Log in
Sign up
AI governance framework concentric rings diagram: OECD principles, NIST AI RMF, ISO 42001, EU AI Act

Sections

Framework di governance dell’IA: la guida completa

Ogni organizzazione che impiega l’IA si trova di fronte alla stessa sfida: il panorama regolatorio e normativo si è frammentato in quattro framework sovrapposti, ciascuno con una portata, un peso giuridico e una logica operativa diversi. Adottarne uno solo genera lacune. Implementarli tutti e quattro senza una struttura chiara moltiplica i costi di compliance.

Questa guida mappa i quattro principali framework di governance dell’IA, ne spiega le relazioni e fornisce un piano di sequenziamento pratico per le organizzazioni che costruiscono un programma di conformità multi-framework.

Cos’è un framework di governance dell’IA?

Un framework di governance dell’IA è un insieme strutturato di politiche, processi, ruoli e controlli che regola il modo in cui un’organizzazione sviluppa, distribuisce e monitora i sistemi IA. Risponde a tre domande: chi è responsabile delle decisioni IA, come vengono identificati e gestiti i rischi, e quali prove dimostrano che i controlli funzionano.

La distinzione tra politica e framework è sostanziale. Una politica stabilisce cosa deve accadere. Un framework definisce come organizzare tutto ciò che deve accadere, chi è proprietario di ogni componente e come i componenti si interconnettono. Senza framework, la conformità diventa un elenco di azioni isolate senza un responsabile complessivo del programma.

Tre pilastri ricorrono in tutti i principali framework: responsabilità, trasparenza e gestione dei rischi.

Il calendario regolatorio non è più teorico

In Italia, come in tutta l’Unione Europea, il Regolamento IA (Regolamento (UE) 2024/1689) impone scadenze concrete. I divieti per le pratiche a rischio inaccettabile sono in vigore dal febbraio 2025. Gli obblighi per i fornitori di modelli IA per uso generale si applicano dall’agosto 2025. I requisiti completi per i sistemi IA ad alto rischio entreranno in vigore nell’agosto 2026.

L’AgID (Agenzia per l’Italia Digitale) ha pubblicato linee guida sull’uso dell’IA nelle pubbliche amministrazioni che si allineano con l’approccio basato sul rischio del Regolamento IA. La domanda di certificazione ISO 42001 è in rapida crescita: secondo un’indagine Sprinto del 2025, il 76% delle organizzazioni prevede di conseguirla entro l’anno.

I quattro framework che ogni responsabile della governance IA deve conoscere

NIST AI Risk Management Framework (AI RMF)

Il NIST ha pubblicato l’AI RMF 1.0 nel gennaio 2023. Il framework si organizza intorno a quattro funzioni:

  • GOVERN: strutture di accountability, politiche e meccanismi di supervisione
  • MAP: identificazione dei rischi prima del dispiegamento
  • MEASURE: quantificazione e test dei rischi IA
  • MANAGE: trattamento e monitoraggio dei rischi identificati

NIST AI RMF è volontario, flessibile e si adatta a organizzazioni di qualsiasi dimensione e settore.

ISO/IEC 42001:2023: lo standard certificabile per la gestione dell’IA

ISO 42001 è il primo standard internazionale certificabile da terze parti per la governance dell’IA. Segue la struttura Annex SL di ISO 27001 e ISO 9001, facilitando l’integrazione con i sistemi di management esistenti.

Le clausole da 4 a 10 sono auditabili. L’Allegato A definisce 38 controlli in nove domini. La certificazione ha durata triennale con audit di sorveglianza annuali. ISO/IEC 42006:2025 definisce i requisiti di competenza per gli auditor.

Il Regolamento IA europeo: la prima regolamentazione vincolante al mondo

Il Regolamento (UE) 2024/1689 classifica i sistemi IA in quattro livelli di rischio:

  • Inaccettabile: vietato dal febbraio 2025
  • Alto rischio: obblighi stringenti dall’agosto 2026 (valutazione della conformità, sistema di gestione dei rischi, documentazione tecnica, registrazione nella banca dati UE)
  • Limitato: sole obbligazioni di trasparenza
  • Minimo: nessun obbligo

Le sanzioni per le infrazioni più gravi raggiungono 35 milioni di euro o il 7% del fatturato mondiale. Il regolamento ha portata extraterritoriale.

Principi dell’OCSE sull’IA: il riferimento globale

I Principi dell’OCSE sull’IA (OECD/LEGAL/0449), adottati nel 2019 e aggiornati nel 2024, identificano cinque principi fondamentali: crescita inclusiva, valori umani ed equità, trasparenza ed esplicabilità, robustezza e sicurezza, responsabilità. Adottati da 47 giurisdizioni, sono non vincolanti ma costituiscono un riferimento di fatto per i regolatori globali.

I quattro framework come livelli complementari

  • Livello 1 (valori): Principi OCSE
  • Livello 2 (processo di rischio): NIST AI RMF
  • Livello 3 (sistema di gestione): ISO 42001
  • Livello 4 (obblighi legali): Regolamento IA europeo

Mappatura dei controlli tra framework

La Clausola 5 di ISO 42001 (Leadership) e la funzione GOVERN del NIST richiedono entrambe una politica IA documentata e un impegno visibile della direzione.

La Clausola 6 di ISO 42001 (Pianificazione) copre circa il 60% dei requisiti dell’Articolo 9 del Regolamento IA (sistema di gestione dei rischi per i sistemi ad alto rischio), secondo l’analisi degli organismi di certificazione.

La Clausola 9 di ISO 42001 (Valutazione delle prestazioni) si allinea direttamente con la funzione MEASURE del NIST: le prove generate per l’una alimentano direttamente l’altra.

Due standard europei in sviluppo presso il CEN-CENELEC, prEN 18228 e prEN 18282, forniranno specifiche tecniche supplementari allineate al Regolamento IA.

Scegliere il punto di partenza

Esposizione al mercato UE: Iniziare con la classificazione dei rischi secondo il Regolamento IA. Identificare ogni sistema, determinarne il livello di rischio e prioritizzare i sistemi ad alto rischio.

Necessità di certificazione: Iniziare con ISO 42001, che struttura il programma di governance in modo da beneficiare simultaneamente la conformità NIST e il Regolamento IA.

Allineamento globale delle politiche: Usare i Principi OCSE come base etica, poi selezionare ISO 42001 o NIST AI RMF come framework operativo.

Costruire un programma multi-framework

Un programma efficace si sviluppa in cinque fasi: inventario dei sistemi IA, classificazione dei rischi, selezione dei controlli (Allegato A di ISO 42001 come spina dorsale), raccolta delle prove e monitoraggio continuo.

AI Sigil integra queste cinque fasi in una piattaforma unificata che mappa i controlli sui quattro framework simultaneamente, raccoglie le prove e identifica le lacune prima degli auditor.

Conclusione

I quattro framework di governance IA non sono alternative, sono livelli complementari. Le organizzazioni che li sovrappongono correttamente costruiscono programmi che soddisfano simultaneamente regolatori, organismi di certificazione e team acquisti.

Fonti: NIST AI RMF 1.0 (gennaio 2023); ISO/IEC 42001:2023; ISO/IEC 42006:2025; Regolamento (UE) 2024/1689, GU L, 12 luglio 2024; Principi OCSE sull’IA (OECD/LEGAL/0449), aggiornamento maggio 2024; Gartner, analisi del mercato delle piattaforme di governance IA, febbraio 2026; Sprinto, indagine sull’adozione di ISO 42001, 2025; prEN 18228 e prEN 18282 (CEN-CENELEC, solo riferimento nominale).

Marco Conti

Le leggi sull’intelligenza artificiale nel 2026: una mappa di conformità globale

Fornitore, deployer o modello GPAI? Ecco come AI Act europeo, leggi USA, NIST AI RMF e ISO 42001 si intrecciano nel 2026, con una checklist.

Framework di governance dell’IA: la guida completa

Confronta NIST AI RMF, ISO 42001, il Regolamento IA e i principi OCSE. Scopri quale framework si adatta alla tua organizzazione e come implementarli insieme.

Human-in-the-Loop vs Human-on-the-Loop: guida alla supervisione dell’IA

Human-in-the-loop o human-on-the-loop: 7 assi decisionali, lettura dell'articolo 14 del Regolamento IA e raccordo con ISO/IEC 42001.

Framework di governance dell’IA: NIST AI RMF, ISO 42001, AI Act e principi OCSE a confronto (2026)

NIST AI RMF, ISO/IEC 42001, AI Act e principi OCSE a confronto: mappa dei controlli e albero decisionale per scegliere il framework giusto.

ISO 42001 non copre l’AI Act: lo stack di norme che vi serve davvero

Una certificazione ISO 42001 non vi mette in regola con l'AI Act. Ecco le norme armonizzate che contano davvero, e come integrarle nelle operazioni.