Timeline di implementazione EU AI Act
Scegliete il vostro ruolo e livello di rischio. Ottenete un piano pratico per fase, con gli esatti artefatti da produrre e le evidenze che dovete poter esportare.
Ultimo aggiornamento: 16 dic 2025 · Versione v1.0 · Solo a scopo orientativo. Non costituisce consulenza legale.
Segnala un problema: /contact?ref=implementazione
Cos'è (e quando vi serve)
Un piano a fasi per produrre i deliverable e le evidenze che gli auditor si aspettano.
Questa pagina non è un riepilogo legale. È una timeline di implementazione legata a deliverable concreti: documentazione tecnica, procedure di supervisione umana, piani di monitoraggio, policy di conservazione dei log ed esercitazioni di esportazione delle evidenze.
Utilizzate i toggle interattivi per generare una checklist per ruolo e livello di certezza sul rischio. In caso di dubbio, trattatelo come potenziale alto rischio finché non potete difendere la classificazione.
Vi serve quando
- State pianificando budget e sequenziando il lavoro tra i team.
- Dovete produrre artefatti rapidamente e mantenerli collegati alle evidenze.
- Volete dimostrare la prontezza all'audit tramite esercitazioni di esportazione, non promesse.
Errore comune
I team iniziano la documentazione troppo tardi e non possono esportare evidenze su richiesta: nessuna traccia delle versioni, nessun record di revisione, nessuna prova di integrità, nessun report delle esercitazioni.
Com'è fatto un buon risultato
Criteri di successo della timeline: controlli + evidenze, non presentazioni.
- Disponete di un inventario dei sistemi con responsabili designati e di un memo di classificazione difendibile.
- Le azioni ad alto rischio sono controllate da policy gate e/o code di approvazione.
- Il piano di monitoraggio include soglie, policy di campionamento, responsabili e workflow per la gestione degli incidenti.
- I log di audit sono protetti nell'integrità ed esportabili con manifesto e checksum.
- Eseguite esercitazioni di esportazione e conservate i report delle esercitazioni e le azioni correttive come evidenza.
Date chiave (orientative)
Utilizzate queste tappe per verificare la vostra timeline interna.
2024-07-12
Pubblicato nella Gazzetta ufficiale
Inizio del conto alla rovescia. Usate questa data per verificare le tempistiche di applicabilità a fasi.
2024-08-01
Entrata in vigore
Il regolamento è in vigore, con molti obblighi che entrano in fasi successive.
2025-02-02
Si applicano le pratiche proibite (Articolo 5)
Che sia ad alto rischio o meno, i casi d'uso proibiti vanno rimossi o riprogettati.
2025-08-02
Iniziano gli obblighi per l'IA di uso generale (GPAI)
Gli obblighi lato provider iniziano ad applicarsi per i modelli GPAI e a rischio sistemico.
2026-08-02
Si applica la maggior parte degli obblighi
I programmi operativi di alto livello devono essere attivi, non 'in pianificazione'.
2027-08-02
Alcune norme ad alto rischio si applicano pienamente
Entrano in vigore requisiti tardivi e obblighi specifici di categoria.
Piano di implementazione interattivo
Un ordine di operazioni suggerito, personalizzato per il vostro ruolo e livello di certezza sul rischio.
Phase 1: Inventory and classification
You can’t comply with what you haven’t identified. Start by making risk classification defensible.
Owners
- Compliance
- Product
- Engineering
What you produce
- System inventory
- Classification memo (assumptions + rationale)
- Owner map
Checklist
- Inventory AI systems, owners, deployment regions, and affected user groups.
- Write intended purpose and boundaries (“do not use for”).
- Classify risk tier; if uncertain, treat as potential high-risk until clarified.
- Identify and remove prohibited patterns; record remediation decisions.
Phase 2: Governance and change control
Audits fail when versioning and approvals are missing. Make “what changed when” provable early.
Owners
- Compliance
- Security
- Engineering
What you produce
- Change control policy
- Material change definition
- Approval workflow + evidence fields
Checklist
- Define “material change” (model/prompt/policy/workflow/data/tool changes).
- Implement approvals for risky changes and capture rationale + identity.
- Define retention and export expectations for audit logs.
Phase 3: Controls, gates, oversight, and logging
Move from documentation to enforceable runtime controls (fail-closed where needed).
Owners
- Engineering
- Compliance
- Ops
What you produce
- Policy-as-code checkpoints
- Human oversight SOP
- Audit log taxonomy
Checklist
- Define policy checkpoints (block / require-review / allow) for high-risk actions.
- Stand up an approval queue with escalation and override procedure.
- Log decisions, approvals/overrides, tool calls, and versions in effect.
Phase 4: Documentation package and evidence pointers
Reviewers want an artifact that links every claim to exportable proof.
Owners
- Compliance
- Engineering
- Risk
What you produce
- Annex IV-aligned technical documentation draft
- Evidence pointers per section
Checklist
- Draft Annex IV sections and attach evidence pointers (artifact → source → integrity proof).
- Produce a one-page summary for stakeholders (forwardable).
- Prepare deployer instructions and required operational controls.
Phase 5: Post-market monitoring and incident response
You must prove ongoing control effectiveness: sampling, thresholds, incidents, corrective actions.
Owners
- Ops
- Compliance
- Engineering
What you produce
- Post-market monitoring plan
- Sampling policy
- Incident runbook
Checklist
- Define monitored signals and thresholds (quality, policy compliance, tool correctness, operational health).
- Implement risk-tiered sampling (baseline + burst rules).
- Define incident severity levels, SLAs, rollback/kill-switch procedure, and reporting responsibilities.
Phase 6: Audit readiness drills
Evidence exists only if you can export it on demand, with verification steps.
Owners
- Compliance
- Engineering
- Security
What you produce
- Evidence export drill report
- Corrective action log
Checklist
- Run a time-boxed evidence export drill (simulate an auditor request).
- Verify integrity independently (manifest + checksums + hash chain validation).
- Record gaps and corrective actions; repeat on cadence (monthly/quarterly).
Anteprima della checklist
Un breve estratto dell'artefatto scaricabile (HTML indicizzabile).
## Fase 2: Valutazione delle lacune (artefatti che dovete poter produrre) - Bozza documentazione tecnica Annex IV (se alto rischio) - SOP di supervisione umana + percorso evidenze degli interventi - Tassonomia di logging + policy di conservazione + meccanismo di esportazione - Piano di monitoraggio post-market + policy di campionamento + workflow incidenti ## Fase 6: Esercitazioni di prontezza all'audit - Eseguire un'esercitazione completa di esportazione delle evidenze (a tempo) - Verificare l'integrità in modo indipendente (manifesto + checksum) - Risolvere le lacune e registrare le azioni correttive
Come KLA vi aiuta (Governare / Misurare / Dimostrare)
Trasformate la timeline in un piano di controllo con evidenze esportabili.
Governare
- Checkpoint policy-as-code che bloccano o richiedono revisione per le azioni a rischio.
- Approvazioni versionate per modifiche a modelli/prompt/policy/workflow.
Misurare
- Revisioni a campione graduate per rischio (regole baseline + burst).
- Tracciamento dei near-miss (passaggi bloccati / quasi bloccati) come segnale di efficacia dei controlli.
Dimostrare
- Traccia di audit tamper-proof, append-only con conservazione 7+ anni ove richiesto.
- Pacchetti di esportazione Evidence Room (manifesto + checksum) per verifica indipendente.
Registro aggiornamenti
Segnale di aggiornamento senza pretendere di essere il regolatore.
2025-12-16
Timeline interattiva iniziale
Aggiunti toggle ruolo/rischio + checklist a fasi + artefatto checklist scaricabile.
Ultimo aggiornamento: 2025-12-16
FAQ
Risposte brevi per la pianificazione e le revisioni.
Scarica la checklist della timeline
Checklist Markdown editabile per la pianificazione e le esercitazioni di prontezza all'audit.
Scarica la checklist