La ISO 42001 non ti mette in regola con l’AI Act. E aspettare è l’errore più costoso.
Spesso si sente dire la frase: “Prendiamo la ISO 42001 e siamo a posto con l’AI Act.” È sbagliata. Ma la conclusione che molti ne traggono — allora aspettiamo la norma giusta — è ancora più sbagliata. E se costruisci prodotti con dell’AI dentro, ti costa due volte: una sul piano legale, una su quello che conta davvero per te, cioè il prodotto.
Cosa la ISO 42001 non ti dà
Partiamo dal piano legale, perché è netto.
La presunzione di conformità all’AI Act — quel meccanismo per cui un sistema è presunto conforme se segue uno standard riconosciuto — nasce solo da standard armonizzati pubblicati nella Gazzetta Ufficiale dell’Unione (Articolo 40). La ISO/IEC 42001 non è uno di questi. È uno standard internazionale, prezioso e ampiamente riconosciuto, ma non è uno standard armonizzato europeo nato su mandato della Commissione.
Lo standard che darà quella presunzione, sul fronte del sistema di gestione, è il prEN 18286, in lavorazione presso CEN-CENELEC. È ancora in stesura e in evoluzione continua — ci torneremo in un articolo dedicato.
Tradotto: oggi un certificato ISO 42001 rafforza la tua posizione, non è uno scudo legale. Chi te lo vende come scudo, o non lo sa, o spera che non lo sappia tu.
Perché aspettare è l’errore
Qui parte il ragionamento sbagliato: se la 42001 non mi mette in regola, aspetto la norma armonizzata. Due motivi per cui non ha senso.
Il primo è di posizione. Il prEN 18286 non nasce dal nulla: poggia sui controlli della 42001. Chi struttura oggi la propria governance sulla 42001 non butterà via il lavoro quando arriverà la norma — lo riuserà. Chi aspetta partirà da zero esattamente quando i tempi stringono.
Il secondo, più importante: il valore della 42001 non è quel pezzo di carta legale. È operativo, ed è disponibile adesso.
Lo vedo in modo molto concreto. Per un cliente — una grande azienda di servizi — abbiamo analizzato oltre ottanta casi d’uso dell’AI prima di toccare qualunque certificazione: fattibilità tecnica, dati realmente disponibili, implicazioni sui processi, costo di implementazione e di mantenimento, ritorno atteso. E il ritorno non l’abbiamo misurato solo in ore risparmiate — l’errore più comune — ma su quattro assi: ore, efficienza nella risposta al cliente finale, immagine percepita, e rischio che la soluzione stessa introduce.
Quell’analisi è diventata il punto di partenza del percorso 42001, non una sua conseguenza. Nessuno aspetta una norma armonizzata per decidere con questo livello di lucidità dove mettere l’AI e, soprattutto, dove non metterla.
La governance del dato è una decisione di prodotto
E qui arrivo al punto che, se costruisci prodotti, dovrebbe interessarti più di ogni discorso legale.
Tra i controlli della 42001, i più sottovalutati e i più decisivi sono quelli sui dataset: provenienza, qualità, preparazione, tracciabilità del dato. Sembrano adempimenti. Non lo sono.
In una startup medicale con cui collaboro, stiamo strutturando l’acquisizione dei dataset perché possano addestrare modelli a scopo diagnostico medico. La 42001 qui serve a una cosa molto pratica: governare e controllare il dato in modo che sia utilizzabile dentro un percorso di certificazione. Detto al contrario — che è il modo in cui va detto: se quel dato lo gestisci male, rischi di non poterlo usare affatto. Un dataset proprietario senza provenienza tracciata e senza controllo qualità documentato è un dataset che, a valle, non difendi davanti a un ente certificatore. Hai speso per raccoglierlo, e non puoi costruirci sopra la certificazione del prodotto.
Non vale solo nel medicale. Vale per ogni progetto industriale costruito su un dataset proprietario: un modello di manutenzione predittiva addestrato sui dati di una macchina vale quanto la disciplina con cui quei dati sono stati raccolti e tracciati. La governance del dato non è la carta che mostri all’auditor. È ciò che rende il modello difendibile e il prodotto certificabile — oppure non lo rende.
E si aggancia a quello che già fai
Se progetti prodotti industriali, probabilmente hai già — o stai costruendo — una disciplina di sviluppo sicuro secondo IEC 62443. La 42001 non la sostituisce: ci si innesta sopra. La 62443 garantisce che la “scatola” e i suoi canali di comunicazione siano sicuri; la 42001 garantisce che il “cervello” dentro la scatola operi in modo trasparente, controllato, e senza degradare in modo invisibile.
Il punto di innesto più immediato è la parte 4-1, sul ciclo di sviluppo sicuro: addestramento, test e validazione del modello AI non sono un percorso a parte, vanno dentro lo stesso ciclo con cui sviluppi il resto del prodotto. Ma l’integrazione è più profonda. Basta un esempio a renderla concreta: un attacco avversario a un modello che pilota un attuatore non è solo un problema di “qualità dell’AI” — può tradursi in un danno fisico. Ed è per questo che le valutazioni d’impatto dell’AI (42001) devono diventare requisiti di sicurezza OT (62443): il rischio non è più soltanto informatico.
È questa la differenza tra fare la 42001 come adempimento isolato e farla come parte del modo in cui costruisci. Il primo modo produce carta. Il secondo migliora — e mette in sicurezza — il prodotto.
Da dove partire
Tre mosse, valide qualunque cosa faccia la tempistica normativa:
- Censisci i casi d’uso dell’AI — quelli nei processi e quelli dentro il prodotto, ufficiali e ombra. Non governi ciò che non hai mappato.
- Decidi chi possiede la governance dell’AI: R&D, IT o business. La risposta “tutti” significa nessuno.
- Tratta i controlli sul dato come parte del ciclo di vita 62443/27001 che già hai, non come un silo nuovo.
Nessuna di queste richiede di aspettare il prEN 18286. Tutte ti fanno essere pronto ed avvantaggiato quando arriverà.
La ISO 42001 non è lo scudo legale che ti hanno raccontato. È la disciplina che ti porta avanti — sul prodotto, prima ancora che sulla conformità. E si comincia capendo dove sei davvero esposto.
Se vuoi una mappa concreta della tua esposizione, il Regulatory Spark è una call di 45 minuti: mappiamo i tuoi casi d’uso dell’AI, prodotto incluso, ed esci con una sintesi scritta e una direzione. Senza fuffa.