Log in
Sign up
Gouache illustration of a heavy stone legal seal carved with overlapping continental borders, symbolising the global compliance landscape for artificial intelligence laws

Sections

Le leggi sull’intelligenza artificiale nel 2026: una mappa di conformità globale

In sintesi

  • Gli Stati Uniti non dispongono di una legge federale organica sull’intelligenza artificiale nel 2026. Un ordine esecutivo del dicembre 2025 rivendica la prevalenza federale sulle leggi statali che costringerebbero i modelli ad alterare i propri output veritieri, e la legge guida del Colorado SB 24-205 è stata sospesa da un magistrato federale nell’aprile 2026.
  • L’AI Act europeo diviene il punto di riferimento globale il 2 agosto 2026, quando entrano in applicazione le obbligazioni per i sistemi ad alto rischio e i poteri sanzionatori della Commissione.
  • Tre ruoli, e non tre bandiere, determinano le vostre obbligazioni: fornitore, deployer e fornitore di modelli di intelligenza artificiale per finalità generali. Lo stesso ruolo comporta doveri simili che si tratti di immettere sul mercato dell’Unione, della Corea o del Brasile.
  • La norma ISO/IEC 42001 e il NIST AI Risk Management Framework costituiscono il denominatore operativo che soddisfa la maggior parte delle giurisdizioni in un solo movimento.
  • AI Sigil traduce questa mappa in controlli operativi, evidenze e inventario IA, trasformando il percorso che porta dal testo normativo al dossier pronto per l’audit in un flusso di lavoro, non in un progetto di ricerca.

La mappa giuridica dell’IA nel 2026

Lo scenario globale si articola oggi su due binari. Da un lato, i regimi organici fondati sul rischio strutturano le obbligazioni IA attorno all’uso del sistema: AI Act europeo, AI Basic Act coreano efficace dal 22 gennaio 2026 e disegno di legge brasiliano PL 2338/2023. Dall’altro, un mosaico settoriale e statale si appoggia alla protezione dei consumatori, ai diritti civili e alla regolamentazione finanziaria già vigente per coprire i rischi IA: Stati Uniti, Regno Unito e Canada a livello federale. L’effetto pratico è che le imprese che operano in più mercati hanno bisogno di un unico modello interno di conformità, capace di innestarsi in entrambi i tipi di regime. La geografia non guida più il contenuto degli obblighi. Lo guida il ruolo svolto nella catena del valore dell’IA. Per questa ragione assume rilievo l’ordine esecutivo statunitense del dicembre 2025 sulla politica nazionale per l’IA. Esso segnala che gli Stati Uniti intendono opporsi a una frammentazione stato per stato e contare sulle agenzie federali settoriali, principalmente FTC, EEOC, CFPB e HHS. L’ordine incarica l’esecutivo di individuare le leggi statali che imporrebbero ai modelli di alterare gli output veritieri e di promuovere azioni legali per rimuoverle.

L’AI Act europeo, riferimento globale

L’AI Act europeo è entrato in vigore il 1º agosto 2024 e si applica secondo un calendario scaglionato. La sua struttura si fonda su quattro livelli di rischio e su un regime parallelo per i modelli di IA per finalità generali.

I livelli di rischio

Le pratiche vietate, elencate all’articolo 5, proibiscono l’IA manipolativa o sfruttatrice, il punteggio sociale ad opera di autorità pubbliche, la raccolta non mirata di immagini facciali, l’inferenza delle emozioni sul luogo di lavoro e a scuola, nonché la quasi totalità dell’identificazione biometrica in tempo reale in spazi pubblici. Tali divieti si applicano dal 2 febbraio 2025. I sistemi ad alto rischio sono elencati nell’allegato III e comprendono, tra l’altro, l’identificazione biometrica, le infrastrutture critiche, la valutazione in ambito educativo e formativo, la selezione e la gestione del personale, l’accesso ai servizi essenziali, l’attività di contrasto, la migrazione e l’amministrazione della giustizia e dei processi democratici. Le obbligazioni corrispondenti si applicano dal 2 agosto 2026. I sistemi a rischio limitato attivano doveri di trasparenza ai sensi dell’articolo 50: l’utente deve sapere di interagire con un’IA, e i contenuti sintetici devono recare marcature leggibili dalla macchina. Il periodo di tolleranza per la marcatura dei contenuti sintetici si chiude il 2 dicembre 2026. I modelli di IA per finalità generali, indipendentemente dalla loro immissione sul mercato dell’Unione, sono soggetti dal 2 agosto 2025 a doveri di documentazione e di trasparenza in materia di diritto d’autore. I modelli classificati come a rischio sistemico devono inoltre svolgere valutazioni di modello, esercizi di red-teaming e notificare gli incidenti gravi.

Obblighi del fornitore e del deployer

Un fornitore di un sistema ad alto rischio nell’Unione deve adottare un processo di gestione del rischio, mantenere una documentazione tecnica in linea con l’allegato IV, garantire la qualità e la governance dei dati, integrare trasparenza e supervisione umana, condurre una valutazione di conformità, registrare il sistema nella banca dati dell’Unione ove richiesto, e operare un monitoraggio post-commercializzazione. Un deployer deve assicurare la supervisione umana nel funzionamento, rispettare le istruzioni d’uso del fornitore, svolgere una valutazione d’impatto sui diritti fondamentali nei casi previsti dall’articolo 27 e registrare le operazioni automatizzate. Il Consiglio e il Parlamento europei hanno raggiunto un accordo il 7 maggio 2026 su un pacchetto di semplificazione volto a ridurre le sovrapposizioni con il diritto settoriale della sicurezza dei prodotti e a chiarire la documentazione GPAI. La struttura fondata sul rischio, le scadenze di agosto 2026 e le categorie di ruolo restano invariate.

Sanzioni

Le sanzioni amministrative massime raggiungono 35 milioni di euro o il 7 per cento del fatturato mondiale annuo, in base al valore più elevato, per le pratiche vietate. Le altre violazioni espongono fino a 15 milioni di euro o al 3 per cento del fatturato. Le informazioni ingannevoli fornite alle autorità comportano sanzioni fino a 7,5 milioni di euro o all’1 per cento. I poteri esecutivi della Commissione sui fornitori di modelli GPAI prendono effetto dal 2 agosto 2026.

Gli Stati Uniti: prevalenza federale e applicazione settoriale

Nessuna legge federale organica sull’IA esiste nel 2026. Il Congressional Research Service descrive il panorama federale come una stratificazione di ordini esecutivi, regolamenti di agenzie e statuti settoriali.

Azione federale

L’ordine esecutivo 14110, firmato nel 2023, è stato revocato all’inizio del 2025. L’ordine esecutivo del dicembre 2025 sul quadro nazionale di politica IA lo ha sostituito. Tale ordine incarica il Procuratore generale di valutare le leggi statali che interferiscono con gli interessi federali, in particolare quelle che imporrebbero ai modelli di alterare gli output veritieri. L’ordine è la causa diretta della sospensione federale della legge del Colorado SB 24-205 il 27 aprile 2026. L’applicazione a livello federale passa attraverso autorità generaliste. La Federal Trade Commission impiega la sezione 5 del FTC Act per sanzionare le pratiche IA sleali o ingannevoli. L’Equal Employment Opportunity Commission applica il Titolo VII e l’Americans with Disabilities Act alle decisioni in materia di lavoro assistite da IA. Il Consumer Financial Protection Bureau vigila sull’IA impiegata nel credito e nella sottoscrizione. Il Department of Health and Human Services applica HIPAA e la sezione 1557 al supporto decisionale clinico.

Leggi statali e municipali

L’attività statale ha raggiunto l’apice nel 2024 e nel 2025, per poi rallentare sotto la pressione federale. Le misure più citate comprendono:

  • Il Colorado SB 24-205, prima legge statale organica sull’IA. La sua entrata in vigore era fissata al 1º febbraio 2026, poi rinviata al 30 giugno 2026 da SB 25B-004, ed infine sospesa da un magistrato federale il 27 aprile 2026. La legislatura del Colorado ha approvato un testo sostitutivo, SB 189, dal 7 al 9 maggio 2026.
  • Local Law 144 di New York City, che impone un audit annuale del bias e la notifica al candidato per gli strumenti automatizzati di decisione lavorativa.
  • Illinois Artificial Intelligence Video Interview Act, che richiede il consenso all’analisi IA dei colloqui.
  • California SB 53, che impone la divulgazione da parte degli sviluppatori dei grandi modelli IA.
  • Tennessee ELVIS Act, che protegge la voce e la somiglianza dalla clonazione mediante IA.
  • Utah Artificial Intelligence Policy Act, che aggiunge obblighi di divulgazione per l’IA generativa nelle professioni regolamentate.

Le leggi statali sopravvivono in ambiti più ristretti: audit del bias, divulgazione dei deepfake, protezione di voce e somiglianza. I regimi statali organici si confrontano invece con un vento contrario federale più deciso.

Il resto del mondo: comparabile, ma non identico

Un giro d’orizzonte conferma che gli obblighi per ruolo viaggiano bene. Il Regno Unito porta avanti un regime fondato sui principi, senza una legge generale sull’IA. Le autorità di vigilanza esistenti, la Competition and Markets Authority, la Financial Conduct Authority, l’Information Commissioner’s Office e Ofcom, applicano cinque principi comuni all’IA nei rispettivi settori. L’ICO mantiene i denti più affilati, con sanzioni fino a 17,5 milioni di sterline o al 4 per cento del fatturato mondiale ai sensi del UK GDPR. La Cina dispone della più fitta stratificazione di regole specifiche sull’IA. Le norme sulla gestione degli algoritmi di raccomandazione (2022), le disposizioni sulla sintesi profonda (2023) e le misure provvisorie sui servizi di IA generativa (2023) impongono etichettatura, deposito e moderazione dei contenuti. I fornitori depositano gli algoritmi presso la Cyberspace Administration of China e applicano una verifica dell’identità reale. Il Giappone è passato da una strategia soft a una legge, l’AI Promotion Act del 2025. Il regime privilegia l’innovazione e l’adesione volontaria alle linee guida del Ministero dell’economia, del commercio e dell’industria. Gli obblighi cogenti riguardano la trasparenza dell’IA generativa e gli appalti pubblici. Il Brasile discute il PL 2338/2023, un testo fondato sul rischio che riproduce la struttura europea con soglie adattate. L’approvazione è attesa nel 2026, accompagnata da un periodo di transizione. La Corea del Sud ha adottato l’AI Basic Act, divenuto la prima legge organica dell’Asia il 22 gennaio 2026. Introduce una categoria di IA ad alto impatto sostanzialmente allineata alla categoria europea ad alto rischio e prescrive gestione del rischio, trasparenza e valutazione d’impatto. Il Canada ha sospeso la propria azione federale: l’Artificial Intelligence and Data Act, incluso nel Bill C-27, è decaduto con la prorogazione parlamentare. La legge 25 del Quebec continua a disciplinare le decisioni automatizzate che incidono in modo significativo sugli individui. In Italia il Garante per la Protezione dei Dati Personali e l’AgID restano le autorità settoriali di riferimento per l’attuazione del regolamento europeo, in raccordo con l’ACN per gli aspetti di cybersicurezza.

Mappa delle obbligazioni: fornitore, deployer, fornitore GPAI

L’osservazione comparata indica con chiarezza che gli obblighi si raggruppano per ruolo. I fornitori di sistemi di IA reggono il carico documentale più pesante. Attraverso l’AI Act europeo, l’AI Basic Act coreano e lo spirito dell’applicazione settoriale statunitense, essi devono:

  • Adottare un processo di gestione del rischio lungo l’intero ciclo di vita del sistema.
  • Mantenere una documentazione tecnica che renda tracciabili le scelte di progettazione, la governance dei dati di addestramento, gli esiti di valutazione e i limiti noti.
  • Applicare una governance dei dati incentrata su provenienza, rappresentatività e controllo dei bias.
  • Progettare per la trasparenza verso il deployer, con istruzioni d’uso, finalità prevista e vincoli noti.
  • Condurre una valutazione di conformità o di impatto prima dell’immissione sul mercato.
  • Operare un monitoraggio post-commercializzazione e notificare gli incidenti gravi alle autorità.

I deployer reggono gli obblighi operativi:

  • Utilizzare il sistema soltanto entro la finalità prevista dal fornitore.
  • Mantenere una supervisione umana proporzionata al rischio.
  • Eseguire una valutazione d’impatto sui diritti fondamentali ove richiesto, ad esempio in forza dell’articolo 27 dell’AI Act per organismi pubblici e taluni deployer privati di sistemi ad alto rischio.
  • Registrare gli output automatizzati per consentire audit e risposta agli incidenti.
  • Informare i soggetti coinvolti quando l’IA partecipa in maniera determinante a una decisione che li riguarda, ove la legge nazionale lo preveda.

I fornitori di modelli GPAI insistono sopra entrambi i livelli:

  • Documentare la progettazione del modello, la panoramica dei dati di addestramento e la posizione sul diritto d’autore.
  • Sostenere i fornitori a valle con schede di modello e sintesi delle capacità.
  • Per i modelli a rischio sistemico, eseguire valutazioni di modello, red-teaming, valutazioni di cybersicurezza e notifiche di incidenti gravi.

Una stessa impresa può ricoprire più ruoli contemporaneamente. Un editore SaaS che effettua il fine-tuning di un modello aperto e lo incorpora in uno strumento di recruiting è al tempo stesso fornitore, deployer e integratore GPAI a valle. Ogni dovere si applica nella propria colonna.

Sanzioni a confronto

Quantificare l’esposizione chiarisce la priorità:

  • AI Act europeo: fino a 35 milioni di euro o al 7 per cento del fatturato mondiale annuo per le pratiche vietate; fino a 15 milioni di euro o al 3 per cento per le violazioni alto rischio e GPAI; fino a 7,5 milioni di euro o all’1 per cento per le informazioni ingannevoli alle autorità.
  • Stati Uniti, applicazione settoriale federale: le sanzioni FTC si sommano per violazione e possono essere combinate con disgorgement; i rimedi EEOC includono arretrati di salario, reintegro e danni compensativi; gli ordini CFPB superano frequentemente i 10 milioni di dollari nei servizi finanziari.
  • Regno Unito, ICO: fino a 17,5 milioni di sterline o al 4 per cento del fatturato mondiale.
  • Cina, CAC: ordini di cessazione, censure pubbliche, sanzioni proporzionali al fatturato e responsabilità personale dei rappresentanti legali.
  • Corea, AI Basic Act: sanzioni fino a 30 milioni di won per gli inadempimenti procedurali e sanzioni proporzionali per gli inadempimenti sostanziali, con sanzioni reputazionali tramite un registro pubblico.

I numeri cambiano, ma il costo operativo domina il quadro: ogni regime impone la stessa catasta di evidenze, e l’impresa capace di esibirla a richiesta vince gli audit ovunque.

Perché ISO/IEC 42001 e NIST AI RMF sono i denominatori operativi

La convergenza fra i regimi non è accidentale. I regolatori delle due sponde dell’Atlantico hanno attinto alla stessa letteratura tecnica nel redigere le proprie regole, e quella letteratura si è cristallizzata in due norme. La norma ISO/IEC 42001:2023 specifica un sistema di gestione dell’IA strutturalmente identico alla ISO/IEC 27001 per la sicurezza delle informazioni e alla ISO 9001 per la qualità. Un’organizzazione che gestisce un AIMS conforme a ISO/IEC 42001 dispone già di una politica IA, di un perimetro definito, di un processo di valutazione del rischio e di impatto, di un catalogo di controlli all’allegato A, di una supervisione dei fornitori e di un ciclo di audit interno. Le analisi indipendenti stimano che ciò copra circa il 70 per cento degli obblighi documentali sui sistemi ad alto rischio previsti dall’AI Act. Il NIST AI Risk Management Framework versione 1.0, pubblicato a gennaio 2023, organizza l’affidabilità dell’IA attorno a quattro funzioni: Govern, Map, Measure, Manage. Il Generative AI Profile (NIST AI 600-1) del luglio 2024 sovrappone 12 categorie di rischi propri all’IA generativa e oltre 400 azioni di mitigazione. I regolatori coreano e singaporiano citano il NIST AI RMF nelle proprie linee guida. I regolatori settoriali statunitensi vi fanno riferimento come parametro ragionevole di buona pratica. Due norme armonizzate europee in arrivo completano il quadro. CEN-CENELEC prEN 18228 tratta della gestione dei rischi IA, e prEN 18282 tratta della cybersicurezza IA. Una volta pubblicate, conferiranno ai fornitori europei di sistemi ad alto rischio una presunzione di conformità con i corrispondenti articoli dell’AI Act. La conseguenza operativa è che un’organizzazione che gestisce in modo serio un AIMS ISO/IEC 42001, mappato sulle funzioni del NIST AI RMF e con controlli documentati in un inventario IA unico, ha portato a termine l’80 per cento del lavoro necessario per la conformità nell’Unione, sotto l’applicazione settoriale statunitense, in Corea, nel Regno Unito e sotto i regimi brasiliano e giapponese in preparazione. Il restante 20 per cento riguarda documentazione, registri e notifiche specifici per ciascuna giurisdizione.

Checklist di conformità 2026 per fornitori e deployer di IA

Al 2 agosto 2026 ogni sistema di IA immesso sul mercato europeo o che interessi utenti dell’Unione deve soddisfare il regime alto rischio, se ricade nell’allegato III, e il regime GPAI, se applicabile. Il movimento minimo per essere pronti in tempo:

  1. Inventario. Costruite un inventario IA unico che elenchi ogni sistema, ogni variante di modello, ogni contesto di deployment e ogni dataset. L’inventario è la colonna vertebrale di tutti gli audit futuri.
  2. Classificare. Per ogni voce, individuate il vostro ruolo (fornitore, deployer, fornitore GPAI, importatore, distributore) e il livello di rischio ai sensi dell’AI Act (vietato, alto, limitato, minimo, GPAI, GPAI a rischio sistemico). Ripetete la classificazione ai sensi dell’AI Basic Act coreano e di ogni legge statale statunitense applicabile.
  3. Documentare. Per ogni voce alto rischio e GPAI, predisponete un dossier tecnico conforme all’allegato IV. Riutilizzate i controlli dell’allegato A di ISO/IEC 42001 come colonna vertebrale e completate con le sezioni specifiche dell’UE (finalità prevista, metriche di accuratezza, uso improprio prevedibile).
  4. Valutare. Eseguite una valutazione d’impatto sui diritti fondamentali per i sistemi ad alto rischio nei contesti dell’articolo 27. Riutilizzate la valutazione per gli audit di bias di Local Law 144 di NYC, per il dovere di non discriminazione algoritmica modello Colorado e per la valutazione d’impatto coreana.
  5. Conformare. Completate il percorso di valutazione della conformità applicabile a ciascun sistema ad alto rischio. Per la maggior parte dei sistemi dell’allegato III si tratta della via del controllo interno; per l’identificazione biometrica e talune infrastrutture critiche occorre un organismo notificato.
  6. Registrare. Iscrivete nella banca dati dell’Unione ogni sistema ad alto rischio che lo richieda. Iscrivete i deployer pubblici nella sotto-banca dedicata.
  7. Formare. Formate il personale al livello di alfabetizzazione IA richiesto dall’articolo 4, in applicazione dal 2 febbraio 2025. Formate i deployer alle istruzioni d’uso del fornitore.
  8. Marcare. Implementate le marcature leggibili dalla macchina sui contenuti sintetici entro il 2 dicembre 2026, fine del periodo di tolleranza dell’articolo 50.
  9. Monitorare. Operate un monitoraggio post-commercializzazione su ogni sistema ad alto rischio in esercizio. Collegate la notifica degli incidenti gravi a un unico punto di ingresso.
  10. Auditare. Cadenzate il ciclo di audit interno in modo che ogni controllo AIMS sia campionato almeno una volta all’anno e che gli esiti alimentino il riesame della direzione.

La gran parte di queste fasi è identica a Seoul, Brasilia o Bruxelles. Le differenze sono nei registri, nei modelli di valutazione d’impatto e nella lingua delle notifiche destinate agli utenti.

Domande frequenti

Esiste una legge sull’IA negli Stati Uniti nel 2026? Non esiste uno statuto federale organico. L’IA è regolata da FTC, EEOC, CFPB, HHS e altre agenzie settoriali, oltre che da un mosaico in contrazione di leggi statali. L’ordine esecutivo federale del dicembre 2025 sulla politica nazionale IA rivendica la prevalenza sulle leggi statali che imporrebbero ai modelli di alterare gli output veritieri e ha già prodotto la sospensione del Colorado SB 24-205. Qual è la legge sull’IA più severa nel 2026? L’AI Act europeo prevede le sanzioni amministrative più elevate, fino al 7 per cento del fatturato mondiale per le pratiche vietate, e si applica in via extraterritoriale quando l’IA incide su soggetti dell’Unione. L’AI Basic Act coreano è strutturalmente simile, con cifre più contenute. Il regime cinese è il più prescrittivo sui contenuti, ma limita la propria portata transfrontaliera. Quale legge si applica se costruisco un modello negli Stati Uniti e lo vendo nell’Unione europea? Entrambe. L’AI Act si applica in via extraterritoriale ai sensi dell’articolo 2, paragrafo 1, lettera c) quando l’output del sistema è utilizzato nell’Unione. Diventate fornitori nell’Unione, indipendentemente dal luogo di sviluppo del modello. Il diritto settoriale statunitense rimane applicabile in parallelo. Quando l’AI Act inizia a sanzionare le imprese? Le sanzioni per le pratiche vietate sono disponibili dal 2 agosto 2025. I poteri esecutivi della Commissione sui fornitori GPAI prendono effetto dal 2 agosto 2026. Anche l’applicazione sui sistemi ad alto rischio inizia il 2 agosto 2026. Le PMI sono tenute al rispetto dell’AI Act europeo? Sì, quando immettono o operano un sistema ad alto rischio sul mercato dell’Unione. Il regolamento contiene clausole di proporzionalità ed esenzioni per i componenti liberi e aperti non ad alto rischio, ma non esonera le PMI dagli obblighi alto rischio. Il pacchetto di semplificazione del maggio 2026 introduce ulteriori misure di proporzionalità. Che differenza c’è tra fornitore e deployer di IA? Il fornitore sviluppa il sistema, o lo fa sviluppare per sé, e lo immette sul mercato a proprio nome. Il deployer utilizza il sistema in un contesto professionale. La stessa impresa può ricoprire entrambi i ruoli, e in tal caso si applicano i due insiemi di doveri. La certificazione ISO/IEC 42001 equivale alla conformità all’AI Act? No, ma vi porta molto vicino. ISO/IEC 42001 copre circa il 70 per cento degli obblighi documentali alto rischio. La valutazione di conformità ai sensi dell’AI Act, la registrazione nella banca dati dell’Unione e gli obblighi di trasparenza dell’articolo 50 restano compiti distinti. Le future norme armonizzate prEN 18228 e prEN 18282 colmeranno una parte della distanza residua.

Conclusione

Leggere le leggi sull’IA paese per paese nel 2026 è una partita persa in partenza. Gli stessi doveri viaggiano fra giurisdizioni e si raggruppano attorno a tre ruoli. Le organizzazioni che vincono gli audit in quest’anno sono quelle che hanno costruito un inventario IA unico, un unico processo di valutazione del rischio e di impatto, un unico insieme di controlli e una unica libreria di evidenze, per poi proiettare su quella colonna vertebrale l’AI Act europeo, l’applicazione settoriale statunitense, l’AI Basic Act coreano, le regole cinesi e i principi britannici. AI Sigil opera esattamente su questa colonna vertebrale. La piattaforma converte il testo normativo in voci di inventario IA, classificazione di ruoli, controlli, evidenze, tracce di audit e dossier documentali pronti a superare le valutazioni di conformità. Se i prossimi dodici mesi saranno misurati da ciò che potete esibire in un giorno di audit, il momento di trasformare la conformità IA in un flusso di lavoro, e non in un progetto di ricerca, è adesso.

Marco Conti

Le leggi sull’intelligenza artificiale nel 2026: una mappa di conformità globale

Fornitore, deployer o modello GPAI? Ecco come AI Act europeo, leggi USA, NIST AI RMF e ISO 42001 si intrecciano nel 2026, con una checklist.

Framework di governance dell’IA: la guida completa

Confronta NIST AI RMF, ISO 42001, il Regolamento IA e i principi OCSE. Scopri quale framework si adatta alla tua organizzazione e come implementarli insieme.

Human-in-the-Loop vs Human-on-the-Loop: guida alla supervisione dell’IA

Human-in-the-loop o human-on-the-loop: 7 assi decisionali, lettura dell'articolo 14 del Regolamento IA e raccordo con ISO/IEC 42001.

Framework di governance dell’IA: NIST AI RMF, ISO 42001, AI Act e principi OCSE a confronto (2026)

NIST AI RMF, ISO/IEC 42001, AI Act e principi OCSE a confronto: mappa dei controlli e albero decisionale per scegliere il framework giusto.

ISO 42001 non copre l’AI Act: lo stack di norme che vi serve davvero

Una certificazione ISO 42001 non vi mette in regola con l'AI Act. Ecco le norme armonizzate che contano davvero, e come integrarle nelle operazioni.