiteli una volta e soddisferanno più regimi contemporaneamente.
Gli appalti sono il meccanismo di enforcement che i vostri clienti hanno anticipato
Ogni risultato di ricerca inquadra l'enforcement del regolamento sull'IA attraverso la lente delle sanzioni dei regolatori. Nessuno menziona ciò che le PMI britanniche che vendono alla fascia media del mercato e alle grandi imprese stanno già riscontrando nel 2026: il questionario dell'acquirente è arrivato prima.
Cosa chiedono ora gli acquirenti della fascia media e le grandi imprese
I questionari per i fornitori nelle gare d'appalto britanniche in fase avanzata fanno ormai riferimento alle famiglie di controlli ISO/IEC 42001 e al nucleo a quattro funzioni del NIST AI RMF [5]. Richiedono prova di un registro di IA e della classificazione dei casi d'uso per livello di rischio, di un protocollo documentato di sorveglianza umana conforme all'art. 26, par. 5 [1] e della divulgazione dei sub-responsabili con la provenienza del modello per finalità generali: quale modello di base, quale fornitore, quale firmatario del codice di buone pratiche [13]. I team appalti non aspettano gli orientamenti sull'enforcement. Proteggono le proprie catene di fornitura dalla responsabilità che risale a monte quando lo strumento di IA di un fornitore provoca un incidente.
I sette documenti della sezione precedente sono esattamente ciò che chiede un questionario fornitori della Sezione 9.
Northbridge perde una gara nel secondo trimestre 2026
Northbridge Trading ha partecipato a una gara per un contratto triennale da 420.000 £ con un cliente regolamentato della fascia media del mercato nel secondo trimestre 2026. La Sezione 9 recitava: «Mantenere un registro di IA, un processo di FRIA e un protocollo di sorveglianza umana — fornire le prove.» Northbridge non ha saputo rispondere. Il contratto è andato a un concorrente con un registro di una pagina e uno stack di policy modellato sul NIST. La ricostruzione imposta dagli appalti si somma ora alla scadenza del regolatore. Entrambi gli orologi sono in marcia.
L'eredità del settore pubblico
Le PMI britanniche che vendono alla pubblica amministrazione affrontano lo stesso standard attraverso un canale diverso. L'AI Playbook governativo pubblicato nel febbraio 2025 definisce 10 principi su uso etico, responsabilità, trasparenza e gestione del ciclo di vita, e i fornitori li ereditano come condizioni contrattuali [6]. L'AI Opportunities Action Plan del DSIT, accolto integralmente nel gennaio 2025, rafforza il dispiegamento responsabile dell'IA come aspettativa della catena di fornitura [11]. L'AI Foundation Models Initial Report della CMA aggiunge una lente di tutela del consumatore e di concorrenza che si sovrappone a qualsiasi dispiegamento di un modello di base [12].
Restare sotto il radar del regolatore non vi salva dal questionario dell'acquirente. Northbridge l'ha scoperto nel modo più costoso.
Cosa rinvia — e cosa NON rinvia — il Digital Omnibus
Il titolo del Digital Omnibus del novembre 2025 («L'UE rinvia il regolamento sull'IA») non regge a una lettura attenta della proposta effettiva. La confusione è comprensibile. Il titolo non è accurato.
Ciò che è già operativo e invariato
Quattro obblighi sono già in vigore e nessun esito dell'Omnibus li tocca. Il divieto delle pratiche di IA vietate è operativo dal 2 febbraio 2025 [2]. L'obbligo di alfabetizzazione in materia di IA dell'art. 4 è operativo dal 2 febbraio 2025 [1]. Gli obblighi dei fornitori di modelli per finalità generali e il regime del codice di buone pratiche sono diventati operativi il 2 agosto 2025 [2]. E lo UK GDPR è già vincolante per ogni organizzazione britannica che tratta dati personali, PMI comprese; la guida dell'ICO su IA e protezione dei dati è l'interpretazione del regolatore su come quella legge si applichi ai sistemi di IA — non un codice di legge, ma il riferimento pratico di conformità rispetto al quale l'ICO effettuerà le proprie valutazioni [7].
Cosa propone effettivamente il Digital Omnibus
L'Omnibus propone un rinvio circoscritto del regime di valutazione della conformità ad alto rischio dell'allegato III, dei requisiti di documentazione tecnica e di registrazione nella banca dati UE per i fornitori di specifiche categorie di sistemi ad alto rischio. Non propone di rinviare gli obblighi dei deployer (art. 26), gli obblighi di trasparenza (art. 50), gli obblighi di alfabetizzazione (art. 4) né la disciplina documentale della FRIA. Quegli obblighi restano sul calendario pubblicato.
Il trilogo si è arenato il 28 aprile 2026. Un nuovo calendario era in sospeso al momento della stesura. La scadenza pubblicata dalla Commissione resta perciò il riferimento giuridicamente operativo [2]. Le PMI che hanno letto «rinviato al 2027» e hanno differito la progettazione della governance su quella base sono già in ritardo rispetto agli obblighi lato deployer, che non si sono mai spostati.
Il nucleo stabile che nessun esito dell'Omnibus tocca
Una governance progettata sul nucleo stabile (classificazione del rischio per caso d'uso, sorveglianza umana, conservazione dei log del deployer, documentazione di FRIA e DPIA, formazione di alfabetizzazione in materia di IA, divulgazione di trasparenza) sopravvive a qualunque versione dell'Omnibus finisca per imporsi. Ciò che cambia tra le versioni dell'Omnibus è in quale allegato si collochi un caso d'uso, non se una PMI abbia bisogno di un registro, di un protocollo di sorveglianza e di un processo per gli incidenti. «Abbiamo tempo fino al 2027» non è una lettura che il testo consenta.
Come può una PMI costruire la governance dell'IA in 90 giorni?
Dodici settimane bastano a realizzare una governance progettata a monte se il lavoro è sequenziato. Ecco il piano settimana per settimana per una PMI di 50-500 dipendenti che parte da zero.
Settimane 1-3 — Inventariare e classificare
Individuate ogni strumento di IA in uso, compresa la shadow AI: Copilot incorporato in Microsoft 365, IA nelle estensioni del browser, moduli SaaS di nicchia con funzioni di IA che il vostro team appalti non ha mai valutato esplicitamente. Predisponete il registro di IA e assegnate un responsabile per ogni sistema. Eseguite l'albero di classificazione dei casi d'uso per livello di rischio rispetto all'allegato III e segnalate qualsiasi esposizione nella selezione del personale, nel merito creditizio, nell'istruzione, nell'identificazione biometrica o nelle infrastrutture critiche [1]. Effettuate una rapida verifica della base giuridica ai sensi dello UK GDPR per ogni sistema che tratta dati personali [7].
Settimane 4-7 — Operare e documentare
Redigete il protocollo di sorveglianza umana per ciascun sistema ad alto rischio e a rischio limitato: persona designata, flusso di annullamento, criteri di escalation, cadenza di riesame (Documento 4). Implementate la conservazione dei log di cui all'art. 26, par. 6 ovunque la piattaforma lo consenta; altrimenti costruite il log lato deployer. Non affidate questo ai documenti di policy [8]. Erogate il programma di alfabetizzazione in materia di IA dell'art. 4: prima la base di 90 minuti per tutto il personale, poi le sessioni di approfondimento per utenti avanzati e responsabili dell'IA [1]. Aggiornate le DPIA e le FRIA rispetto al toolkit dell'ICO per ogni sistema ad alto rischio [8].
Settimane 8-12 — Pronti per gli appalti e riesame
Costruite il dossier di due diligence sui fornitori: DPA, model card, provenienza del modello per finalità generali, elenchi dei sub-responsabili e stato di firmatario del codice di buone pratiche per ciascun fornitore di un modello di base [13]. Pubblicate le informative di trasparenza ex art. 50 sull'IA rivolta ai clienti; informate i lavoratori interessati ai sensi dell'art. 26, par. 7 [1]. Mappate i sette documenti sul formato dei questionari di appalto che inviano gli acquirenti della fascia media del mercato: famiglie di controlli ISO/IEC 42001 e funzioni del NIST AI RMF [5]. Programmate il primo riesame trimestrale della governance e nominate un responsabile dell'alta direzione, come richiesto dal toolkit dell'ICO [8].
Due anti-pattern da evitare
Primo: acquistare un abbonamento a uno strumento da 40.000 £ prima di aver compilato il registro. Uno strumento senza un perimetro di governance è teatro. Lo strumento fa emergere rischi che la PMI non ha ancora definito.
Secondo: trattare l'alfabetizzazione dell'art. 4 come un webinar una tantum. L'obbligo è continuativo e proporzionato al ruolo [1]. Una sessione di avvio di 90 minuti soddisfa la base; non soddisfa l'aggiornamento annuale né le sessioni più approfondite per i responsabili dell'IA. La riscrittura architetturale che hanno pagato i ritardatari del GDPR è arrivata perché si scrivevano documenti di policy e si saltava l'ingegneria. Lo stesso schema, applicato all'IA, produce lo stesso risultato.
Lezione appresa
La lezione che Northbridge ha già pagato
Nel giugno 2020 il direttore operativo di Northbridge ha firmato 142.000 £ di fatture per fare il retrofit del GDPR a fronte di un valore di riferimento di 28.000 £ per la progettazione a monte. Non è stato un fallimento degli appalti. È ciò che accade quando un operatore competente tratta la conformità come qualcosa da sovrapporre una volta che il prodotto funziona. I dati del MIT Sloan trasformano quell'esperienza in uno schema: le imprese UE hanno ridotto del 26 % i dati conservati e del 15 % la capacità di calcolo dopo il 2018, con l'impatto più pesante tra le imprese che non avevano integrato la privacy fin dal primo giorno [9]. Il regolamento sull'IA sta per impartire quella lezione una seconda volta.
I retrofit della governance dell'IA risultano peggiori perché logging, sorveglianza umana e prompt sono intrecciati con l'architettura dei flussi di lavoro. Gli appalti applicano il regolamento prima dei regolatori. I sette documenti costano 18.000-32.000 £ se progettati a monte; costano 85.000-145.000 £ se rifatti in retrofit sotto la pressione congiunta dell'enforcement e degli appalti. L'aritmetica non è sottile.
In sintesi
AI governance from day one — why retrofitting costs more │ ├─ The retrofit trap │ ├─ GDPR precedent — one SMB paid ~5x to bolt it on late │ ├─ AI Act is worse — prompts & logs entangle with workflow │ └─ The numbers — design-in £18-32k vs retrofit £85-145k │ ├─ You can't outsource it │ ├─ Article 26 — the deployer's job stays with the SMB │ └─ Buying Copilot — vendor covers the model, not your use case │ └─ Act now, not in 2027 ├─ Procurement first — RFP questionnaires enforce before fines ├─ Omnibus myth — it defers providers, not deployer duties └─ Seven artefacts — register, oversight, logging, literacy
Approfondimenti correlati
- Local LLM vs Cloud LLM Data Security: The Wrong Question (2026)EN — l'insieme di controlli di classificazione dei dati e DLP che i sette documenti di governance presuppongono già in essere.
- Human-in-the-Loop Isn't Oversight. It's a Design Discipline. — come l'obbligo di sorveglianza umana dell'art. 26 diventa un sistema di soglie funzionante anziché un rituale di approvazione.
- 50 Questions to Ask Before Implementing AI: SMB Buyer's GuideEN — la diligenza in fase d'acquisto che fa emergere le lacune nei documenti di governance prima della firma dell'appalto, non dopo.
Frequently Asked Questions
Quando entra in vigore il regolamento sull'IA per le PMI britanniche e quali obblighi sono già operativi?
Quanto costa fare il retrofit della governance dell'IA rispetto a progettarla fin dall'inizio per una PMI di 180 persone?
Acquistare ChatGPT Enterprise o Microsoft Copilot trasferisce al fornitore la conformità al regolamento sull'IA?
Come si presenta concretamente la governance dell'IA fin dal primo giorno per una PMI?
Il Digital Omnibus del novembre 2025 rinvia il regolamento sull'IA abbastanza da permettere a una PMI di attendere?
Che cos'è una valutazione d'impatto sui diritti fondamentali (FRIA) ai sensi dell'art. 27 del regolamento sull'IA e chi deve effettuarla?
La certificazione ISO 42001 aiuta nella preparazione al regolamento sull'IA o sono percorsi di conformità distinti?
Sources
- 1.Regulation (EU) 2024/1689 — Artificial Intelligence Act — European Parliament and of the Council · 2024
- 2.Regulatory Framework on AI — European Commission · 2024
- 3.2025 AI Index Report — Chapter 6: Policy and Governance — Stanford Institute for Human-Centered AI (HAI) · 2025
- 4.AI Principles (revised May 2024) — OECD · 2024
- 5.Artificial Intelligence Risk Management Framework (AI RMF 1.0) — NIST · 2023
- 6.Artificial Intelligence Playbook for the UK Government — UK Government Digital Service / DSIT · 2025
- 7.Guidance on AI and Data Protection — Information Commissioner's Office (ICO) · 2023
- 8.AI and Data Protection Risk Toolkit / AI Auditing Framework — Information Commissioner's Office (ICO) · 2023
- 9.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans) — MIT Sloan · 2022
- 10.Guidelines for Secure AI System Development — National Cyber Security Centre (NCSC) · 2023
- 11.AI Opportunities Action Plan — UK Department for Science, Innovation and Technology (DSIT) · 2025
- 12.AI Foundation Models: Initial Report — Competition and Markets Authority (CMA) · 2023
- 13.Guidelines for Providers of General-Purpose AI Models — European Commission · 2024
Want this run on your business?
AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.
You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.