Governance, Risk & Compliance
-

ISO 19011:2026, l’arte dell’audit si aggiorna: audit ibridi, evidenze digitali e competenza degli auditor
Nel maggio 2026 è stata pubblicata la quarta edizione dello Standard ISO 19011, la guida internazionale per gli audit di sistemi di gestione, recepita come UNI CEI EN ISO 19011 ed entrata nel corpo normativo nazionale il 27 maggio 2026. Audit da remoto e ibridi trattati come modalità ordinarie, evidenze digitali accanto a interviste e…
-

Mappare i rischi dell’Intelligenza Artificiale: NIST, MIT, CSA ed ENISA a confronto
Prima di gestire i rischi dell’IA bisogna saperli nominare. Quattro strumenti, tutti pubblici e gratuiti, offrono oggi altrettante prospettive: il framework di gestione del NIST, il repository tassonomico del MIT con oltre 1.700 rischi censiti, la matrice di controlli della Cloud Security Alliance e il framework di cybersicurezza dell’ENISA. Una mappa ragionata per chi costruisce…
-

Registro dei trattamenti e PMI: la semplificazione dell’articolo 30, paragrafo 5, GDPR vista da EDPB ed EDPS
Estendere l’esenzione dall’obbligo di tenuta del registro dei trattamenti alle organizzazioni con meno di 750 dipendenti: è la proposta della Commissione su cui EDPB ed EDPS si sono espressi con la Joint Opinion 01/2025. Favore per l’alleggerimento, ma con un monito: il registro non è solo un adempimento, è uno strumento di compliance. Cosa devono…
-

Il template DPIA dell’EDPB: verso una valutazione d’impatto armonizzata in tutto lo Spazio economico europeo
Il 14 aprile 2026 l’EDPB ha adottato un template per le valutazioni d’impatto sulla protezione dei dati, posto in consultazione pubblica fino al 9 giugno 2026: campi predefiniti, un documento esplicativo e l’ambizione di diventare il modello unico, o il “meta-template”, delle autorità di tutto lo SEE. Cosa cambia, in concreto, per titolari e DPO?…
-

ISO/IEC 42005 e la valutazione d’impatto dei sistemi di IA: una bussola tra FRIA e DPIA
Pubblicata nel maggio 2025, lo Standard ISO/IEC 42005 offre alle organizzazioni una guida per la valutazione d’impatto dei sistemi di Intelligenza Artificiale su individui, gruppi e società. Uno strumento volontario che si colloca in un ecosistema affollato di valutazioni obbligatorie: la FRIA dell’articolo 27 AI Act e la DPIA dell’articolo 35 GDPR. Come si coordinano…
-

NIS 2, DORA e Cyber Resilience Act: come orientarsi quando i perimetri si sovrappongono
Tre atti europei, tre logiche regolatorie, un solo obiettivo: la resilienza digitale. Ma per chi rientra in più perimetri, dalla banca al fornitore di software, la domanda è concreta: quale disciplina prevale? La risposta sta nelle clausole di coordinamento: l’articolo 4 della NIS 2, la lex specialis del DORA e la complementarità del CRA. Facciamo…
-

Certificare l’Intelligenza Artificiale: come funziona uno schema AIMS e cosa non promette
Con lo Standard ISO/IEC 42001 è nata la prima norma certificabile sui sistemi di gestione dell’Intelligenza Artificiale; con lo Standard ISO/IEC 42006:2025 sono arrivati i requisiti per gli organismi che rilasciano le certificazioni. Ma come funziona, in concreto, uno schema AIMS? E perché il certificato non è, e non può essere, una “patente di conformità”…
-

AI Act all’orizzonte: cosa succederà ai comuni italiani?
I divieti dell’AI Act si applicano dal 2 febbraio 2025, la generalità delle disposizioni dal 2 agosto 2026, mentre gli obblighi per i sistemi ad alto rischio slittano, per effetto del Digital Omnibus, al 2 dicembre 2027 e al 2 agosto 2028. In questo calendario mobile ci sono anche i comuni italiani: non spettatori, ma…
-

Il piano ispettivo del Garante privacy per il 2026: le aree nel mirino e le lezioni del caso Emirates
Con la deliberazione n. 797 del 30 dicembre 2025 il Garante ha programmato l’attività ispettiva per il primo semestre 2026: intelligenza artificiale nelle scuole, data breach sulle banche dati pubbliche, whistleblowing, dossier sanitario, telemarketing energetico, anonimizzazione dei big data delle Telco. E la recente sanzione a Emirates dimostra che anche una base giuridica legittima non salva…
-

ISO/IEC 42001 e AI Act: perché la certificazione non è (ancora) una presunzione di conformità
Il 18 marzo 2026 è stata pubblicata la EN ISO/IEC 42001:2026, adozione europea dello standard sui sistemi di gestione dell’Intelligenza Artificiale, mentre i lavori del CEN-CLC/JTC 21 sulle norme armonizzate a supporto dell’AI Act procedono con tempi serrati: chiusa l’inchiesta pubblica sul progetto di norma prEN 18286, la pubblicazione della EN è attesa entro il…