La conformità dentro il workflow,
non dopo.
Ogni AI Workflow Design che innestiamo porta con sé un overlay di conformità: quattro controlli che accompagnano ogni caso d'uso, così sai dal primo giorno cosa puoi fare, cosa va segnalato e cosa va documentato. Questo è cosa contengono, per intero — senza allarmismi e senza gate.
Nella maggior parte dei casi usi l'AI, non la costruisci: sei un deployer. Gli obblighi sono reali ma più leggeri di quelli di chi i sistemi li vende — e li mappiamo noi.
Il livello di rischio
L'EU AI Act ordina gli usi dell'AI per livello di rischio. Collochiamo ogni caso d'uso nel livello giusto, così sai in anticipo quali obblighi scattano davvero — e quali no.
-
Minimo e limitato
Dove cade la gran parte dei workflow per le PMI: copilot interni, generazione di contenuti, bot di supporto. Obblighi leggeri — soprattutto trasparenza, come dichiarare che l'utente sta parlando con un'AI.
-
Alto rischio — lo segnaliamo a parte
Selezione del personale, valutazione del credito, biometria: qui scattano gli obblighi pesanti del deployer — supervisione umana assegnata, dati di input pertinenti, conservazione dei log, monitoraggio e segnalazione degli incidenti. Se un caso d'uso ci finisce dentro, lo evidenziamo distintamente nel catalogo, non lo nascondiamo in mezzo agli altri.
Per le PMI sono previste semplificazioni dedicate (documentazione tecnica ridotta, canali di consultazione, sandbox regolatorie). Le scadenze dell'AI Act sono una materia in movimento: le rileggiamo a ogni ingaggio invece di stampare una data che domani potrebbe non valere più.
La valutazione d'impatto (DPIA)
Il GDPR chiede una valutazione d'impatto sulla protezione dei dati (DPIA) quando il trattamento è "probabilmente ad alto rischio". Verifichiamo se il tuo caso la fa scattare prima di partire.
Decisioni automatizzate con effetti legali o significativi sulle persone
Dati particolari trattati su larga scala
Monitoraggio sistematico di spazi accessibili al pubblico
Il pezzo che i template standard saltano
Una DPIA generica copre la parte GDPR ma ignora i rischi propri dell'AI: opacità del modello, memorizzazione dei dati di addestramento, deriva nel tempo, il diritto alla cancellazione che si scontra con un modello già addestrato. La nostra valutazione porta una sezione dedicata a questi, non solo il boilerplate.
Etichette di rischio, non prosa
Ogni caso d'uso riceve un'etichetta strutturata sul modello dell'MIT AI Risk Repository, invece di un paragrafo discorsivo. Due assi che si combinano, così il rischio diventa tracciabile e confrontabile tra un workflow e l'altro.
Come nasce il rischio
Chi lo origina (una persona, l'AI, altro), se è intenzionale o no, e se emerge prima o dopo la messa in produzione.
Che tipo di rischio è
Discriminazione, privacy e sicurezza, disinformazione, uso improprio, interazione uomo-macchina, impatti socioeconomici, guasti del sistema.
Un esempio concreto
Le allucinazioni di un copilot di vendita si etichettano come rischio di disinformazione, originato dall'AI, non intenzionale, che emerge dopo la messa in produzione — con la sua mitigazione scritta accanto. Un'etichetta citabile al posto di una frase.
Il presidio normativo italiano
Al livello europeo si aggiunge quello nazionale: il Garante Privacy e i principi italiani sull'intelligenza artificiale. È materia che cambia in fretta e l'attività ispettiva è reale, non teorica — quindi la rileggiamo a ogni ingaggio invece di darla per scontata.
La supervisione umana resta parte del design
Il filo che tiene insieme i quattro controlli: nessun workflow che innestiamo prende decisioni al posto delle persone senza un punto di controllo umano. È così che l'overlay smette di essere un capitolo a parte e diventa parte del modo in cui il workflow è disegnato.
L'overlay è parte del design. Non un extra.
Vedi come si cala su un reparto reale negli esempi aperti di AI Workflow Design, oppure parti dalla valutazione gratuita per capire da dove conviene cominciare.
Questa pagina è a scopo orientativo: non costituisce consulenza legale né una valutazione di conformità puntuale, che facciamo insieme sul tuo caso concreto.