Come costruire un registro di IA in 90 minuti (regolamento UE sull'IA)
Una guida in cinque passi e 90 minuti per il registro di IA che le PMI europee devono tenere ai sensi dell'articolo 26 del regolamento sull'IA e degli orientamenti dell'ICO. Colonne iniziali, insidie, regole sul responsabile.

La maggior parte delle PMI europee considera il registro di IA un adempimento gravoso, da produrre quando l'applicazione del regolamento sull'IA si farà sentire. È un errore di categoria. Una v1 funzionante richiede novanta minuti, se la si imposta come un inventario lato deployer e non come un artefatto di conformità. Di seguito trovate la procedura in cinque passi che applichiamo con i responsabili operativi nei nostri incarichi di audit: la stessa che, entro il venerdì pomeriggio, mette su una pagina il quadro di rischio dell'allegato III e fa guadagnare il tempo per svolgere poi, con calma, il lavoro più lento.
Risposta rapida. Un registro di IA è l'inventario, lato deployer, di ogni sistema di IA presente in azienda, presupposto dagli obblighi dei deployer di cui all'articolo 26 del regolamento sull'IA [1] e allineato agli orientamenti dell'ICO ai sensi del UK GDPR [2]. Una v1 funzionante richiede novanta minuti per le PMI sotto i 200 dipendenti: 15 minuti per l'elenco, 20 per la classificazione del rischio rispetto all'allegato III, 25 per compilare le colonne fondamentali e 30 per assegnare i responsabili e verificare la sorveglianza.
Che cos'è un registro di IA?
Il registro di IA sta agli obblighi dei deployer dell'articolo 26 come il registro delle attività di trattamento (ROPA) sta all'articolo 30 del UK GDPR: un inventario vivo che nomina ogni sistema, ne classifica il livello di rischio e gli assegna una persona responsabile. È il documento che un ispettore dell'ICO, un ufficio acquisti o il team di sicurezza fornitori di un cliente enterprise chiederà per primo.
Il regolamento sull'IA non prescrive il formato del registro nel testo normativo. L'articolo 26, paragrafo 5, impone ai deployer di sistemi ad alto rischio di garantire la sorveglianza umana da parte di una persona designata e competente; l'articolo 26, paragrafo 6, impone di conservare i log degli usi ad alto rischio per almeno sei mesi [1]. Il registro è il substrato operativo che rende visibili entrambi. L'ICO ha chiarito sin dal 2023 che l'IA che tratta dati personali ai sensi del UK GDPR fa scattare la disciplina della valutazione d'impatto sulla protezione dei dati e gli obblighi di responsabilizzazione [2], e il toolkit dell'ICO per l'audit dell'IA enumera i tipi di registrazioni strutturate di cui una PMI avrà bisogno [3]. Nessuna autorità impone uno strumento specifico. Un foglio di calcolo che nomina le colonne giuste e assegna i responsabili giusti supera la prova.
Perché novanta minuti bastano (e che cosa non vi danno)
Il registro non è la meta. È la mappa. Novanta minuti bastano a far emergere quale IA è in uso, a classificarne il livello di rischio e ad assegnarne la responsabilità: la triade di fatti che ogni deployer deve dimostrare prima che un'autorità, un cliente o il consiglio di amministrazione li chieda. Ciò che novanta minuti non vi danno: una valutazione d'impatto sui diritti fondamentali ai sensi dell'articolo 27 per ciascun sistema dell'allegato III, un percorso di alfabetizzazione in materia di IA ai sensi dell'articolo 4 proporzionato al ruolo, un dossier di due diligence sui fornitori che copra i contratti di trattamento e le model card, o un protocollo di sorveglianza umana scritto per intero [1]. Sono cantieri successivi, dimensionati su ciò che il registro fa emergere.
La disciplina del timeboxing conta più della rifinitura. Nei nostri incarichi di audit, le PMI che trattano il registro come un progetto plurisettimanale di solito non lo producono affatto; quelle che fissano un tetto di novanta minuti alla v1 producono un registro il primo giorno e poi lo affinano. Gli obblighi dell'articolo 26 sono continui, non puntuali: una v1 che potete aggiornare vale rigorosamente più di una v3 che non avete mai iniziato.
Come si svolge il flusso del registro di IA in 90 minuti?
Passo 1 — Elencate ogni sistema di IA in uso (15 minuti)
Tre fonti coprono quasi tutto ciò che troverete. Recuperate gli abbonamenti SaaS a pagamento dalla contabilità o dalla carta spese: ogni fornitore con «AI», «ML», «Copilot», «Assistant» o «Insight» nel nome del prodotto va nell'elenco. Recuperate l'IA integrata dalle piattaforme che già utilizzate: Microsoft 365 Copilot, le funzioni Gemini di Google Workspace, Salesforce Einstein, HubSpot Breeze, le risposte automatiche di Outlook, i riepiloghi delle riunioni di Teams rientrano tutti nel perimetro, a pagamento o meno. Recuperate la shadow AI con un messaggio di una riga a tutto il personale, chiedendo quali strumenti di IA usa quotidianamente, compresi gli account consumer non a pagamento.
Trattate la shadow AI come rientrante nel perimetro. Un dipendente che incolla un CV in un account ChatGPT gratuito rende la PMI un deployer ad alto rischio dell'allegato III ai sensi delle disposizioni del regolamento sull'IA in materia di lavoro [1], e i dati lasciano il vostro ambiente ai sensi del UK GDPR [2]. Il compito del registro è farla emergere, non bloccarla. Il blocco arriva al passo 4, una volta che sapete cosa c'è.
Passo 2 — Classificate ogni sistema in base al rischio rispetto all'allegato III (20 minuti)
L'allegato III del regolamento sull'IA enumera otto ambiti ad alto rischio [1]: identificazione biometrica, infrastrutture critiche, istruzione e formazione professionale, occupazione e gestione dei lavoratori, accesso ai servizi essenziali, attività di contrasto, migrazione e controllo delle frontiere, e amministrazione della giustizia. Per le PMI i fattori scatenanti concreti sono di solito l'occupazione (screening dei CV, classificazione delle prestazioni, pianificazione automatica dei turni), l'accesso ai servizi (decisioni sul credito, tariffazione assicurativa) e l'istruzione (valutazioni della formazione, certificazioni).
Per ogni sistema dell'elenco, etichettatelo come uno fra: ad alto rischio (corrispondenza con l'allegato III), a rischio limitato (obblighi di trasparenza ai sensi dell'articolo 50), a rischio minimo (nessun obbligo specifico oltre all'alfabetizzazione dell'articolo 4) o deployer di un modello di IA per finalità generali (uso di un modello di IA per finalità generali come base di un chatbot o di un assistente) [1]. La maggior parte degli stack delle PMI si colloca su due o tre livelli. La classificazione spetta al deployer: non è delegabile al fornitore e non dipende dalle dimensioni dell'azienda.
Passo 3 — Compilate le dieci colonne fondamentali (25 minuti)
Le colonne che meritano un posto in un registro lato deployer:
- Nome del sistema — come lo chiama il personale ogni giorno.
- Fornitore — la persona giuridica che sta dietro al prodotto.
- Modello o versione — dove noto (ad esempio GPT-4o, Claude 3.5, Gemini 1.5, soluzione interna).
- Caso d'uso — una frase che descrive cosa il sistema decide o genera.
- Livello di rischio — alto / limitato / minimo / deployer di IA per finalità generali.
- Dati personali coinvolti — Sì/No, con le categorie ai sensi del UK GDPR.
- Base giuridica — la base ai sensi dell'articolo 6 del UK GDPR (legittimo interesse, contratto, consenso, ecc.).
- Persona responsabile — una persona fisica designata, non un team o un ruolo.
- Log dell'articolo 26, paragrafo 6 — Sì/No/N.A. per i sistemi ad alto rischio messi in servizio.
- Data di messa in servizio — come minimo, mese e anno.
Un foglio di calcolo con queste dieci colonne risponde alla prima domanda che ogni autorità, cliente o membro del consiglio porrà. Tutto ciò che va oltre è lavoro iterativo, non lavoro da v1. Resistete all'impulso di aggiungere colonne finché non avete compilato tutte e dieci su ogni riga.
Passo 4 — Designate una persona responsabile per ciascun sistema (15 minuti)
L'articolo 26, paragrafo 5, impone ai deployer di sistemi ad alto rischio di garantire la sorveglianza umana da parte di una persona competente e responsabile, dotata dell'autorità di sospendere o annullare le decisioni del sistema [1]. Traducetelo nel registro nominando una persona reale su ogni riga dell'allegato III, non un ruolo come «referente IT» o «responsabile operativo». La persona responsabile deve avere tre requisiti: saper leggere gli output del sistema, avere l'autorità di disattivarlo ed essere raggiungibile per nome nel registro.
Per i sistemi non rientranti nell'allegato III, designate comunque un responsabile. L'obbligo formale è più lieve; la disciplina è la stessa. I responsabili operativi e i dirigenti di linea sono i titolari naturali nella maggior parte delle PMI; non serve un CTO o un CDO.
Passo 5 — Verificate a campione la sorveglianza umana su un sistema ad alto rischio (15 minuti)
Per la riga a rischio più elevato dell'allegato III, ponetevi tre domande: una persona rivede l'output dell'IA prima che incida su un individuo (la verifica della persona nel processo)? Quella persona può annullare nella pratica la decisione dell'IA (la verifica dell'autorità)? Ha ricevuto una formazione adeguata al ruolo ai sensi dell'articolo 4 (la verifica della competenza) [1]? Le risposte vanno in una colonna a testo libero «note sulla sorveglianza umana», accanto alle dieci colonne fondamentali.
Non completerete il protocollo di sorveglianza umana in quindici minuti. L'obiettivo è far emergere dove sia la lacuna, non colmarla. Una riga che recita «nessuna revisione umana sullo screening dei CV; lacuna da colmare entro 30 giorni» è esattamente l'output giusto. Il compito del registro è rendere visibile la lacuna; colmarla è un cantiere a sé e un budget a sé.

Quali cinque insidie affossano una v1 del registro di IA?
- Trattare il registro come un documento una tantum. Gli obblighi dell'articolo 26 sono continui: il registro è un artefatto vivo, rivisto almeno ogni trimestre e aggiornato ogni volta che si mette in servizio un nuovo sistema di IA o un fornitore rilascia un cambio di modello rilevante.
- Trascurare la shadow AI. Gli account consumer non a pagamento e le sessioni Copilot personali sono la categoria a più alta incidenza e minore visibilità. Se il registro non li fa emergere, mente.
- Comprare uno «strumento di conformità» prima di fare l'elenco. Il SaaS di conformità di un fornitore non classificherà i vostri casi d'uso: solo il vostro team può farlo. Prima il foglio di calcolo, lo strumento dopo (o mai; per le PMI sotto i 200 dipendenti un foglio di calcolo aggiornato è sufficiente).
- Assegnare un ruolo anziché una persona. Un «team IT» non si può contattare. Una persona fisica designata, con un numero di telefono, sì. L'articolo 26, paragrafo 5, presuppone la seconda [1].
- Saltare del tutto l'alfabetizzazione dell'articolo 4. L'articolo 4 si applica dal 2 febbraio 2025 a ogni dipendente che usa l'IA, in modo proporzionato al ruolo [1]. Non è un livello di rischio: ogni sistema fa emergere un obbligo ai sensi dell'articolo 4. Annotatelo nel registro anche quando il percorso formativo vero e proprio è lavoro successivo.
Cosa fare dopo i novanta minuti
Il registro è lo strato di scoperta. Da esso decollano di norma tre cantieri di seguito:
- Dimensionamento della FRIA per ciascuna riga dell'allegato III, ai sensi dell'articolo 27 del regolamento sull'IA [1]: un documento distinto e più approfondito che la colonna del livello di rischio del registro avvia, anziché sostituire.
- Percorso di alfabetizzazione in materia di IA ai sensi dell'articolo 4 — proporzionato al ruolo, dimensionato sulla colonna della persona responsabile del registro anziché sull'organico.
- Dossier di due diligence sui fornitori — contratti di trattamento, model card, provenienza dei modelli di IA per finalità generali, dimensionato sulla colonna del fornitore del registro e aggiornato al rinnovo dell'acquisto.
Sono i cantieri che un approccio integrato sin dall'inizio copre in circa dodici settimane per 18.000-32.000 GBP, secondo la nostra esperienza sul campo, e gli stessi cantieri che un approccio di adeguamento a posteriori copre in sei settimane compresse per 85.000-145.000 GBP: un moltiplicatore coerente con i dati post-GDPR del MIT Sloan sulle imprese UE, che hanno ridotto del 26 % i dati conservati e del 15 % la capacità di calcolo sotto la pressione dell'applicazione [4]. Il registro è la prima mossa più economica possibile a fronte di questa aritmetica.
In sintesi
AI Register in 90 Minutes — a deployer-side inventory │ ├─ The five-step build │ ├─ List (15m) — paid, embedded, and shadow AI in scope │ ├─ Risk-tier (20m) — match each system to Annex III │ ├─ Ten columns (25m) — the audit-ready floor, no more │ ├─ Name owners (15m) — a person per system, not a team │ └─ Spot-check (15m) — surface the oversight gap, don't close it │ ├─ Why timebox v1 │ ├─ A living map — Article 26 duties are continuous │ └─ v1 you update beats v3 you never start │ └─ What it doesn't buy └─ Downstream — FRIA, Article 4 literacy, vendor due diligence
Approfondimenti correlati
- La governance dell'IA fin dal primo giorno: per le PMI il costo di adeguare la conformità a posteriori — l'articolo cardine che questa guida sostiene. Leggetelo per l'aritmetica dei costi, il caso Northbridge e i sette artefatti della governance del primo giorno.
- La vostra PMI non ha bisogno di altri strumenti di IA. Ha bisogno di una strategia di IA.EN — l'articolo a monte sul perché un elenco di IA autorizzata conta più di qualsiasi singolo abbonamento, e sulla sequenza di audit e consolidamento che lo produce.
Ultimo aggiornamento: maggio 2026. Versione 1.0.
Frequently Asked Questions
Un registro di IA sostituisce il registro delle attività di trattamento previsto dal GDPR?
Il nostro personale usa ChatGPT gratuito e Copilot consumer. Contano per il registro?
La nostra PMI ha sede fuori dall'UE. Il regolamento sull'IA si applica al nostro registro?
Chi dovrebbe occuparsi del registro di IA in una PMI senza CTO?
Con quale frequenza dovremmo aggiornare il registro?
Basta un foglio di calcolo o serve uno strumento GRC dedicato?
Sources
- 1.Regulation (EU) 2024/1689 — Artificial Intelligence Act — European Parliament and of the Council · 2024
- 2.Guidance on AI and Data Protection — Information Commissioner's Office (ICO) · 2023
- 3.AI and Data Protection Risk Toolkit / AI Auditing Framework — Information Commissioner's Office (ICO) · 2023
- 4.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans) — MIT Sloan · 2022
Want this run on your business?
AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.
You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.