Domande frequenti.

Cos'è l'EU AI Act e quando si applica?

L'EU AI Act (Regolamento (UE) 2024/1689) è la legge europea sull'IA basata sul rischio. I divieti per l'IA a rischio inaccettabile si applicano dal 2 febbraio 2025. La maggior parte degli obblighi diventa applicabile il 2 agosto 2026 — inclusi gli obblighi di trasparenza (articolo 50) e di alfabetizzazione all'IA (articolo 4). Nell'ambito del pacchetto Digital Omnibus (posizione del Parlamento europeo adottata a giugno 2026, in attesa di adozione definitiva), gli obblighi ad alto rischio (allegato III) dovrebbero essere rinviati a dicembre 2027.

Quali sistemi sono qualificati come «ad alto rischio»?

L'allegato III elenca otto categorie: biometria, infrastrutture critiche, istruzione, occupazione, accesso a servizi essenziali (incluso credit scoring e tariffazione assicurativa), applicazione della legge, migrazione e amministrazione della giustizia. L'IA usata come componente di sicurezza in prodotti dell'allegato I (dispositivi medici, macchinari, ecc.) è ad alto rischio per rinvio.

Cosa richiede l'articolo 12 (registrazione)?

L'articolo 12 obbliga i fornitori di sistemi IA ad alto rischio ad abilitare la registrazione automatica degli eventi che garantiscano la tracciabilità lungo tutto il ciclo di vita. La catena di audit di Noetik è hash-collegata e append-only; ogni decisione è scritta in modo deterministico con versione di policy, classificazione e verdetto.

Cos'è l'articolo 14 (sorveglianza umana)?

L'articolo 14 richiede che i sistemi IA ad alto rischio siano progettati per una sorveglianza efficace da parte di persone fisiche durante l'uso — comprendere, monitorare, sovrascrivere o fermare il sistema. Il gate pre-esecuzione di Noetik è lo strato di override: una richiesta che viola una policy dura non raggiunge mai il modello.

Chi è «fornitore» e chi «deployer»?

Il fornitore sviluppa il sistema IA e lo immette sul mercato; porta la maggior parte degli obblighi di documentazione e conformità. Il deployer lo utilizza sotto la propria autorità, con obblighi di uso conforme, registrazione, monitoraggio e — in alcuni casi del settore pubblico — valutazioni d'impatto sui diritti fondamentali. Noetik supporta entrambi i ruoli.

Cos'è la norma ISO/IEC 42001?

ISO/IEC 42001:2023 è la norma internazionale di sistema di gestione per i sistemi di gestione dell'IA (AIMS) — strutturata come ISO 27001 e ISO 9001, con Plan-Do-Check-Act, governance e controlli basati sul rischio. È la candidata principale come norma armonizzata per la dimensione «sistema di gestione» dell'EU AI Act.

Cos'è il NIST AI RMF, e quali funzioni copre Noetik?

Il framework NIST per la gestione del rischio dell'IA definisce quattro funzioni: Govern, Map, Measure, Manage. L'autoria delle policy di Noetik serve Govern; il classificatore e il ClarityScore servono Measure; il gate di pre-esecuzione serve Manage. La funzione Map — contesto, uso previsto, impatto — rimane al team compliance del cliente.

Cos'è la governance pre-esecuzione?

La governance pre-esecuzione valuta ogni richiesta IA prima che venga eseguita, rispetto a uno stack di policy deterministico. La differenza con il monitoraggio post-hoc è causale: la pre-esecuzione decide cosa può accadere; il post-hoc riporta cosa è accaduto.

Come funzionano i verdetti EXECUTE, HOLD e BLOCK?

Il motore restituisce uno di tre verdetti. EXECUTE lascia passare al modello una richiesta chiara e conforme. HOLD restituisce una richiesta di chiarimento ClarityFeedback™ che invita l'utente a precisare o correggere il proprio input, che viene poi rivalutato. BLOCK ferma una richiesta che viola un obbligo non negoziabile — legale, regolatorio, di sicurezza — o lo strato di sicurezza Tier-1 sempre attivo, con motivazione registrata. I verdetti sono prodotti in ordine deterministico a ogni chiamata e ogni valutazione viene registrata.

Cos'è il ClarityScore?

Il ClarityScore è una misura numerica deterministica della chiarezza dell'input, derivata da segnali strutturali espliciti (sintattico, semantico, affettivo, di policy). Due input equivalenti producono sempre lo stesso punteggio, e guida la decisione EXECUTE-versus-HOLD. Il punteggio è scritto nella catena di audit accanto al verdetto.

Cos'è una catena di audit a prova di manomissione?

Ogni voce è hash-collegata a quella precedente (stile Merkle) e firmata con una chiave specifica per l'istanza. Modificare una voce storica invalida tutti gli hash successivi, cosa rilevabile in ogni verifica. La catena è append-only ed esportabile per audit indipendente.

PREEXEC è self-hosted o SaaS?

PREEXEC è fornito come motore self-hosted. Il cliente lo gestisce sulla propria infrastruttura — bare-metal, macchina virtuale o container — all'interno del proprio perimetro di sicurezza. Nessuna richiesta, output o dato di audit è inviato a Noetik Governance Ltd.

Quali modelli IA sono supportati?

PREEXEC è agnostico al modello. Il motore governa le richieste dirette a qualunque large language model — OpenAI, Anthropic, Mistral, varianti Llama locali, endpoint ospitati dal fornitore. L'integrazione passa per uno strato di adapter; il modello stesso non viene modificato.

Che impatto su latenza e operatività?

Il motore è deterministico; il costo cresce con la profondità dello stack di policy e la complessità del classificatore. In configurazioni tipiche, il costo per chiamata è ben al di sotto del costo di generazione del modello stesso. I clienti definiscono il proprio budget di latenza durante il pilota.

Su quali settori si concentra Noetik?

Settori regolamentati con elevata esposizione al rischio IA: banche e servizi finanziari (chatbot di consulenza, narrazioni di decisioni di credito — allegato III), assicurazioni (sottoscrizione, tariffazione — allegato III), sanità (supporto alle decisioni cliniche, IA integrata in dispositivi medici) e pubblica amministrazione (servizi al cittadino, decisioni di idoneità). Lo stack di policy è configurato per settore.