Un'azienda logistica nei Paesi Bassi, 180 dipendenti, un team operativo solido e una leadership genuinamente attenta, ha coinvolto Karven alla fine del 2025 convinta di essere in una buona posizione. Avevano letto i riassunti del Regolamento sull'IA. Avevano partecipato a due webinar. Il loro responsabile HR aveva segnalato la scadenza di agosto 2026 con sei mesi di anticipo. Quando abbiamo condotto l'inventario, abbiamo trovato uno strumento di screening dei CV integrato nel loro sistema di tracciamento delle candidature, abilitato come "funzionalità utile" diciotto mesi prima. Nessuno lo aveva classificato. Nessuno aveva stipulato un DPA con il fornitore dell'ATS per quella specifica attività di trattamento. Nessuno aveva informato i candidati della sua esistenza. Ai sensi del Regolamento, si trattava di un sistema di IA ad alto rischio implementato senza prove di conformità, logging o documentazione della supervisione umana. Uno strumento. Diciotto mesi. Una lacuna che sarebbe diventata un problema serio ad agosto.
Questo è ciò che trova realmente un audit dei sistemi di IA: non quello che sapete di star usando, ma quello che state usando e che avete dimenticato.
Karven ha ora condotto dodici di questi audit per PMI europee. Ecco cosa coprono effettivamente.
Cosa copre realmente un audit dei sistemi di IA
Si immagina spesso un audit dell'IA come una valutazione tecnica: revisione del codice, valutazione del modello, test di sicurezza. A volte fa parte del lavoro. Più spesso, ciò che conta di più è di natura operativa e documentale: non se il modello è valido, ma se riuscite a dimostrare che viene utilizzato in modo appropriato.
Un audit corretto copre cinque aree.
1. Scoperta: trovare tutto ciò che rientra nella definizione di IA
Il primo compito è costruire l'inventario. Sembra semplice. Non lo è. L'IA è integrata in decine di strumenti che le aziende già utilizzano: la funzionalità di "pianificazione intelligente" nel software del calendario, l'analisi del sentiment sui ticket di assistenza clienti, il punteggio dei candidati nell'ATS, i segnali antifrode nella piattaforma di pagamento. Nessuno di questi appare come un "progetto di IA" ai team operativi. Tutti potenzialmente attivano obblighi ai sensi del Regolamento.
Trascorriamo il primo giorno di ogni audit in interviste con gli stakeholder di risorse umane, finanza, operazioni e IT. L'obiettivo è portare alla luce ogni strumento che utilizzi machine learning o processi decisionali automatizzati in modo da incidere sulle persone. L'inventario è la base: tutto il resto dipende da esso.
2. Classificazione: mappare gli strumenti sui livelli di rischio
Una volta che sapete cosa avete, lo classificate. Il Regolamento utilizza quattro livelli: vietato, ad alto rischio, a rischio limitato e a rischio minimo. Per le PMI, la domanda critica è quali strumenti ricadono nella categoria ad alto rischio ai sensi dell'Annex III.
L'elenco dell'Annex III è specifico: sistemi occupazionali e di gestione delle risorse umane, scoring creditizio e assicurativo, valutazione dell'istruzione, accesso a servizi essenziali, identificazione biometrica. Se utilizzate l'IA per uno qualsiasi di questi scopi, anche come funzionalità secondaria di una piattaforma più ampia, siete nella categoria ad alto rischio e si applica il quadro di conformità completo.
Le decisioni di classificazione devono essere documentate. Se stabilite che uno strumento non è ad alto rischio, scrivete il perché. I regolatori che busseranno alla porta vorranno vedere il ragionamento, non solo la conclusione.
3. Documentazione: cosa esiste rispetto a cosa è richiesto
I sistemi di IA ad alto rischio richiedono un insieme specifico di documentazione: documentazione tecnica del fornitore, istruzioni per l'uso, capacità di logging e prove di una valutazione di conformità. Come deployer, avete il diritto di richiedere tutto questo al vostro fornitore. Se non riesce a fornirlo, non è conforme come provider: il che crea un rischio per voi.
Sul fronte GDPR, i requisiti documentali si sovrappongono: Registro delle Attività di Trattamento, DPA, DPIA e informative sulla privacy. L'audit verifica se questi elementi esistono, se sono aggiornati e se coprono effettivamente le attività di trattamento con IA in questione. Nella nostra esperienza, circa il 60% dei DPA che esaminiamo negli audit delle PMI sono stati redatti prima che l'attuale dotazione di strumenti di IA dell'azienda fosse in essere. Non la coprono.
4. Supervisione umana: siete davvero in grado di intervenire?
Il Regolamento richiede che i deployer di sistemi ad alto rischio mantengano la capacità di mettere in pausa, ignorare o interrompere le uscite del sistema. Richiede inoltre che qualcuno nell'organizzazione comprenda le capacità e i limiti del sistema e sia abilitato ad agire.
Nella pratica, questo è spesso una lacuna. Le aziende assumono che se ne occupi il fornitore. Il fornitore assume che l'azienda abbia designato qualcuno. In dodici audit, abbiamo trovato almeno una lacuna di supervisione in ognuno. A volte lo strumento non espone alcuna capacità di override al deployer. A volte la persona nominalmente responsabile non è mai stata effettivamente informata sul sistema. L'audit verifica entrambe le dimensioni e produce come output una mappa specifica delle responsabilità.
5. Due diligence sui fornitori: cosa dicono davvero i vostri contratti
I vostri obblighi ai sensi del Regolamento non scompaiono perché l'IA è stata sviluppata da qualcun altro. Se implementate un sistema ad alto rischio, siete responsabili delle condizioni di implementazione. Ciò significa che i vostri accordi con i fornitori devono coprire le prove della valutazione di conformità, la documentazione tecnica, le catene dei sub-responsabili, la residenza dei dati e le capacità di supervisione a cui avete diritto.
Esaminiamo ogni contratto fornitore che riguardi un sistema di IA in scope. Nella pratica, la maggior parte necessita di aggiornamenti. Alcuni mancano interamente delle clausole specifiche per il Regolamento. Alcuni, in particolare i contratti SaaS più datati, non dispongono nemmeno di DPA GDPR adeguati per le attività di trattamento correnti.
Le lacune che troviamo più spesso
Dopo dodici audit, i pattern sono costanti. Questi sono gli elementi che le PMI sistematicamente trascurano.
Il problema dell'ATS. I sistemi di tracciamento delle candidature includono quasi universalmente oggi uno screening dei candidati basato sull'IA. Spesso è abilitato per impostazione predefinita o aggiunto come upgrade senza che nessuno abbia formalmente valutato le implicazioni di conformità. Il sistema è ad alto rischio ai sensi dell'Annex III. L'azienda non ha prove di conformità, non ha un processo di revisione dei log e i candidati non sono stati informati. Questa lacuna emerge in circa 8 audit su 12.
Il punto cieco delle funzionalità integrate. Le piattaforme HR, i CRM e gli strumenti finanziari hanno aggiunto in silenzio funzionalità di IA negli ultimi due anni: "analisi delle performance", "deal scoring", "rilevamento delle anomalie nelle spese". Ognuna che incida su decisioni occupazionali o finanziarie è potenzialmente ad alto rischio. Poiché nessuno ha attivato un "progetto di IA" autonomo, nessuno ha svolto il lavoro di classificazione.
DPA antecedenti all'implementazione dell'IA. Un'azienda ha firmato un DPA con il fornitore del proprio CRM nel 2021. Nel 2024 ha abilitato la funzionalità di deal scoring basata sull'IA. Il DPA non la copre. Il trattamento avviene senza una base giuridica aggiornata per quella specifica attività.
Nessuna persona designata per la supervisione. Il Regolamento richiede che qualcuno sia responsabile del monitoraggio dei sistemi di IA ad alto rischio. Nella maggior parte delle PMI, nessuno è stato formalmente assegnato a questo ruolo. L'IT sa che gli strumenti funzionano. Nessuno è stato informato sui loro limiti, nessuno ha un'autorità di override concreta e nessuno sta esaminando i log.
Informative mancanti per candidati e dipendenti. Gli articoli 13/14 del GDPR richiedono trasparenza sul trattamento, incluso quello assistito dall'IA. Le informative sulla privacy redatte nel 2020 non menzionano lo strumento di screening dei CV introdotto nel 2023. I requisiti di consultazione dei consigli di rappresentanza dei lavoratori in Francia, Germania e Paesi Bassi aggiungono un ulteriore livello che diverse aziende non hanno affrontato.
Farlo internamente o affidarsi a esperti esterni
Una valutazione onesta: un team interno competente può farlo. Richiede più tempo e richiede qualcuno che sia a proprio agio nel leggere l'elenco dell'Annex III del Regolamento, nell'interpretare la documentazione dei fornitori e nel condurre conversazioni credibili con il team legale e IT contemporaneamente. Se disponete di un DPO e di un responsabile della conformità tecnicamente preparato, avete gli ingredienti necessari.
Dove gli sforzi interni tendono a essere carenti è la fase di inventario. I team interni sottostimano cosa rientra nel campo di applicazione perché si concentrano sui propri progetti di IA conosciuti, non sulle funzionalità integrate negli strumenti esistenti. Tendono anche a essere più deferenti nei confronti dei fornitori quando richiedono documentazione, mentre i fornitori di sistemi di IA ad alto rischio sono legalmente obbligati a fornire quella documentazione su richiesta.
Ricorrere a un supporto esterno ha senso se il vostro team interno è già sotto pressione, se avete strumenti di IA in territorio genuinamente ambiguo (non chiaramente ad alto rischio, ma nemmeno chiaramente fuori scope), o se volete che l'audit produca documentazione che reggerebbe a un esame regolatorio piuttosto che qualcosa di valido internamente ma non testato.
Costo indicativo per un audit di IA di una PMI con supporto esterno: da 8.000 a 25.000 euro, a seconda del numero di strumenti in scope e dello stato della documentazione esistente. Un'azienda con 5 strumenti di IA e solide basi GDPR si posiziona nella fascia bassa. Un'azienda con 15 strumenti e una documentazione GDPR ferma al 2019 si trova nella fascia alta.
Il costo di una sanzione per una DPIA mancante su un sistema ad alto rischio: fino a 15 milioni di euro o il 3% del fatturato annuo globale. I conti sono presto fatti.
Da dove partire
Avviate l'inventario prima di qualsiasi altra cosa. Due giorni, gli stakeholder giusti, un processo di intervista strutturato. Elencate ogni strumento che utilizzi l'IA o processi decisionali automatizzati in qualsiasi modo che incida su dipendenti, clienti o decisioni finanziarie. Per ciascuno, annotate il fornitore, i dati che tratta e se riguarda una categoria dell'Annex III.
Quell'elenco è la vostra roadmap di conformità. Tutto il resto, DPIA, contatti con i fornitori, assegnazioni della supervisione, documentazione, discende dal sapere cosa avete effettivamente in casa.
Se volete aiuto per condurre questo processo, o volete che Karven metta a confronto i vostri risultati con quelli che abbiamo visto in aziende simili, Parlate con noi su karven.ai/contact.
