Antonio Luigi Pinna
← Home
EU AI Act · Metodologia
Home · Metodologia
§ METODO · v1.0

Come viene condotto un Gap Assessment.

Il framework di valutazione, la scala di conformità, gli articoli coperti e i riferimenti normativi che informano ogni report consegnato.

§ 01 — PRINCIPI

Tre principi guidano ogni assessment.

Tracciabilità. Ogni giudizio di conformità è ancorato a un articolo puntuale del Regolamento (UE) 2024/1689 e, dove applicabile, ai relativi considerando. Il report rende esplicita la catena tra evidenza raccolta, articolo di riferimento e conclusione.

Prudenza tecnica. In presenza di ambiguità interpretativa o assenza di guidance ufficiale, si adotta la lettura più cautelativa per l'organizzazione valutata, segnalando esplicitamente l'incertezza e le fonti aperte.

Azionabilità. Le raccomandazioni sono ordinate per impatto regolatorio e stima di effort. L'obiettivo non è un documento conforme, ma un'organizzazione meno esposta.

Un Gap Assessment non certifica la conformità: evidenzia le distanze misurabili tra lo stato attuale e gli obblighi applicabili, lasciando all'organizzazione la responsabilità delle scelte di remediation.

— Assunto di base del metodo
§ 02 — FRAMEWORK

Quattro categorie di rischio. Un solo regolamento.

Ogni sistema AI viene prima classificato nella categoria di rischio appropriata. Da questa classificazione discendono gli obblighi applicabili: pratiche vietate, requisiti pieni per sistemi ad alto rischio, obblighi di trasparenza per rischi limitati, o semplice rispetto dei principi generali.

PROIBITO
Pratiche vietate
Manipolazione subliminale, scoring sociale, identificazione biometrica in tempo reale in spazi pubblici (con eccezioni), riconoscimento emozioni in contesti lavorativi o educativi.
Art. 5 · Applicabile dal 02/02/2025
ALTO
Alto rischio
Sistemi in componenti di sicurezza di prodotti regolati e sistemi elencati in Allegato III (occupazione, credito, istruzione, giustizia, servizi essenziali).
Art. 6 + Allegato III · Dal 02/08/2026
LIMITATO
Rischio limitato
Chatbot, sistemi di generazione contenuti sintetici, deepfake, riconoscimento emozioni in contesti non vietati. Obblighi principalmente di trasparenza verso gli utenti.
Art. 50 · Dal 02/08/2026
MINIMO
Rischio minimo
Filtri anti-spam, AI nei videogiochi, sistemi di raccomandazione non critici. Nessun obbligo specifico oltre al rispetto dei principi generali e all'adozione volontaria di codici di condotta.
Art. 95 · Adesione volontaria
§ 03 — SCALA DI CONFORMITÀ

Quattro livelli per ogni obbligo valutato.

Per ciascun articolo applicabile, il report assegna uno dei quattro stati sottostanti. La scala è volutamente essenziale: granularità maggiore introdurrebbe falsa precisione su materia ancora priva di enforcement consolidato.

Conforme
Evidenza documentata, pratica in essere. L'organizzazione dispone di documentazione, processi o controlli che soddisfano pienamente l'obbligo. Richiede sola manutenzione.
Parziale
Obbligo coperto in modo incompleto. Esistono elementi di conformità (policy, pratiche informali, strumenti parziali) ma mancano componenti chiave. Gap medio, remediation mirata.
Non Conforme
Obbligo non coperto. Nessuna evidenza né pratica in essere. Richiede intervento prioritario, spesso con impatto organizzativo o tecnico significativo.
Non Applicabile
Obbligo fuori scope. L'articolo non si applica al sistema valutato (categoria di rischio, ruolo dell'organizzazione, soglie quantitative). Motivazione sempre esplicitata.
§ 04 — ARTICOLI COPERTI

Gli obblighi tipicamente valutati per sistemi ad alto rischio.

La tabella sottostante elenca gli articoli del Regolamento che costituiscono il cuore dell'assessment per sistemi classificati ad alto rischio. Per altri profili (rischio limitato, GPAI, pratiche proibite) il perimetro viene adeguato in fase di kick-off.

ART. 9
Sistema di gestione del rischio
Ciclo di vita · Iterativo
ART. 10
Governance di dati e dataset
Training · Validation · Test
ART. 11
Documentazione tecnica
Allegato IV
ART. 12
Registrazione automatica (logging)
Tracciabilità
ART. 13
Trasparenza verso il deployer
Istruzioni d'uso
ART. 14
Sorveglianza umana
Human oversight
ART. 15
Accuratezza, robustezza, cybersecurity
Metriche + test
ART. 16
Obblighi dei fornitori
Provider
ART. 26
Obblighi dei deployer
Deployer
ART. 50
Obblighi di trasparenza (rischio limitato)
Disclosure utente
ART. 72
Monitoraggio post-commercializzazione
Post-market
§ 05 — FASI DI ANALISI

Cinque passaggi analitici, nello stesso ordine ogni volta.

  1. Scoping. Definizione del perimetro: sistemi AI in scope, ruolo dell'organizzazione (provider, deployer, importatore, distributore), giurisdizioni di immissione sul mercato, finalità d'uso dichiarate.
  2. Classificazione. Applicazione dei criteri di Art. 5, 6 e Allegato III per determinare la categoria di rischio. Motivazione documentata e, dove rilevante, richiamo ai considerando.
  3. Mappatura obblighi. A partire dalla categoria di rischio e dal ruolo, si estraggono gli articoli applicabili. Gli articoli non applicabili vengono elencati con la motivazione di esclusione.
  4. Valutazione evidenze. Per ciascun articolo applicabile si esamina la documentazione fornita (policy, specifiche tecniche, contratti, log) e si assegna un livello nella scala di conformità.
  5. Prioritizzazione. I gap vengono ordinati combinando livello di non conformità, impatto regolatorio e stima di effort. Il risultato è un piano di azioni sequenziabili prima del 2 agosto 2026.
§ 06 — RIFERIMENTI NORMATIVI

Le fonti primarie richiamate.

Il metodo si basa esclusivamente su fonti primarie e su guidance ufficiale pubblicata dalla Commissione europea o dall'AI Office. In assenza di guidance consolidata, vengono richiamate fonti secondarie autorevoli (es. ENISA, CEN-CENELEC) segnalandone la natura non vincolante.

PRIMARIA
Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio, del 13 giugno 2024, che stabilisce regole armonizzate sull'intelligenza artificiale. EUR-Lex
DATE
Applicazione scaglionata: pratiche proibite dal 2 febbraio 2025 · Obblighi GPAI dal 2 agosto 2025 · Applicazione piena dal 2 agosto 2026 · Regole per sistemi ad alto rischio dell'Allegato I dal 2 agosto 2027.
GUIDANCE
Linee guida della Commissione europea e dell'AI Office pubblicate progressivamente. L'assessment cita solo le guidance disponibili alla data di redazione del report.
STANDARD
Standard armonizzati in via di sviluppo presso CEN-CENELEC (JTC 21). Richiamati come riferimento prospettico dove la presunzione di conformità ex Art. 40 li renderà rilevanti.
CONTESTO
Coordinamento con GDPR (Reg. 2016/679), NIS2 (Dir. 2022/2555), DSA (Reg. 2022/2065) e Data Act (Reg. 2023/2854) quando il sistema AI tocca perimetri regolatori sovrapposti.

Il metodo è pubblico. Il risultato è tuo.

Richiedi un assessment o chiedi chiarimenti sulla metodologia.

Richiedi assessment Torna alla home