Confronti e approfondimenti

AI Act e ISO 27001: mappare controlli, rischi, SoA e governance AI

Redazione GAPOFF · Aggiornato il 2026-05-20 · Revisione: 2026-05-20

Risposta rapida

AI Act e ISO 27001 si integrano perché molti requisiti AI dipendono da sicurezza, governance, gestione del rischio, accessi, fornitori, incidenti, logging, continuità e audit. ISO 27001 non rende automaticamente conformi all’AI Act, ma offre un sistema di gestione utile per controlli e prove. Per organizzazioni mature può essere utile anche considerare ISO/IEC 42001 come standard di sistema di gestione per l’intelligenza artificiale, distinguendo sempre certificazione, controlli interni e obblighi legali.

Verifica gli obblighi AI Act della tua organizzazione

Inventory sistemi AI, classificazione del rischio, governance e audit-ready.

Verifica gratis →

Perché questo tema è importante

Un sistema AI non è solo algoritmo. È dati, infrastruttura, accessi, pipeline, fornitori, log, output, persone e processi. Per questo un CISO vede subito il collegamento con ISO 27001: se gli asset non sono censiti, i rischi non sono nel risk register e i controlli non sono nel SoA, la governance AI resta incompleta.

L’integrazione non deve però essere forzata. L’AI Act richiede valutazioni specifiche su rischio, trasparenza, human oversight, classificazione e ruoli. ISO 27001 aiuta a costruire disciplina organizzativa, ma non sostituisce l’analisi normativa.

Quadro normativo e fonti ufficiali

Il riferimento principale resta il Regolamento (UE) 2024/1689, che introduce un modello basato sul rischio e distribuisce gli obblighi in base al ruolo svolto dall'organizzazione: provider, deployer, importatore, distributore o altro operatore della catena del valore. Per una lettura operativa, il punto non è trasformare ogni uso di AI in un progetto legale, ma distinguere sistemi vietati, sistemi ad alto rischio, usi soggetti a trasparenza e usi a rischio minimo. La Commissione europea e l'AI Act Service Desk sono fonti da monitorare perché linee guida, codici di pratica, standard e strumenti di supporto possono cambiare il modo in cui le aziende documentano la conformità. Alla data di revisione di questo contenuto, l'accordo politico del 7 maggio 2026 sul pacchetto AI Omnibus richiede un trigger di aggiornamento per le date applicative dei sistemi ad alto rischio: prima della pubblicazione definitiva occorre verificare il testo formalmente adottato e la versione consolidata delle fonti ufficiali.

Cosa significa per l’azienda

Per un’azienda già certificata o in percorso ISO 27001, il vantaggio è riutilizzare processi esistenti: asset inventory, risk assessment, access control, supplier management, incident management, business continuity, audit interni e miglioramento continuo. Il passaggio chiave è aggiungere l’AI come classe di asset e rischio.

Un approccio maturo deve sempre distinguere tre livelli: la decisione di governance, l’evidenza documentale e il controllo operativo. La decisione spiega perché un sistema viene usato o limitato; l’evidenza dimostra come è stata fatta la valutazione; il controllo operativo assicura che la regola continui a funzionare dopo l’adozione iniziale. Questa distinzione è essenziale perché molti progetti AI sono dinamici: cambiano fornitori, modelli, dataset, utenti e modalità d’uso.

Nel contesto GAPOFF, questo tema va letto in modo integrato: il modulo AI Act Governance non dovrebbe restare isolato, ma dialogare con GDPR, Vendor Risk, Incident & Breach Ops, ISO 27001, Business Continuity e Trust Center quando il caso d’uso lo richiede. La conformità diventa più forte quando un’unica evidenza può sostenere più controlli senza creare copie incoerenti.

Cosa deve fare concretamente l’organizzazione

Inserire sistemi AI e componenti correlate nell’asset inventory.
Aggiornare risk register con rischi AI: dati, bias, output errato, prompt injection, leakage, dipendenza vendor, sicurezza modello.
Mappare controlli ISO 27001 pertinenti a requisiti AI Act e misure interne.
Aggiornare Statement of Applicability quando controlli di sicurezza AI diventano rilevanti.
Integrare supplier security con Vendor Risk AI.
Estendere incident management a anomalie e incidenti AI.
Usare audit interni ISO per testare evidenze AI governance.
Valutare ISO/IEC 42001 come evoluzione per organizzazioni con uso AI esteso.

Evidenze e documenti da conservare

| Evidenza | Perché serve | Quando aggiornarla | | --- | --- | --- | | Asset inventory | Sistemi AI e componenti | ISO 27001 + AI Act | | Risk register | Rischi AI e cybersecurity | Risk management | | SoA | Controlli applicabili e motivazioni | ISO 27001 | | Supplier assessment | Fornitori AI e sicurezza | Vendor Risk | | Audit findings | Verifica controlli AI | Miglioramento continuo |

Esempio pratico

Un’azienda certificata ISO 27001 introduce un modello generativo per analizzare documenti interni. Il sistema viene aggiunto all’asset inventory, il rischio di data leakage entra nel risk register, gli accessi sono limitati, i log vengono conservati, il fornitore viene valutato e il SoA viene aggiornato. L’analisi AI Act resta separata ma collegata, con classificazione e assessment specifici.

Errori comuni da evitare

Dichiarare che ISO 27001 equivale automaticamente a compliance AI Act.
Non inserire sistemi AI tra gli asset informativi.
Valutare solo sicurezza tecnica e non rischio su persone e diritti.
Non aggiornare incident management per eventi AI.
Non collegare SoA, risk register e registro AI.

Come GAPOFF aiuta

GAPOFF permette di gestire ISO 27001 e AI Act in modo integrato: controlli, risk register, evidenze, audit, vendor e incidenti possono essere collegati allo stesso sistema AI. Questo aiuta CISO e compliance a ridurre duplicazioni e a mostrare una governance coerente.

L'AI Act non si gestisce con Excel.

Inventory sistemi AI, classificazione del rischio, sorveglianza umana, documentazione tecnica, fornitori AI ed evidenze devono essere collegati e dimostrabili. GAPOFF unifica AI Act, GDPR (DPIA), Vendor Risk, NIS2, DORA e ISO 27001 in un unico sistema audit-ready.

Scopri il modulo AI Act →

Checklist operativa

Sistemi AI in asset inventory.
Risk register aggiornato con rischi AI.
Controlli ISO mappati.
SoA verificato.
Fornitori AI valutati.
Incidenti AI integrati.
Audit interni includono AI.
ISO 42001 valutata se utile.

Trasforma la checklist in attività tracciabili

Con GAPOFF ogni voce diventa un controllo con owner, scadenza ed evidenza — non un foglio Excel. Modulo AI Act →

FAQ

ISO 27001 basta per l’AI Act?

No. È un ottimo sistema di gestione della sicurezza, ma l’AI Act richiede classificazione, ruoli, obblighi e documentazione specifici.

ISO/IEC 42001 è obbligatoria?

No, ma può essere utile come riferimento di sistema di gestione AI per organizzazioni mature o vendor AI.

Quali controlli ISO sono più collegati all’AI?

Asset management, access control, supplier security, incident management, logging, secure development, business continuity e audit.

Come evitare duplicazioni?

Usando cross-mapping tra controlli ISO, schede AI, vendor file, incidenti ed evidenze.

Modulo GAPOFF AI Act

Inventory sistemi AI, classificazione del rischio (vietato/alto/limitato/minimo), obblighi provider e deployer, governance AI, documentazione tecnica, sorveglianza umana, GPAI, audit-ready. Cross-mapping con GDPR (DPIA), NIS2, DORA e ISO 27001.

Vai al modulo AI Act →

Fonti ufficiali e riferimenti

Disclaimer legale

Questo contenuto ha finalità informative e di orientamento generale. Non costituisce consulenza legale, tecnica, fiscale o organizzativa personalizzata. Per determinare obblighi, responsabilità e misure applicabili al caso concreto, è necessario svolgere una valutazione specifica con professionisti qualificati e fonti ufficiali aggiornate.

Libro: AI Act per il Business

Guida pratica scaricabile gratis — perimetro, obblighi, governance e implementazione operativa del Regolamento (UE) 2024/1689 per imprese italiane.

Scarica il libro (PDF)

FAQ