AI Compliance (AI Act) & Governance

L’adozione di sistemi di intelligenza artificiale comporta profili di rischio e obblighi che non sono solo “tecnici”: incidono su governance, processi decisionali, gestione dei dati, responsabilità contrattuali e trasparenza verso utenti e stakeholder.

Il Regolamento (UE) sull’Intelligenza Artificiale (AI Act) introduce un quadro di regole basato sul rischio (pratiche vietate, sistemi ad alto rischio, obblighi di trasparenza e requisiti specifici), che richiede di impostare presìdi organizzativi e documentali verificabili nel tempo.

Lo Studio Costarino supporta organizzazioni pubbliche e private con un approccio integrato giuridico e organizzativo, coordinando l’adeguamento AI Act con i profili di privacy (GDPR) e cybersecurity e lavorando, ove necessario, in team con figure tecniche (IT, sicurezza, data governance).

Attività

  • Inquadramento del caso e classificazione AI Act

  • Analisi del caso d’uso e del ruolo nella catena del valore (provider/fornitore, deployer, importatore, distributore).

  • Classificazione del sistema (pratiche vietate, alto rischio, trasparenza, altri sistemi) e identificazione degli obblighi applicabili.

  • Mappatura scadenze, responsabilità interne e punti di controllo.

  • Assessment iniziale e Gap Analysis

  • Verifica dello stato attuale (policy, processi, dati, sicurezza, governance, fornitori).

  • Individuazione di criticità e priorità di intervento, con definizione di una roadmap operativa.

  • Governance e procedure (accountability)

  • Disegno di un AI Governance Framework

  • Definizione di procedure per: gestione modifiche, monitoraggio post-deploy, gestione reclami e segnalazioni.

  • Documentazione e tracciabilità

  • Supporto alla predisposizione della documentazione tecnica e organizzativa (ove applicabile).

  • Modelli operativi per registri interni, tracciabilità, versioning e conservazione delle evidenze.

  • Fornitori e contrattualistica

  • Due diligence su vendor e soluzioni AI (questionari, verifica evidenze, assessment contrattuale).

  • Revisione/redazione di clausole: responsabilità, aggiornamenti, sicurezza, accessi, subfornitori.

  • Coordinamento con GDPR e sicurezza

  • Supporto a valutazioni d’impatto ove necessarie

  • Misure tecniche e organizzative

Formazione e sensibilizzazione

Sessioni mirate per funzioni coinvolte (IT, legale, procurement, HR, marketing) su rischi, obblighi e procedure.

Il nostro approccio

Approccio basato sul rischio: presìdi proporzionati al caso d’uso, al contesto e all’esposizione dell’organizzazione.

Integrazione normativa: AI Act, GDPR e sicurezza trattati in modo coerente per evitare duplicazioni e vuoti di responsabilità.

Accountability e verificabilità: ogni misura deve essere documentata, attuabile e difendibile

Metodo continuativo: governance e documentazione devono essere mantenute e aggiornate nel tempo (cambi di modello, dati, fornitori, processi).

Lavoro in team: coordinamento legale/organizzativo con implementazione tecnica quando necessario.

A chi ci rivolgiamo

PMI e realtà in crescita che sviluppano o adottano sistemi AI e vogliono strutturare presìdi senza appesantire l’operatività.

Organizzazioni con fornitori AI (cloud/outsourcing) che devono governare rischi e responsabilità verso terze parti.

Enti, associazioni e Pubbliche Amministrazioni che richiedono approcci strutturati, tracciabilità e continuità.

Studi professionali e operatori regolati che trattano dati e processi sensibili e necessitano di regole chiare e procedure pratiche.