Skip to content

Come costruire un registro di IA in 90 minuti (regolamento UE sull'IA)

Una guida in cinque passi e 90 minuti per il registro di IA che le PMI europee devono tenere ai sensi dell'articolo 26 del regolamento sull'IA e degli orientamenti dell'ICO. Colonne iniziali, insidie, regole sul responsabile.

Come costruire un registro di IA in 90 minuti (regolamento UE sull'IA)
Methodology by Daniela PiskackovaCo-founder & AI Audit Lead

La maggior parte delle PMI europee considera il registro di IA un adempimento gravoso, da produrre quando l'applicazione del regolamento sull'IA si farà sentire. È un errore di categoria. Una v1 funzionante richiede novanta minuti, se la si imposta come un inventario lato deployer e non come un artefatto di conformità. Di seguito trovate la procedura in cinque passi che applichiamo con i responsabili operativi nei nostri incarichi di audit: la stessa che, entro il venerdì pomeriggio, mette su una pagina il quadro di rischio dell'allegato III e fa guadagnare il tempo per svolgere poi, con calma, il lavoro più lento.

Risposta rapida. Un registro di IA è l'inventario, lato deployer, di ogni sistema di IA presente in azienda, presupposto dagli obblighi dei deployer di cui all'articolo 26 del regolamento sull'IA [1] e allineato agli orientamenti dell'ICO ai sensi del UK GDPR [2]. Una v1 funzionante richiede novanta minuti per le PMI sotto i 200 dipendenti: 15 minuti per l'elenco, 20 per la classificazione del rischio rispetto all'allegato III, 25 per compilare le colonne fondamentali e 30 per assegnare i responsabili e verificare la sorveglianza.

Che cos'è un registro di IA?

Il registro di IA sta agli obblighi dei deployer dell'articolo 26 come il registro delle attività di trattamento (ROPA) sta all'articolo 30 del UK GDPR: un inventario vivo che nomina ogni sistema, ne classifica il livello di rischio e gli assegna una persona responsabile. È il documento che un ispettore dell'ICO, un ufficio acquisti o il team di sicurezza fornitori di un cliente enterprise chiederà per primo.

Il regolamento sull'IA non prescrive il formato del registro nel testo normativo. L'articolo 26, paragrafo 5, impone ai deployer di sistemi ad alto rischio di garantire la sorveglianza umana da parte di una persona designata e competente; l'articolo 26, paragrafo 6, impone di conservare i log degli usi ad alto rischio per almeno sei mesi [1]. Il registro è il substrato operativo che rende visibili entrambi. L'ICO ha chiarito sin dal 2023 che l'IA che tratta dati personali ai sensi del UK GDPR fa scattare la disciplina della valutazione d'impatto sulla protezione dei dati e gli obblighi di responsabilizzazione [2], e il toolkit dell'ICO per l'audit dell'IA enumera i tipi di registrazioni strutturate di cui una PMI avrà bisogno [3]. Nessuna autorità impone uno strumento specifico. Un foglio di calcolo che nomina le colonne giuste e assegna i responsabili giusti supera la prova.

Perché novanta minuti bastano (e che cosa non vi danno)

Il registro non è la meta. È la mappa. Novanta minuti bastano a far emergere quale IA è in uso, a classificarne il livello di rischio e ad assegnarne la responsabilità: la triade di fatti che ogni deployer deve dimostrare prima che un'autorità, un cliente o il consiglio di amministrazione li chieda. Ciò che novanta minuti non vi danno: una valutazione d'impatto sui diritti fondamentali ai sensi dell'articolo 27 per ciascun sistema dell'allegato III, un percorso di alfabetizzazione in materia di IA ai sensi dell'articolo 4 proporzionato al ruolo, un dossier di due diligence sui fornitori che copra i contratti di trattamento e le model card, o un protocollo di sorveglianza umana scritto per intero [1]. Sono cantieri successivi, dimensionati su ciò che il registro fa emergere.

La disciplina del timeboxing conta più della rifinitura. Nei nostri incarichi di audit, le PMI che trattano il registro come un progetto plurisettimanale di solito non lo producono affatto; quelle che fissano un tetto di novanta minuti alla v1 producono un registro il primo giorno e poi lo affinano. Gli obblighi dell'articolo 26 sono continui, non puntuali: una v1 che potete aggiornare vale rigorosamente più di una v3 che non avete mai iniziato.

Come si svolge il flusso del registro di IA in 90 minuti?

Passo 1 — Elencate ogni sistema di IA in uso (15 minuti)

Tre fonti coprono quasi tutto ciò che troverete. Recuperate gli abbonamenti SaaS a pagamento dalla contabilità o dalla carta spese: ogni fornitore con «AI», «ML», «Copilot», «Assistant» o «Insight» nel nome del prodotto va nell'elenco. Recuperate l'IA integrata dalle piattaforme che già utilizzate: Microsoft 365 Copilot, le funzioni Gemini di Google Workspace, Salesforce Einstein, HubSpot Breeze, le risposte automatiche di Outlook, i riepiloghi delle riunioni di Teams rientrano tutti nel perimetro, a pagamento o meno. Recuperate la shadow AI con un messaggio di una riga a tutto il personale, chiedendo quali strumenti di IA usa quotidianamente, compresi gli account consumer non a pagamento.

Trattate la shadow AI come rientrante nel perimetro. Un dipendente che incolla un CV in un account ChatGPT gratuito rende la PMI un deployer ad alto rischio dell'allegato III ai sensi delle disposizioni del regolamento sull'IA in materia di lavoro [1], e i dati lasciano il vostro ambiente ai sensi del UK GDPR [2]. Il compito del registro è farla emergere, non bloccarla. Il blocco arriva al passo 4, una volta che sapete cosa c'è.

Passo 2 — Classificate ogni sistema in base al rischio rispetto all'allegato III (20 minuti)

L'allegato III del regolamento sull'IA enumera otto ambiti ad alto rischio [1]: identificazione biometrica, infrastrutture critiche, istruzione e formazione professionale, occupazione e gestione dei lavoratori, accesso ai servizi essenziali, attività di contrasto, migrazione e controllo delle frontiere, e amministrazione della giustizia. Per le PMI i fattori scatenanti concreti sono di solito l'occupazione (screening dei CV, classificazione delle prestazioni, pianificazione automatica dei turni), l'accesso ai servizi (decisioni sul credito, tariffazione assicurativa) e l'istruzione (valutazioni della formazione, certificazioni).

Per ogni sistema dell'elenco, etichettatelo come uno fra: ad alto rischio (corrispondenza con l'allegato III), a rischio limitato (obblighi di trasparenza ai sensi dell'articolo 50), a rischio minimo (nessun obbligo specifico oltre all'alfabetizzazione dell'articolo 4) o deployer di un modello di IA per finalità generali (uso di un modello di IA per finalità generali come base di un chatbot o di un assistente) [1]. La maggior parte degli stack delle PMI si colloca su due o tre livelli. La classificazione spetta al deployer: non è delegabile al fornitore e non dipende dalle dimensioni dell'azienda.

Passo 3 — Compilate le dieci colonne fondamentali (25 minuti)

Le colonne che meritano un posto in un registro lato deployer:

  1. Nome del sistema — come lo chiama il personale ogni giorno.
  2. Fornitore — la persona giuridica che sta dietro al prodotto.
  3. Modello o versione — dove noto (ad esempio GPT-4o, Claude 3.5, Gemini 1.5, soluzione interna).
  4. Caso d'uso — una frase che descrive cosa il sistema decide o genera.
  5. Livello di rischio — alto / limitato / minimo / deployer di IA per finalità generali.
  6. Dati personali coinvolti — Sì/No, con le categorie ai sensi del UK GDPR.
  7. Base giuridica — la base ai sensi dell'articolo 6 del UK GDPR (legittimo interesse, contratto, consenso, ecc.).
  8. Persona responsabile — una persona fisica designata, non un team o un ruolo.
  9. Log dell'articolo 26, paragrafo 6 — Sì/No/N.A. per i sistemi ad alto rischio messi in servizio.
  10. Data di messa in servizio — come minimo, mese e anno.

Un foglio di calcolo con queste dieci colonne risponde alla prima domanda che ogni autorità, cliente o membro del consiglio porrà. Tutto ciò che va oltre è lavoro iterativo, non lavoro da v1. Resistete all'impulso di aggiungere colonne finché non avete compilato tutte e dieci su ogni riga.

Passo 4 — Designate una persona responsabile per ciascun sistema (15 minuti)

L'articolo 26, paragrafo 5, impone ai deployer di sistemi ad alto rischio di garantire la sorveglianza umana da parte di una persona competente e responsabile, dotata dell'autorità di sospendere o annullare le decisioni del sistema [1]. Traducetelo nel registro nominando una persona reale su ogni riga dell'allegato III, non un ruolo come «referente IT» o «responsabile operativo». La persona responsabile deve avere tre requisiti: saper leggere gli output del sistema, avere l'autorità di disattivarlo ed essere raggiungibile per nome nel registro.

Per i sistemi non rientranti nell'allegato III, designate comunque un responsabile. L'obbligo formale è più lieve; la disciplina è la stessa. I responsabili operativi e i dirigenti di linea sono i titolari naturali nella maggior parte delle PMI; non serve un CTO o un CDO.

Passo 5 — Verificate a campione la sorveglianza umana su un sistema ad alto rischio (15 minuti)

Per la riga a rischio più elevato dell'allegato III, ponetevi tre domande: una persona rivede l'output dell'IA prima che incida su un individuo (la verifica della persona nel processo)? Quella persona può annullare nella pratica la decisione dell'IA (la verifica dell'autorità)? Ha ricevuto una formazione adeguata al ruolo ai sensi dell'articolo 4 (la verifica della competenza) [1]? Le risposte vanno in una colonna a testo libero «note sulla sorveglianza umana», accanto alle dieci colonne fondamentali.

Non completerete il protocollo di sorveglianza umana in quindici minuti. L'obiettivo è far emergere dove sia la lacuna, non colmarla. Una riga che recita «nessuna revisione umana sullo screening dei CV; lacuna da colmare entro 30 giorni» è esattamente l'output giusto. Il compito del registro è rendere visibile la lacuna; colmarla è un cantiere a sé e un budget a sé.

La costruzione del registro di IA in 90 minuti come flusso a tempo: elencare i sistemi in 15 minuti, classificarli per rischio rispetto all'allegato III in 20, compilare dieci colonne fondamentali in 25, designare un responsabile in 15 e verificare a campione la sorveglianza in 15.
La costruzione del registro di IA in 90 minuti come flusso di lavoro a tempo.

Quali cinque insidie affossano una v1 del registro di IA?

  • Trattare il registro come un documento una tantum. Gli obblighi dell'articolo 26 sono continui: il registro è un artefatto vivo, rivisto almeno ogni trimestre e aggiornato ogni volta che si mette in servizio un nuovo sistema di IA o un fornitore rilascia un cambio di modello rilevante.
  • Trascurare la shadow AI. Gli account consumer non a pagamento e le sessioni Copilot personali sono la categoria a più alta incidenza e minore visibilità. Se il registro non li fa emergere, mente.
  • Comprare uno «strumento di conformità» prima di fare l'elenco. Il SaaS di conformità di un fornitore non classificherà i vostri casi d'uso: solo il vostro team può farlo. Prima il foglio di calcolo, lo strumento dopo (o mai; per le PMI sotto i 200 dipendenti un foglio di calcolo aggiornato è sufficiente).
  • Assegnare un ruolo anziché una persona. Un «team IT» non si può contattare. Una persona fisica designata, con un numero di telefono, sì. L'articolo 26, paragrafo 5, presuppone la seconda [1].
  • Saltare del tutto l'alfabetizzazione dell'articolo 4. L'articolo 4 si applica dal 2 febbraio 2025 a ogni dipendente che usa l'IA, in modo proporzionato al ruolo [1]. Non è un livello di rischio: ogni sistema fa emergere un obbligo ai sensi dell'articolo 4. Annotatelo nel registro anche quando il percorso formativo vero e proprio è lavoro successivo.

Cosa fare dopo i novanta minuti

Il registro è lo strato di scoperta. Da esso decollano di norma tre cantieri di seguito:

  1. Dimensionamento della FRIA per ciascuna riga dell'allegato III, ai sensi dell'articolo 27 del regolamento sull'IA [1]: un documento distinto e più approfondito che la colonna del livello di rischio del registro avvia, anziché sostituire.
  2. Percorso di alfabetizzazione in materia di IA ai sensi dell'articolo 4 — proporzionato al ruolo, dimensionato sulla colonna della persona responsabile del registro anziché sull'organico.
  3. Dossier di due diligence sui fornitori — contratti di trattamento, model card, provenienza dei modelli di IA per finalità generali, dimensionato sulla colonna del fornitore del registro e aggiornato al rinnovo dell'acquisto.

Sono i cantieri che un approccio integrato sin dall'inizio copre in circa dodici settimane per 18.000-32.000 GBP, secondo la nostra esperienza sul campo, e gli stessi cantieri che un approccio di adeguamento a posteriori copre in sei settimane compresse per 85.000-145.000 GBP: un moltiplicatore coerente con i dati post-GDPR del MIT Sloan sulle imprese UE, che hanno ridotto del 26 % i dati conservati e del 15 % la capacità di calcolo sotto la pressione dell'applicazione [4]. Il registro è la prima mossa più economica possibile a fronte di questa aritmetica.

In sintesi

AI Register in 90 Minutes — a deployer-side inventory
│
├─ The five-step build
│   ├─ List (15m) — paid, embedded, and shadow AI in scope
│   ├─ Risk-tier (20m) — match each system to Annex III
│   ├─ Ten columns (25m) — the audit-ready floor, no more
│   ├─ Name owners (15m) — a person per system, not a team
│   └─ Spot-check (15m) — surface the oversight gap, don't close it
│
├─ Why timebox v1
│   ├─ A living map — Article 26 duties are continuous
│   └─ v1 you update beats v3 you never start
│
└─ What it doesn't buy
    └─ Downstream — FRIA, Article 4 literacy, vendor due diligence

Approfondimenti correlati


Ultimo aggiornamento: maggio 2026. Versione 1.0.

Frequently Asked Questions

Un registro di IA sostituisce il registro delle attività di trattamento previsto dal GDPR?
No, sono inventari complementari con basi giuridiche diverse. Il registro delle attività di trattamento (ROPA) è prescritto dall'articolo 30 del UK GDPR e cataloga i flussi di dati personali. Il registro di IA è la sua controparte lato deployer ai sensi dell'articolo 26 del regolamento sull'IA e degli orientamenti dell'ICO, e cataloga ogni sistema di IA, a prescindere dal fatto che tratti dati personali. Molti sistemi compaiono in entrambi, ma il rimando è da uno a molti in entrambe le direzioni.
Il nostro personale usa ChatGPT gratuito e Copilot consumer. Contano per il registro?
Sì. Gli obblighi dei deployer di cui all'articolo 26 si applicano alla PMI a prescindere dal fatto che l'abbonamento di IA sia aziendale o consumer, a pagamento o gratuito. Nel momento in cui un dipendente usa uno strumento di IA nello svolgimento del lavoro, la PMI è il deployer e il sistema rientra nel registro. Inoltre, gli account consumer gratuiti di norma non offrono il contratto di trattamento dati che un piano enterprise garantisce, aumentando l'esposizione ai sensi del UK GDPR anziché ridurla.
La nostra PMI ha sede fuori dall'UE. Il regolamento sull'IA si applica al nostro registro?
Per le PMI con sede fuori dall'UE l'applicabilità diretta del regolamento sull'IA è più ristretta, ma raramente nulla. Il regolamento ha portata extraterritoriale quando l'output del sistema è usato nell'UE, cosa frequente per i prodotti SaaS e i servizi B2B. Anche senza esposizione UE, le autorità nazionali ne seguono la logica per i deployer: l'ICO allinea ad essa i propri orientamenti dal 2023 e giurisdizioni europee analoghe stanno facendo lo stesso. Un registro impostato sull'articolo 26 soddisfa anche queste tendenze nazionali.
Chi dovrebbe occuparsi del registro di IA in una PMI senza CTO?
Il direttore operativo, il responsabile della conformità o una figura di vertice che risponde all'amministratore delegato. Il registro è lavoro redazionale, non tecnico: tenere aggiornate le righe, rivedere i livelli di rischio quando i sistemi cambiano e sollecitare ogni trimestre le persone designate. Un modello diffuso nelle PMI prevede un unico titolare designato che gestisce il registro in circa tre ore al trimestre, oltre alla persona designata per ciascuna riga, che si fa carico degli obblighi specifici del proprio sistema.
Con quale frequenza dovremmo aggiornare il registro?
Per le PMI il minimo realistico è trimestrale, con un aggiornamento legato agli eventi ogni volta che si acquisisce un nuovo sistema di IA o esce un cambio di modello rilevante (ad esempio un fornitore che passa da una generazione di modello alla successiva). Per le righe ad alto rischio dell'allegato III, i log si aggiornano in continuo ai sensi dell'articolo 26, paragrafo 6. Un registro statico di un anno fa non supera la prova di comprovabilità davanti a un'autorità o a un ufficio acquisti enterprise.
Basta un foglio di calcolo o serve uno strumento GRC dedicato?
Per le PMI sotto i 200 dipendenti circa, un foglio di calcolo è sufficiente. Sono le colonne, i titolari designati e la disciplina dell'aggiornamento trimestrale a reggere il peso dell'audit, non la piattaforma. Excel o Google Sheets, con accesso limitato e cronologia delle versioni, soddisfa il requisito di comprovabilità. Gli strumenti GRC dedicati diventano utili sopra i 500 dipendenti circa o oltre quindici sistemi di IA; sotto tale soglia, il costo dello strumento supera il tempo risparmiato.

Sources

  1. 1.Regulation (EU) 2024/1689 — Artificial Intelligence ActEuropean Parliament and of the Council · 2024
  2. 2.Guidance on AI and Data ProtectionInformation Commissioner's Office (ICO) · 2023
  3. 3.AI and Data Protection Risk Toolkit / AI Auditing FrameworkInformation Commissioner's Office (ICO) · 2023
  4. 4.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans)MIT Sloan · 2022

Want this run on your business?

AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.

Start your audit

You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.