Skip to content
Close
SEARCH
it
en
Richiedi demo
it
en
Richiedi demo

CyberGrant protegge ogni aspetto della tua sicurezza digitale
Scopri le soluzioni modulari pensate per difendere la tua azienda da minacce esterne, interne e nuove sfide come l’IA.

Panoramica soluzioni
key

DATA LOSS PREVENTION

Protezione asset digitali

Classificazione automatica

Cifratura in cloud

Protezione e-mail

Anti-phishing

password-minimalistic-input-svgrepo-com

GESTIONE DEGLI ACCESSI

Protezione RDP

Regole di accesso

Furto dispositivi

Accesso internet

email grant

PROTEZIONE EMAIL

Controllo post-invio

Allegati protetti

Errore umano

Cifratura avanzata

laptop-svgrepo-com (1)

PROTEZIONE ENDPOINT

Blocco malware

Gestione operazioni

Controllo delle applicazioni

Modello zero trust

Vulnerabilità zero-day

pulse-svgrepo-com

MONITORAGGIO

Controllo dispositivi

File condivisi

password

PROTEZIONE CREDENZIALI

Vault aziendale

Condivisione controllata

Cifratura zero-trust

Log e generazione

share-svgrepo-com

FILE SHARING SICURO

Collaboratori esterni

RBAC

Anti-AI scraping

VDR

medal-ribbons-star-svgrepo-com

COMPLIANCE

Normative 

Rischi conformità

bot-svgrepo-com

INTELLIGENZA ARTIFICIALE

Controllo dell'AI

Classificazione automatica

Blocco AI

magnifer-bug-svgrepo-com

ASSESSMENT

Esposizione digitale

Analisi vulnerabilità

Simulazione attacco

Simulazione ransomware

Valutazione errore umano

Difesa DDoS

Cybersicurezza su misura per ogni azienda.
Soluzioni scalabili e compatibili con sistemi legacy, adatte sia a PMI , che a grandi imprese che richiedono controllo su dati, accessi e condivisioni.

Panoramica settori

FINANZIARIO

SERVIZI

IT
Consulenza
Turismo
ADV

REAL ESTATE

Edilizia
Immobiliare

LEGALE

MULTIUTILITIES

Oil&Gas
Elettricità
Telco

SANITARIO

RETAIL & LOGISTICA

E-commerce
Trasporti
Spedizioni
GDO

MANIFATTURIERO

Design
Automotive
Industria

PUBBLICA AMMINISTRAZIONE

Organizzazioni sovranazionali

Enti centrali

Enti locali

Scopri le funzionalità di sicurezza per proteggere i dati, file ed endpoint
Funzionalità di FileGrant
Policy di RemoteGrant
FileGrant
FileGrant

Archivia, condividi e gestisci i tuoi file in totale sicurezza con una piattaforma avanzata, semplice da usare e altamente personalizzabile.

 

Scopri FileGrant
SecretGrant
SecretGrant

Gestisci credenziali, chiavi e accessi aziendali con la stessa semplicità dei file, mantenendo sempre il pieno controllo su chi può accedere.

 

Scopri SecretGrant
RemoteGrant logo
RemoteGrant

RemoteGrant protegge la tua azienda da attacchi e perdite di dati permettendo
ai tuoi dipendenti, ovunque lavorino, di accedere in modo sicuro a workstation e file.

 

Scopri RemoteGrant
EmailGrant
EmailGrant

Cifra ogni email e controlla chi può accedere ai contenuti, garantendo sicurezza e tracciabilità anche fuori dall’azienda.

 

Scopri EmailGrant
AG_pittogramma_blu
AIGrant

AIGrant è il tuo assistente personale che conosce i tuoi dati, li protegge e trova quello che ti serve

 

Scopri AIGrant
CG_blog_hero_AIACT
Federica Maria Rita LivelliMay 8, 2026 5:55:09 PM9 min read

AI Act e protezione dati: cosa devono fare CISO e IT Manager

AI Act e protezione dati: cosa devono fare CISO e IT Manager
11:35

AI Act e protezione dei dati: sfide per i CISO e gli IT Manager  

L’AI Act è ormai realtà: le prime scadenze sono operative e l’uso dell’AI in azienda comporta obblighi precisi e sanzioni, anche per chi non sviluppa ma semplicemente utilizza queste tecnologie.

 

Introduzione

L’AI Act non rappresenta più un orizzonte normativo futuro: le prime disposizioni sono già entrate in vigore e l’utilizzo dell’AI in ambito aziendale comporta oggi obblighi concreti, verificabili e sanzionabili, che riguardano non solo chi sviluppa sistemi di AI, ma anche chi li utilizza operativamente.

Le tempistiche di applicazione del Regolamento impongono alle organizzazioni un approccio consapevole e strutturato. Tuttavia, molte imprese si confrontano con l’AI Act senza disporre di una visione completa dei sistemi di IA effettivamente in uso, con evidenti criticità in termini di governance e di gestione del rischio. Ne consegue che per CISO e IT manager diventa prioritario comprendere come l’AI Act qualifica i sistemi di AI “ad alto rischio” e valutare concretamente il livello di esposizione dell’organizzazione, al fine di individuare responsabilità, aree critiche e priorità di intervento.

 

AI Act: obblighi e responsabilità per le organizzazioni che utilizzano l’AI

L’AI Act si applica ad un una pluralità di soggetti, tra cui: provider, deployer (ossia chi implementa e utilizza i sistemi di AI in contesti operativi), importatori e distributori. Per la maggior parte delle aziende, il ruolo più rilevante è quello di deployer, considerando che, in tale veste, l’organizzazione è responsabile di:

  • Utilizzare i sistemi di AI in modo conforme alle istruzioni fornite dal provider.
  • Assicurare che il personale che interagisce con sistemi di AI “ad alto rischio” disponga delle competenze adeguate.
  • Monitorare il funzionamento dei sistemi di AI, segnalare tempestivamente incidenti o malfunzionamenti gravi e conservare i log di sistema per i periodi previsti dalla normativa.
  • Garantire un’effettiva supervisione umana nei processi decisionali critici supportati dall’AI.

Cosa si intende per sistema AI “ad alto rischio”

Le organizzazioni, per comprendere il perimetro degli obblighi più stringenti introdotti dall’AI Act devono innanzitutto chiarire che cosa si intenda per sistema di AI “ad alto rischio”.

L’AI Act adotta un approccio basato sul rischio, classificando i sistemi di AI in funzione del loro potenziale impatto sulla salute, sulla sicurezza e sui diritti fondamentali delle persone ed individua quattro livelli di rischio: rischio inaccettabile, alto rischio, rischio limitato e rischio minimo.

ai_act_piramide_rischio

I sistemi di AI “ad alto rischio” per la loro finalità o per il contesto di utilizzo, possono incidere in modo significativo sull’esercizio dei diritti fondamentali o su aspetti critici della vita delle persone. Proprio in ragione di tale impatto potenziale, l’AI Act li assoggetta a un regime regolatorio particolarmente rigoroso. Rientrano in questa categoria, tra gli altri, i seguenti casi d’uso:

  • Sistemi di AI impiegati come componenti di sicurezza nelle infrastrutture critiche e nei prodotti (ad esempio nei trasporti o nella chirurgia assistita da robot).
  • Soluzioni di AI utilizzate nei contesti educativi e occupazionali, in grado di influenzare l’accesso all’istruzione, alle opportunità lavorative o allo sviluppo della carriera (ad esempio valutazione degli esami o selezione automatizzata dei CV).
  • Sistemi di AI utilizzati per l’accesso a servizi pubblici e privati essenziali, come i sistemi di credit scoring.
  • Applicazioni di AI per l’identificazione biometrica remota, il riconoscimento delle emozioni o la categorizzazione biometrica.
  • Casi d’uso dell’AI nell’applicazione della legge e nell’amministrazione della giustizia, laddove possano incidere sui diritti fondamentali, ad esempio nella valutazione delle prove o nel supporto alle decisioni giudiziarie.
  • Sistemi di AI impiegati nella gestione della migrazione, dell’asilo e dei controlli alle frontiere, come l’esame automatizzato delle domande di visto.
  • Soluzioni di AI utilizzate nei processi democratici, quando possono influenzarne il corretto svolgimento.

Obblighi per i sistemi di AI “ad alto rischio” ed inventario dei sistemi AI in uso

I sistemi di AI “ad alto rischio”, prima di poter essere immessi sul mercato o messi in servizio, devono rispettare una serie di obblighi stringenti, che incidono direttamente sulle responsabilità di CISO e IT manager e che possono essere ricondotti a cinque macroaree principali, quali:

  • Governance e gestione del rischio che richiede l’adozione di processi strutturati per l’identificazione, la valutazione e la mitigazione dei rischi connessi all’uso dell’AI.
  • Qualità e gestione dei dati, finalizzata a prevenire risultati discriminatori o distorti attraverso l’utilizzo di dataset adeguati, rappresentativi e controllati.
  • Tracciabilità e documentazione, comprendente la registrazione delle attività, la conservazione dei log e la predisposizione di una documentazione tecnica idonea a dimostrare la conformità del sistema.
  • Supervisione umana, volta a garantire che le decisioni supportate dall’AI siano effettivamente controllabili e, se necessario, reversibili da parte di operatori umani.
  • Sicurezza, robustezza e accuratezza, che impone standard elevati di cybersecurity e affidabilità operativa lungo l’intero ciclo di vita del sistema.


Il mancato rispetto di tali obblighi non rappresenta solo una criticità tecnica o organizzativa, ma può tradursi in esposizione diretta a sanzioni e misure correttive, soprattutto nei casi in cui l’assenza di controlli, documentazione o supervisione emerga a seguito di incidenti o verifiche ispettive.

Il primo passo imprescindibile è la mappatura completa dei sistemi di AI in uso, inclusi quelli adottati in modo non formalizzato (i.e.: shadow AI). Di fatto, in assenza di un inventario strutturato, risulta impossibile dimostrare la conformità normativa e governare il rischio sanzionatorio.

L’inventario dei sistemi di AI dovrebbe includere, per ciascun sistema, almeno i seguenti elementi:

  • Nome del sistema e fornitore.
  • Funzione svolta e reparto utilizzatore.
  • Tipologia di dati trattati (dati personali, dati sensibili, dati di produzione).
  • Classificazione del livello di rischio ai sensi dell’AI Act.
  • Stato di conformità all'AI Act e presenza della documentazione richiesta.

È importante sottolineare che tale inventario non costituisce un’attività una tantum, ma deve essere mantenuto aggiornato e integrato nei processi di procurement, onboarding tecnologico e gestione dei fornitori. L’assenza di una mappatura e di una tracciabilità dei sistemi di AI in uso può esporre l’organizzazione a rischi significativi, inclusa l’impossibilità di gestire adeguatamente controlli o ispezioni delle autorità di vigilanza.

 

AI Act, AI on premise e Data Loss Prevention (DLP)

L’adozione di soluzioni di AI in modalità onpremise (in locale) rappresenta, per molte organizzazioni, una scelta strategica per l’impiego dell’AI in contesti caratterizzati da un’elevata sensibilità dei dati. Di fatto, l’AI – inclusi i Large Language Model (LLM) – può essere utilizzata mantenendo la gestione e il trattamento delle informazioni all’interno dell’infrastruttura aziendale, rafforzando il controllo sui dati e sui processi decisionali supportati dall’AI.

Inoltre, l’integrazione con soluzioni di Data Loss Prevention (DLP), supportate dall’AI, consente di rafforzare la governance operativa dei dati, attraverso il monitoraggio delle interazioni degli utenti e la mitigazione del rischio di utilizzi impropri o di perdite informative. L’AI onpremise può, così, essere riservata all’elaborazione di dati ad alto rischio, mentre le soluzioni DLP contribuiscono a governare i flussi informativi e a documentare le attività rilevanti ai fini dei controlli e della conformità.

Nel loro insieme, l’adozione di AI onpremise e di soluzioni DLP basate sull’AI configura un assetto pienamente coerente con i requisiti dell’AI Act, in particolare nei contesti in cui sono richiesti elevati livelli di sicurezza, tracciabilità e supervisione. Un approccio che, per molte organizzazioni, rappresenta la modalità più efficace per coniugare l’innovazione tecnologica con una gestione responsabile e conforme dei dati.

 

Una check list operativa: domande a cui ogni CISO e IT manager dovrebbe essere in grado di rispondere

Di seguito una proposta di check list pratica, che può essere di supporto per una prima autovalutazione del livello di esposizione all'AI Act. Non sostituisce una gap analysis formale, ma consente di avere una visione delle aree prioritarie di intervento.

#

Domanda

Sì / No / Parziale

Note / Azioni

1

Avete un inventario aggiornato di tutti i sistemi AI in uso in azienda (inclusi quelli adottati autonomamente dai reparti)?

2

Sapete quali di questi sistemi rientrano nella categoria ad alto rischio ai sensi dell'AI Act?

3

Esiste una procedura formale di valutazione del rischio AI prima del deployment di nuovi sistemi?

4

Avete effettuato una ricognizione della shadow AI nelle vostre infrastrutture?

5

Sono stati definiti ruoli e responsabilità per la governance AI (i.e. AI Officer, referente compliance)?

6

Disponete di documentazione tecnica e log di audit per i sistemi AI critici?

7

I vostri fornitori di AI hanno fornito la documentazione di conformità richiesta dall'AI Act?

8

Il personale che utilizza sistemi AI ad alto rischio ha ricevuto formazione adeguata?

9

Avete integrato la valutazione dell'AI Act nei processi di vendor assessment e procurement?

10

Esiste un piano di remediation per i sistemi AI non conformi già in uso?

FG_Download

 

Ogni risposta, negativa o parziale, corrisponde a un'area di intervento prioritaria. Ne consegue che una valutazione onesta su questi dieci punti può fornire già buon punto di partenza del percorso verso la AI Act compliance.

 

Conclusione

La compliance all’AI Act si traduce sempre più in scelte concrete di governance, architettura tecnologica e controllo dei dati. Per CISO e IT manager non si tratta soltanto di interpretare un quadro normativo complesso, ma di assumere decisioni consapevoli su quali sistemi di AI adottare, come integrarli nei processi aziendali e quali misure di sicurezza e supervisione implementare lungo l’intero ciclo di vita dell’AI.

Pertanto, in questo contesto, la capacità di identificare, classificare e governare i sistemi di AI, valutandone il livello di rischio e assicurando adeguati presidi di tracciabilità, documentazione e controllo, diventa un elemento centrale della strategia di compliance.

Un approccio strutturato e orientato al rischio consente alle organizzazioni non solo di ridurre l’esposizione sanzionatoria, ma anche di rafforzare la fiducia nei processi decisionali supportati dall’AI. Inoltre, scelte architetturali mirate, come l’adozione di soluzioni AI on premise e l’integrazione di strumenti di DLP basati sull’AI rappresentano, in tal senso, leve fondamentali per coniugare innovazione, protezione dei dati e responsabilità, ponendo le basi per un utilizzo sostenibile, sicuro e conforme di questa tecnologia.

 

AG_logo_vet_blu
AIGrant è l'AI privata di CyberGrant, pensata per le aziende che vogliono la produttività dell'AI generativa senza esporre dati sensibili agli LLM pubblici. Funziona on-premise o in cloud controllato, classifica i documenti in automatico e applica policy di accesso ereditate dal file stesso. I dipendenti interrogano, riassumono e cercano nella knowledge aziendale in linguaggio naturale. Prompt e contenuti non escono mai dal perimetro. L'audit trail richiesto dall'AI Act è nativo, non aggiunto a posteriori.
bkg_banner_Aigrant-1
Scopri AIGrant
FG_logo_vert_blu
FileGrant cifra ogni documento alla creazione con la tecnologia brevettata Lock&Go e chiavi post-quantum CRYSTALS-Kyber, selezionate dal NIST. Policy di accesso, ruoli e tag di contenuto seguono il file su cloud, email, strumenti di terze parti e dispositivi personali. Puoi revocare l'accesso anche dopo la condivisione, bloccare gli screenshot e impedire la cattura schermo durante le call. Ogni azione viene tracciata in un audit trail completo, coerente con GDPR, NIS2 e DORA. Quando il file esce dal perimetro, i tuoi controlli no.
BKG-CTA-FG
Scopri FileGrant
avatar
Federica Maria Rita Livelli
Consulente in Risk Management & Business Continuity, svolge un’attività di diffusione e sviluppo della cultura della resilienza presso varie istituzioni e università italiane e straniere. È membro de: CLUSIT – Direttivo; BCI - Cyber Resilience Group; FERMA Digital Committee. Svolge attività di docente di moduli di resilienza presso l’Università Genova – Master Infrastrutture Critiche, l’Università di Udine -Master di Intelligence & ICT e l’Università di Verona – RiskMaster. Relatrice e moderatrice in diversi seminari, conferenze nazionali ed internazionali, autrice di numerosi articoli e white paper su diverse riviste italiane e straniere. Co-autrice de: Rapporto Clusit - Cyber Security (ed. dal 2020 ad oggi); Libri tematici CLUSIT rif. Intelligenza Artificiale (2020) e Rischio Cyber (2021), Supply Chain Risk (2023); “Lo Stato in Crisi” ed. Angeli (2022); “The ACP book of best practices 3rd edition - Important topics within resilience (2025).

You might also like