AI & Copilot · Governance · Aggiornato al 18 maggio 2026
Come partner AI Governance per Microsoft Copilot e Foundry portiamo i Suoi use case IA in una cornice di governance solida — senza paralizzare l'operatività quotidiana. L'EU AI Act non è più una minaccia lontana: obbligo di formazione secondo l'Articolo 4 da febbraio 2025, quadro sanzionatorio completo fino a 35 mln € o al 7% del fatturato annuo in vigore da agosto 2026.
Cosa richiede l'UE
Il Regolamento UE 2024/1689 — noto come EU AI Act — colloca ogni utilizzo di intelligenza artificiale in una delle quattro classi di rischio. Ne discendono obblighi concreti. Aiutiamo a classificare correttamente ogni Suo use case IA.
Alcune pratiche sono inammissibili — ad esempio il social scoring da parte di autorità pubbliche, i sistemi manipolatori, la raccolta biometrica di massa non mirata. Chi impiega tali sistemi rischia le sanzioni più elevate. Non assumiamo affatto use case di questo tipo.
Pre-selezione HR, valutazione del credito, identificazione biometrica, infrastrutture critiche, valutazione formativa. Requisiti rigorosi: valutazione di conformità, gestione del rischio, documentazione tecnica, monitoraggio continuo. Qui serve accompagnamento giuridico specializzato — orientiamo dalla nostra rete di partner.
Chatbot, deep fake, riconoscimento delle emozioni, IA generativa con effetto esterno. Obbligo: trasparenza verso gli utenti. Vi rientra tipicamente gran parte degli agent Copilot Studio. L'obbligo è soddisfacibile — ma deve essere praticato e documentato.
Filtri antispam, algoritmi di raccomandazione a basso impatto, classificatori semplici. Qui non valgono obblighi specifici dell'AI Act — ma gli obblighi generali (GDPR, formazione Art. 4) restano in vigore.
Il nostro programma AI Governance
Prendiamo l'AI Act non come un freno ma come un aiuto strutturale. Quattro mattoni che costruiamo con Lei in 8–12 settimane — pragmatici, senza eccesso burocratico.
Mappiamo tutti i use case IA che oggi girano nella Sua azienda — visibili e invisibili. Microsoft Copilot, agent custom, il plugin browser ChatGPT dei team marketing, il filtro candidature nel recruiting. La Shadow AI è reale e deve diventare visibile per prima.
Obbligo di formazione secondo l'Art. 4 EU AI Act. Costruiamo un concept basato sui ruoli: direzione diversamente dal commerciale, diversamente dall'IT, diversamente dalla protezione dei dati. Con prove di formazione documentate che reggono davanti a un'autorità di vigilanza — non solo una casella spuntata.
Ogni use case identificato viene classificato: vietato, alto rischio, rischio limitato, minimo. Da ogni classe discendono obblighi concreti. Dalla classificazione discendono le misure — dall'avviso di trasparenza nel chatbot alla valutazione di conformità per uno use case ad alto rischio.
Costruiamo un audit trail che si appoggia su Microsoft Purview e Microsoft Entra ID. Chi ha utilizzato quale agent, quando, con quale domanda, quale risposta, quale fonte dati. Non è solo un obbligo dell'EU AI Act — in caso di danno è anche l'unica possibilità di chiarire retroattivamente un'allucinazione.
Compliance check concreti
Questa lista non è esaustiva ma mostra la profondità della nostra prima verifica. Ogni tema viene documentato con stato (rosso, giallo, verde), motivazione e azione concreta.
Tutto il personale che lavora con sistemi di IA è formato in modo dimostrabile? Esiste un concept specifico per ruoli? Le formazioni vengono aggiornate annualmente? I nuovi assunti vengono inclusi durante l'onboarding? Carenza frequente: lista Excel con caselle spuntate, senza profondità contenutistica.
Quando una persona interagisce con un sistema di IA, deve saperlo. Per chatbot, agent di servizio, IA generativa con effetto esterno. Verifichiamo che gli avvisi siano univoci, persistenti e non nascosti. Carenza frequente: avviso solo nelle condizioni generali, non nell'interfaccia.
Microsoft 365 Copilot può essere configurato per la residenza dei dati nell'UE. Verifichiamo la configurazione del tenant, l'assegnazione di regione e la logica di flusso dei dati. Carenza frequente: tenant configurato "worldwide", flusso dati verso gli Stati Uniti non escluso.
Verifichiamo se Copilot o agent custom possono accedere a dati che non dovrebbero vedere. Punto debole frequente: siti SharePoint con "chiunque in azienda può leggere", cresciuti storicamente e che oggi contengono fascicoli HR.
Per ogni agent custom verifichiamo lo use case rispetto alla classe di rischio EU AI Act. Un bot FAQ interno è di solito "a rischio limitato". Un agent di pre-selezione candidati è ad alto rischio. Dalla classificazione discendono le misure — fino alla raccomandazione di non costruire affatto l'agent in quel modo.
Verifichiamo che tutte le interazioni IA rilevanti siano registrate. Microsoft Purview fornisce un buon standard ma deve essere configurato correttamente. Carenza frequente: log attivati ma mai analizzati — e con retention a 30 giorni invece di 12 mesi.
Delimitazione onesta
Non siamo uno studio legale. Siamo consulenti Microsoft con conoscenza approfondita dell'EU AI Act e della sua attuazione tecnica. Per valutazioni giuridiche formali, per la valutazione di conformità con accompagnamento da parte di Notified Body per sistemi ad alto rischio, per audit in loco da parte di un'autorità di vigilanza orientiamo verso studi specializzati della nostra rete di partner DACH.
Cosa offriamo invece: una AI Governance pragmatica, tecnicamente fondata, che si integra nello stack Microsoft — Copilot, Copilot Studio, Microsoft Purview, Microsoft Entra ID. Consigliamo, documentiamo, formiamo. Il timbro giuridico finale lo appone uno studio legale con cui sediamo allo stesso tavolo.
Domande frequenti
Il Regolamento UE 2024/1689 distingue quattro classi di rischio: pratiche vietate (Art. 5), sistemi ad alto rischio (Allegato III), sistemi a rischio limitato con obbligo di trasparenza e rischio minimo. Da febbraio 2025 vige l'obbligo di formazione IA secondo l'Art. 4 per tutte le aziende che utilizzano o forniscono sistemi di IA. Da agosto 2026 si applica il quadro sanzionatorio completo per i sistemi ad alto rischio.
Sì. L'obbligo di formazione dell'Art. 4 EU AI Act vale per ogni organizzazione che utilizza sistemi di IA — indipendentemente dal fatto che li sviluppi internamente o li acquisti come servizio. Chi impiega Microsoft 365 Copilot, ChatGPT Enterprise o agent custom deve formare il personale in modo dimostrabile. La profondità dipende dal ruolo e dalla classe di rischio del sistema.
L'EU AI Act prevede sanzioni fino a 35 mln € o al 7% del fatturato annuo mondiale — a seconda della violazione e del tipo di azienda. Le violazioni delle disposizioni sui sistemi ad alto rischio comportano la fascia più elevata. Le violazioni degli obblighi di trasparenza o formazione sono inferiori ma comunque significative.
L'Allegato III dell'EU AI Act elenca le aree ad alto rischio — tra cui pre-selezione HR, valutazione del credito, identificazione biometrica, infrastrutture critiche e valutazione formativa. Chi impiega un agent Copilot Studio in una di queste aree deve soddisfare requisiti di compliance rigorosi.
Per le PMI calcoliamo una cornice a prezzo fisso — a seconda del numero di use case IA, della dimensione dell'organizzazione e della profondità della concezione formativa. Organizzazioni più grandi con sviluppi di modelli propri vengono calcolate individualmente.
Un percorso di programma tipico dura da 8 a 12 settimane — inventario dei rischi nelle prime due settimane, classificazione e sviluppo del concept formativo in parallelo, poi roll-out delle formazioni e costruzione dell'audit trail. Il risultato è un framework di AI Governance documentato, sottoposto a revisione annuale.
No — e lo diciamo esplicitamente. Siamo consulenti Microsoft con conoscenza approfondita dell'EU AI Act e della sua attuazione tecnica. Per valutazioni giuridiche formali, valutazioni di conformità con accompagnamento da parte di Notified Body e audit in loco, raccomandiamo studi legali specializzati — collaboriamo con tre partner fissi nella regione DACH.
30 min · riservato · senza impegno
Ascoltiamo la Sua situazione, facciamo una prima valutazione del rischio dei Suoi use case IA attivi e Le diciamo onestamente dove sta il maggior bisogno di intervento — prima che lo chieda l'autorità di vigilanza.
