Ogni settimana un imprenditore ci contatta dopo aver letto del primo procedimento del Garante, o dopo che un cliente enterprise ha chiesto la AI policy durante una gara. La reazione è sempre la stessa: 'dobbiamo fare qualcosa, ma non voglio pagare una consulenza da sei mesi e un compliance officer dedicato.' La risposta buona è che non serve. Servono tre cose, nell'ordine giusto, eseguite in trenta giorni.
L'AI Act è entrato in applicazione progressiva dal 2024 e le PMI con sistemi AI non ne sono esenti: sono solo soggette a obblighi proporzionati. Il problema non è la complessità della norma, è che nessuno ha tradotto quella complessità in azioni operative per un'azienda da 30 a 200 dipendenti. Questo articolo lo fa.
Passo 1: l'inventario AI (giorni 1-7)
Non puoi governare ciò che non sai di avere. Il primo passo è censire ogni sistema AI in uso in azienda, autorizzato o meno. L'output è un foglio Excel con sei colonne: nome del tool, owner interno (chi lo usa e chi ne è responsabile), dati che processa (testo, immagini, dati personali, dati finanziari), scopo di business, fornitore, livello di rischio stimato (basso / medio / alto secondo la classificazione AI Act).
Chi lo fa: l'IT manager o il CTO, con un giro di email ai responsabili di funzione. Non serve un audit tecnico profondo. Servono dichiarazioni interne. Il punto non è la perfezione, è l'accountability: avere un documento firmato che attesti che l'azienda conosce i propri sistemi AI. Questo documento, in caso di ispezione, vale enormemente.
- Nome tool e versione (es. Microsoft Copilot Enterprise, ChatGPT Team, un modello custom)
- Owner: chi ha acquistato l'accesso, chi lo usa quotidianamente
- Dati in input: testo libero, CV, contratti, dati finanziari, dati di terzi
- Scopo: redazione testi, supporto cliente, analisi documenti, automazione flussi
- Livello rischio AI Act: basso (assistenti testuali generici), medio (sistemi che influenzano decisioni HR/credito), alto (sistemi di scoring o selezione automatica)
- Data di inserimento nel registro: per documentare che il monitoraggio è continuo
Passo 2: policy AI di 2 pagine + formazione 2h (giorni 8-20)
L'Art. 4 dell'AI Act impone ai datori di lavoro di garantire un livello adeguato di AI Literacy ai dipendenti che usano sistemi AI. 'Adeguato' non significa un master di tre mesi: significa che ogni persona che interagisce con uno strumento AI sappia cosa fa, quali rischi comporta e come comportarsi. Due ore di formazione, registrate, con firma di presa visione, soddisfano l'obbligo per la grande maggioranza delle PMI in fascia di rischio basso-medio.
La policy AI è il documento che accompagna la formazione. Due pagine, non quaranta. Struttura minima: cosa è consentito fare con AI in azienda, cosa è vietato (in primis: inserire dati personali di terzi in tool consumer non approvati), quale tool è autorizzato, chi contattare in caso di dubbi o incidenti. Deve essere firmata da ogni dipendente, come il GDPR policy — non archiviata in un cassetto.
“Una policy AI di due pagine, firmata e compresa dai dipendenti, vale più di un framework di governance da duecento pagine che nessuno ha mai aperto.”
Passo 3: audit log + designazione referente AI (giorni 21-30)
Il terzo passo è quello che trasforma i passi 1 e 2 da documenti statici a un sistema vivo. Servono due cose: un audit log minimo e un referente AI interno.
L'audit log non richiede software dedicato: è sufficiente che i tool AI autorizzati generino log di accesso (chi, quando, quale sistema) e che questi vengano conservati per almeno 12 mesi. La maggior parte dei tool enterprise — Copilot, ChatGPT Team, tool aziendali custom — ha questa funzionalità nativa. Va solo attivata e collegata a un repository interno. Il log è la prova che l'azienda monitora i propri sistemi AI: in caso di incidente o ispezione, è la differenza tra 'abbiamo un problema' e 'abbiamo un problema ma abbiamo fatto il possibile per prevenirlo'.
Il referente AI interno è la figura che presidia aggiornamenti normativi, gestisce il registro, coordina la formazione annuale e fa da punto di contatto per richieste esterne. Non deve essere un compliance officer a tempo pieno: può essere il CTO, l'IT manager, un legal interno con un'ora di affiancamento iniziale. Se manca completamente questa skill, la figura del Fractional CTO con competenza AI-Compliance risolve il problema con un impegno part-time e costi proporzionati.
- Attiva i log di accesso su tutti i tool AI autorizzati (impostazione nativa, spesso già disponibile)
- Definisci il periodo di conservazione (minimo 12 mesi, allineato al GDPR)
- Designa il referente AI per iscritto, con nota interna o lettera di incarico
- Pianifica un aggiornamento semestrale del registro AI (il panorama cambia velocemente)
- Inserisci la governance AI nell'ordine del giorno della prima riunione di management utile
Cosa coprono questi tre passi, in termini legali
Il trittico inventario + policy + log non è la governance AI completa. Non copre, ad esempio, i sistemi ad alto rischio che richiedono conformità tecnica profonda, né la gestione di sistemi AI sviluppati internamente. Copre però il 90% dei rischi concreti di una PMI italiana che usa tool AI commerciali per usi di ufficio e processo: GDPR accountability, AI Act Art. 4, prima linea di difesa in caso di ispezione, requisito minimo richiesto dalla maggior parte dei clienti enterprise nelle RFP.
La logica è quella della proporzionalità: la legge non chiede a una PMI da 60 dipendenti lo stesso impianto di una banca. Chiede un comportamento ragionevole e documentato. Tre passi in trenta giorni è esattamente questo.
La governance AI non è un progetto da rimandare a quando si ha tempo. Il tempo non si trova mai, ma le ispezioni e le richieste dei clienti enterprise non aspettano. La buona notizia è che il punto di partenza è semplice: un Excel, due pagine di policy, e un nome con un incarico. Tutto il resto si costruisce sopra.