Log in
Sign up
Compliance monitoring for AI systems illustrated as an ink-wash lighthouse

Sections

Monitoraggio della conformità dei sistemi di IA: la guida

In sintesi

  • Il monitoraggio della conformità è il processo continuo che verifica se sistemi, controlli e attività restano allineati a leggi, norme e politiche applicabili.
  • Per un sistema di IA la posta in gioco è più alta, perché i modelli derivano, i dati si spostano e i comportamenti cambiano, sicché un sistema conforme ieri può smettere di esserlo senza che nessuno lo tocchi.
  • Tre quadri rendono ormai il monitoraggio un obbligo e non più una scelta: il regolamento IA (Articolo 72), la ISO/IEC 42001 (punto 9) e il quadro di gestione del rischio dell’IA del NIST.
  • Ciò che si monitora in un sistema di IA va ben oltre la disponibilità: accuratezza, deriva, distorsione, sicurezza, registri della sorveglianza umana, incidenti e attualità delle prove di conformità.
  • Gli audit periodici conservano la loro utilità, ma i sistemi di IA ad alto rischio e a forte evoluzione richiedono un monitoraggio continuo della conformità per restare difendibili tra un audit e l’altro.
Monitoraggio della conformità dei sistemi di IA, faro in stile sumi-e

Che cos’è il monitoraggio della conformità?

Il monitoraggio della conformità è il processo continuo con cui si verifica che le attività, i controlli e i sistemi di un’organizzazione restino allineati a leggi, regolamenti, norme e politiche interne applicabili. È la differenza tra il presumere che un controllo funzioni e il confermare che funziona ancora oggi. La maggior parte dei team raggiunge la conformità attraverso due movimenti complementari. L’audit periodico scatta una fotografia: una persona incaricata esamina un campione di controlli in un dato momento, di norma ogni trimestre o ogni anno. Il monitoraggio continuo, invece, lavora sullo sfondo, dove verifiche automatizzate osservano segnali definiti e segnalano un problema nel momento in cui un controllo cede, anziché mesi dopo, al successivo audit. La ragione per cui questa distinzione conta è semplice. Un audit puntuale attesta che un sistema era conforme nel giorno della verifica. Non dice nulla degli altri 364 giorni. Per processi stabili e a basso rischio quel divario è tollerabile. Per sistemi che cambiano da soli, diventa un rischio. Questa idea, un processo e non un evento, è il cuore del monitoraggio della conformità. I controlli in sé cambiano poco. Ciò che cambia è l’ambiente intorno a essi, le persone che li usano e, nel caso dell’IA, il sistema stesso. Integrare questa disciplina in una piattaforma software per la conformità dell’IA la rende sostenibile nel tempo anziché eroica.

Perché il monitoraggio della conformità è diverso per i sistemi di IA

Il monitoraggio tradizionale presuppone che l’oggetto sorvegliato sia stabile. Una regola di firewall, una politica di conservazione dei dati o un controllo degli accessi si comporterà il mese prossimo come oggi, salvo intervento umano. I sistemi di IA infrangono questo presupposto. Un modello di IA è un bersaglio mobile in tre modi. La deriva dei dati significa che gli input visti in produzione si discostano via via da quelli usati per l’addestramento. La deriva di concetto significa che la relazione appresa dal modello si sposta, sicché lo stesso input dovrebbe ora produrre una risposta diversa. Il cambiamento di comportamento, infine, significa che un riaddestramento, una messa a punto o un nuovo prompt possono alterare gli output senza alcun rilascio formale. Per questo il quadro di gestione del rischio dell’IA del NIST afferma esplicitamente che la misurazione del rischio non può essere una valutazione una tantum: i sistemi di IA evolvono per deriva dei dati, riaddestramento e cambiamenti dell’ambiente operativo, sicché il monitoraggio deve essere continuo per restare significativo. La ricerca recente si spinge oltre. In una mappatura degli obblighi degli agenti di IA nel diritto dell’Unione pubblicata nel 2026, Nannini e colleghi descrivono la deriva comportamentale a tempo di esecuzione come collocata proprio al confine della nozione di modifica sostanziale dell’Articolo 3(23) del regolamento IA: quando un sistema deriva abbastanza, può passare in silenzio dalla versione valutata a un sistema materialmente diverso, mai valutato. La loro conclusione è netta: un sistema ad alto rischio la cui deriva non sia tracciabile non può dimostrare in modo affidabile di soddisfare i requisiti del regolamento. La conseguenza pratica è che, per l’IA, il monitoraggio della conformità non è una formalità posata su un controllo statico. È l’unico modo per sapere se il sistema in produzione è ancora quello che avete approvato, ragion per cui si colloca accanto alla gestione del rischio dell’IA e non a valle di essa.

Cosa richiede la normativa: una visione a tre quadri

Il monitoraggio della conformità dell’IA non è più facoltativo in Europa, e i principali organismi di normazione convergono sulla stessa aspettativa. Tre quadri definiscono ciò rispetto a cui la maggior parte delle organizzazioni viene misurata, e una piattaforma di conformità dell’IA deve soddisfarli tutti e tre insieme.

Regolamento IA: monitoraggio successivo all’immissione sul mercato (Articolo 72)

Il regolamento IA trasforma il monitoraggio in un obbligo giuridico vincolante per i fornitori di sistemi ad alto rischio. L’Articolo 72 impone a ogni fornitore di istituire e documentare un sistema di monitoraggio successivo all’immissione sul mercato, proporzionato alla natura della tecnologia e ai rischi, che raccolga, documenti e analizzi in modo attivo e sistematico i dati sulle prestazioni del sistema lungo tutto il suo ciclo di vita. Lo scopo dichiarato è consentire al fornitore di valutare la conformità continua dei sistemi di IA ai requisiti del capo III, sezione 2. Due dettagli orientano l’attuazione. Primo, questo sistema deve poggiare su un piano scritto di monitoraggio successivo all’immissione sul mercato, parte della documentazione tecnica, per il quale la Commissione europea fornisce un modello comune. Secondo, l’obbligo dura per l’intero ciclo di vita del sistema, non fino al lancio. Il monitoraggio è concepito come il meccanismo che mantiene conforme un sistema ad alto rischio dopo l’arrivo sul mercato, ossia proprio la lettura continua che questa guida sostiene.

ISO/IEC 42001: punto 9.1, monitoraggio e misurazione

La ISO/IEC 42001, la norma sui sistemi di gestione dedicata all’IA, inscrive il monitoraggio nel suo punto 9. Le organizzazioni devono monitorare, misurare, analizzare e valutare sia le prestazioni dei propri sistemi di IA sia i processi di governance che li circondano. In pratica ciò significa scegliere indicatori, tra cui accuratezza, affidabilità e robustezza, allineati alla valutazione dei rischi e agli obiettivi di IA dell’organizzazione, e fissare soglie accettabili per tassi di errore, livelli di distorsione e qualità dei dati. Il punto 9 richiede anche prove. Le organizzazioni definiscono come e quando i dati vengono raccolti, conservano risultati documentati, conducono audit interni del sistema di gestione dell’IA e alimentano il riesame della direzione. La norma tratta il monitoraggio come l’input che rende possibile il miglioramento continuo, non come una casella spuntata una volta l’anno.

NIST AI RMF: MEASURE e MANAGE

Il quadro di gestione del rischio dell’IA del NIST, molto usato fuori dall’Unione e come complemento volontario al suo interno, ripartisce il lavoro tra le funzioni MEASURE e MANAGE. Nell’ambito di MEASURE, i sistemi di IA sono monitorati con continuità per cogliere scostamenti di prestazione e rischi emergenti, mediante test di equità, monitoraggio della deriva, test antagonistici ed esame degli output generati. Nell’ambito di MANAGE, queste misurazioni innescano una risposta, e il quadro insiste sul carattere continuo del monitoraggio proprio perché i sistemi non smettono di cambiare. Il NIST descrive anche la direzione di marcia: le pratiche di governance passano dalle revisioni manuali al monitoraggio continuo, alle verifiche automatizzate delle politiche e ai cruscotti di reporting integrati. È la forma operativa di un monitoraggio della conformità dell’IA maturo.

Cosa monitorare in un sistema di IA

Monitorare un controllo è binario: è in essere oppure no. Monitorare un sistema di IA significa osservare un insieme di segnali che, presi insieme, indicano se il sistema resta affidabile e conforme. Un programma concreto di monitoraggio della conformità dell’IA segue almeno gli elementi seguenti.

  • Indicatori di prestazione: accuratezza, precisione, richiamo, tassi di errore e latenza rispetto alle soglie che vi siete dati.
  • Deriva: deriva dei dati in ingresso e deriva di concetto nel comportamento del modello, con allerte quando una soglia viene superata.
  • Equità e distorsione: divari di esito tra gruppi protegti, verificati con una cadenza definita e non solo al lancio.
  • Robustezza e sicurezza: resistenza a input antagonistici, a iniezioni di prompt e alle azioni aperte che un sistema agentico può intraprendere.
  • Sorveglianza umana: registri che mostrano forzature, escalation e i punti in cui una persona ha esaminato o è intervenuta.
  • Incidenti e quasi-incidenti: un conteggio registrato, poiché il numero di incidenti legati all’IA è esso stesso un indicatore monitorato secondo la ISO/IEC 42001.
  • Stato di controlli e prove: quali controlli di conformità sono attivi, quando ciascuno è stato verificato l’ultima volta e se le prove associate sono aggiornate.

L’ultimo punto è il luogo in cui il monitoraggio della conformità incontra il monitoraggio delle prestazioni dell’IA. Un cruscotto MLOps può segnalare un calo di accuratezza; un programma di conformità deve collegare quel calo all’obbligo che minaccia e alla prova che un revisore richiederà. Tenere ogni sistema e i suoi obblighi aggiornati in un registro dei sistemi di IA è ciò che rende possibile questo collegamento.

Monitoraggio continuo o periodico (e come scegliere)

Non tutti i sistemi necessitano di un monitoraggio in tempo reale, e sostenere il contrario spreca risorse. La giusta cadenza segue il rischio e il ritmo del cambiamento. Il monitoraggio periodico, una revisione pianificata ogni trimestre o ogni semestre, è difendibile quando un sistema è a basso rischio, raramente riaddestrato e operante in un ambiente stabile. Un modello di classificazione documentale immutato da un anno non richiede un’osservazione al secondo. Il monitoraggio continuo giustifica il suo costo quando un sistema è ad alto rischio ai sensi del regolamento IA, si riaddestra di frequente, prende decisioni sulle persone o opera là dove i suoi input si spostano in fretta. Per questi sistemi, l’intervallo tra due audit è esattamente il momento in cui deriva e distorsione si insinuano senza essere rilevate, e l’Articolo 72 si attende che i fornitori raccolgano e analizzino i dati di prestazione lungo l’intero ciclo di vita, non a intervalli. La maggior parte delle organizzazioni approda a un modello a livelli: monitoraggio automatizzato continuo per i sistemi ad alto rischio, revisione periodica più leggera per la coda lunga e una regola chiara che assegna ciascun sistema a un livello. Mettere per iscritto quella regola, e rivederla quando il profilo di rischio di un sistema cambia, fa parte di un programma di monitoraggio difendibile.

Come costruire un programma di monitoraggio della conformità dell’IA

Tradurre l’obbligo in un programma operativo segue un percorso riconoscibile.

  1. Inventariate i vostri sistemi di IA e i relativi obblighi. Non si monitora ciò che non si è censito. Il compito fondante del fornitore, come lo formulano Nannini e colleghi, è un inventario esaustivo delle azioni di un sistema, dei suoi flussi di dati, dei sistemi collegati e delle persone interessate. Collegate ciascun sistema ai quadri e agli articoli che gli si applicano.
  2. Definite indicatori e soglie. Per ciascun sistema, stabilite che cosa significhi andare bene: soglie minime di accuratezza, soglie massime di deriva, limiti di equità e il punto in cui un segnale diventa un’allerta.
  3. Assegnate la responsabilità. Ogni segnale monitorato ha bisogno di un responsabile nominato, tenuto a rispondere dell’azione da intraprendere, e la ISO/IEC 42001 si attende che tale responsabilità emerga nel riesame della direzione.
  4. Automatizzate la raccolta delle prove. La cattura manuale di schermate non regge all’urto del monitoraggio continuo. Estraete automaticamente indicatori, registri e stato dei controlli, affinché le prove restino aggiornate e pronte per l’audit.
  5. Stabilite escalation e cadenza di revisione. Definite chi viene avvisato, con quale rapidità e qual è il percorso di risposta quando una soglia viene superata.
  6. Documentate per l’audit. Il regolamento IA richiede un piano scritto di monitoraggio successivo all’immissione sul mercato nel fascicolo tecnico: progettate il programma affinché i suoi output alimentino quel piano anziché imporre una stesura separata.

Condotto bene, il programma produce una registrazione viva che funge anche da base di prove, ossia esattamente ciò per cui una piattaforma software per la conformità dell’IA è costruita.

Domande frequenti

Che cosa significa monitoraggio della conformità? Il monitoraggio della conformità è il processo continuo che verifica se i sistemi, i controlli e le attività di un’organizzazione restano allineati a leggi, regolamenti, norme e politiche interne applicabili. A differenza di un audit una tantum, è pensato per cogliere un problema nel momento in cui si manifesta, e non alla successiva revisione pianificata. Per un sistema di IA implica anche osservare il modello stesso, poiché prestazioni e comportamento possono cambiare senza alcun aggiornamento deliberato. Il monitoraggio della conformità è un obbligo di legge per l’IA? Per i sistemi di IA ad alto rischio nell’Unione, sì. L’Articolo 72 del regolamento IA impone ai fornitori un sistema documentato di monitoraggio successivo all’immissione sul mercato che raccoglie e analizza i dati di prestazione lungo l’intero ciclo di vita per valutare la conformità continua. La ISO/IEC 42001 e il NIST AI RMF ne fanno un’aspettativa anziché una legge, ma insieme fissano l’asticella che revisori e clienti applicano sempre più. Qual è la differenza tra monitoraggio continuo e periodico? Il monitoraggio periodico esamina i controlli secondo un calendario, ad esempio ogni trimestre. Il monitoraggio continuo fa girare verifiche automatizzate sullo sfondo e segnala le anomalie in tempo quasi reale. La revisione periodica si addice a sistemi stabili e a basso rischio; il monitoraggio continuo si addice a sistemi di IA ad alto rischio o a rapida evoluzione, dove deriva e distorsione possono comparire tra un audit e l’altro. Cosa si dovrebbe monitorare in un sistema di IA? Oltre alla disponibilità, accuratezza e tassi di errore, deriva dei dati e di concetto, equità e distorsione, robustezza e sicurezza, registri della sorveglianza umana e delle forzature, incidenti e quasi-incidenti, nonché lo stato dei vostri controlli di conformità e delle relative prove. L’obiettivo è collegare un segnale tecnico all’obbligo che esso tocca. Che relazione c’è tra monitoraggio della conformità e deriva del modello? La deriva del modello è una delle ragioni principali per cui l’IA richiede un monitoraggio continuo della conformità. Man mano che input e comportamento derivano, un sistema che aveva superato la valutazione può cessare di essere conforme, e ai sensi del regolamento IA una deriva sufficiente può costituire una modifica sostanziale del sistema. Monitorare la deriva è dunque al tempo stesso una misura di qualità e un controllo di conformità. Il monitoraggio della conformità può essere automatizzato? In gran parte sì, e per l’IA deve esserlo. Il NIST AI RMF descrive il passaggio dalle revisioni manuali al monitoraggio continuo, alle verifiche automatizzate delle politiche e ai cruscotti. L’automazione mantiene aggiornate le prove e rende praticabile il monitoraggio lungo l’intero ciclo di vita che l’Articolo 72 si attende, invece di ridurlo a un proposito.

Conclusione

Il monitoraggio della conformità è sempre consistito nel confermare, non nel presumere. Per i sistemi di IA questo principio diventa imprescindibile, perché il sistema che avete valutato e quello in produzione possono divergere in silenzio per effetto di deriva, riaddestramento ed evoluzione dei dati. Regolamento IA, ISO/IEC 42001 e NIST AI RMF convergono sulla stessa risposta: monitorare con continuità, misurare rispetto a soglie chiare e tenere aggiornate le prove. Trattare il monitoraggio come lo strato operativo della vostra governance dell’IA, e non come un adempimento annuale, è ciò che mantiene un sistema difendibile tra un audit e l’altro. Una capacità continua di monitoraggio della conformità dell’IA trasforma questo principio in una garanzia su cui i vostri team, e i vostri revisori, possono contare.

Marco Conti

Monitoraggio della conformità dei sistemi di IA: la guida

Il monitoraggio della conformità mantiene i sistemi di IA allineati al regolamento IA, alla ISO 42001 e al NIST AI RMF. Cosa monitorare e con quale frequenza.

Segnalazione degli incidenti IA: l’articolo 73 del regolamento IA

Segnalazione degli incidenti IA secondo l'articolo 73 del regolamento IA: cos'è un incidente, chi segnala, i termini di 2/10/15 giorni e il processo.

Governance dell’IA: il sistema operativo per un’IA conforme e responsabile

La governance dell'IA trasforma i principi in controlli verificabili. Ecco come si integrano il regolamento europeo, la ISO 42001 e il NIST AI RMF.

Gestione del rischio di conformità: il playbook 2026 per i team GRC nell’era dell’IA

Ripensare la gestione del rischio di conformità nell'era dell'IA: ISO 31000, ISO 42001, NIST AI RMF e articolo 9 del regolamento IA in un unico stack.

Benchmark LLM: guida conformità per i team di governance dell’IA

Guida ai benchmark LLM pensata per i regolatori: come MMLU, HumanEval, HELM e AIR-Bench si collegano al regolamento IA, al NIST AI RMF e all'ISO 42001.

Il principale rischio dei modelli di IA generativa, spiegato

L'allucinazione è il rischio più materiale dei modelli di IA generativa. Mappa i 12 rischi NIST agli articoli del Regolamento UE e governali con controlli efficaci.