PrivantAI
Shadow AI7 min di lettura

Policy AI in 2 pagine per PMI: il template che i dipendenti leggono davvero

Sei sezioni, due pagine, una firma. Il template di policy AI che funziona in PMI italiane, compatibile con l'Art. 4 dell'AI Act, senza il giuridichese da 40 pagine.

GS

Giacomo Simonelli

Founder & Senior AI Engineer

·

Il documento di policy AI da quaranta pagine che alcuni studi legali propongono alle PMI italiane è la peggiore difesa che puoi acquistare. Non perché sia sbagliato dal punto di vista normativo — di solito è impeccabile. Ma perché nessuno lo legge. E una policy che nessuno legge è una policy che, in caso di contestazione del Garante o di un cliente enterprise, viene smontata in dieci minuti chiedendo a tre dipendenti scelti a caso se sanno cosa c'è scritto dentro.

La policy AI che funziona in una PMI italiana è di due pagine. Sei sezioni, una firma a piè di pagina, un linguaggio operativo. Compatibile con l'Art. 4 dell'AI Act (AI Literacy obbligatoria) e con i principi di accountability del GDPR. Te la lasciamo qui sotto, struttura completa, da personalizzare in mezza giornata di lavoro.

Sezione 1 — Chi: a chi si applica questa policy

Apri identificando senza ambiguità l'ambito soggettivo. Tutti i dipendenti, i collaboratori esterni con accesso a sistemi aziendali, gli stagisti e i tirocinanti. Esclusi solo i fornitori che operano con propri sistemi senza accedere ai dati aziendali. Una riga, niente di più. Chiudere subito la domanda 'la policy vale anche per me?' ti risparmia il 30% delle eccezioni successive.

Esempio operativo: 'La presente policy si applica a tutti i dipendenti, collaboratori e tirocinanti che, nell'esercizio delle proprie mansioni, accedono a dati aziendali, e-mail aziendali, sistemi informativi o documenti interni di [Nome Azienda].'

Sezione 2 — Cosa: tool autorizzati e tool vietati

Questa è la sezione più letta della policy. Va riempita con i nomi concreti, non con categorie astratte. 'Sistemi di intelligenza artificiale generativa' è inutile. 'ChatGPT, Copilot, Claude' è un'istruzione.

  • Tool autorizzati per uso lavorativo: elenco esplicito di nomi (es. Microsoft Copilot Enterprise, account aziendale; ChatGPT Team, account aziendale; AI Gateway interno raggiungibile via portale).
  • Tool consentiti solo per attività personali: l'azienda non ne ha obbligo di restrizione su dispositivi personali, ma vieta l'inserimento di dati aziendali in qualsiasi tool consumer.
  • Tool vietati per qualsiasi uso lavorativo: tipicamente, account personali su strumenti gratuiti (ChatGPT con email gmail, Gemini con account personale, Copilot consumer non aziendale).
  • Tool da valutare caso per caso: nuovi strumenti AI che emergono devono essere sottoposti al referente AI prima dell'adozione.

Sezione 3 — Dove: dispositivi e reti

L'ambito territoriale e tecnico va specificato. La policy si applica sui dispositivi aziendali, ovunque essi siano (anche in mobilità, anche da casa). Sui dispositivi personali si applica solo quando il dipendente accede a sistemi aziendali (email, repository, drive). In rete aziendale si applica sempre, indipendentemente dal device.

Una frase chiarisce tutto: 'Questa policy vincola l'uso di strumenti AI ogniqualvolta vengano trattati dati, documenti o sistemi aziendali, indipendentemente dal dispositivo, dalla rete e dalla localizzazione del dipendente.'

Sezione 4 — Quando: dichiarazione e registrazione

Una policy senza un meccanismo di tracciabilità è uno statement. Il meccanismo minimo è un registro AI interno (un foglio condiviso, una sezione del SharePoint, un Notion) dove ogni utilizzo strutturato di AI per attività ricorrenti viene dichiarato dal dipendente al proprio responsabile. Non serve loggare ogni singolo prompt — serve avere visibilità sui flussi di lavoro che dipendono da AI.

  1. Il dipendente che integra un tool AI in un proprio flusso di lavoro ricorrente lo comunica al diretto responsabile entro 5 giorni lavorativi.
  2. Il responsabile valuta se il flusso rientra in quelli già autorizzati. In caso di dubbio, escala al referente AI interno.
  3. Il referente AI mantiene il registro dei flussi attivi e lo aggiorna almeno trimestralmente.
  4. Ogni 6 mesi il registro viene presentato alla direzione per la review.

Sezione 5 — Come: regole operative non negoziabili

Questa è la sezione che, in caso di incidente, decide la responsabilità del singolo versus la responsabilità dell'azienda. Quattro regole, formulate in positivo dove possibile, in negativo dove necessario.

  • Non inserire mai dati personali identificativi di clienti, fornitori, dipendenti (nomi, cognomi, email, numeri di telefono, codici fiscali, indirizzi) in tool AI non aziendali.
  • Non incollare mai codice sorgente proprietario, documenti finanziari riservati, contratti, dati strategici in tool AI consumer.
  • Verificare sempre l'output dei sistemi AI prima di usarlo verso terzi: l'AI può sbagliare, l'azienda risponde dei contenuti che produce.
  • In caso di output sensibile (decisioni HR, valutazioni, comunicazioni legali), mantenere un human-in-the-loop documentato.

Una policy che dice solo cosa è vietato fallisce. Una policy che dice cosa è permesso, cosa è obbligatorio, cosa è vietato e cosa fare in caso di dubbio funziona — perché il dipendente, leggendola, sa muoversi.

PrivantAI, note operative

Sezione 6 — Escalation: chi contattare e in quanto tempo

L'ultima sezione è quella che fa la differenza tra una policy viva e una policy archiviata. Nominate un referente AI interno (può essere il CTO, il DPO, l'IT manager, l'HR manager — dipende dalla struttura), con nome, email diretta, e un canale di comunicazione (Slack, Teams, email). Specificate i tempi di risposta attesi: entro 24 ore per dubbi, entro 2 ore per incidenti.

Definite anche cosa è un 'incidente AI' — non lo sa nessuno in azienda finché non glielo dite. Tre esempi: 1) sospetto che dati aziendali siano stati inseriti in un tool consumer; 2) output AI usato verso un cliente che si è rivelato errato o problematico; 3) richiesta di un cliente o ente di sapere come l'azienda usa AI.

Come personalizzare il template

Tempo di personalizzazione realistico: mezza giornata di lavoro. Una persona dell'IT e una persona HR, una stampa del template, due ore di confronto, due ore di revisione legale (interna o esterna). Poi un kick-off di 90 minuti con tutto il personale — non un'email, una vera presentazione, idealmente registrata per chi è assente. La presenza alla formazione è la prova dell'adempimento dell'Art. 4 AI Act.

Se vuoi che ti passiamo il template Word con le sei sezioni già strutturate, e ti aiutiamo a personalizzarlo sulla tua realtà specifica, prendiamoci trenta minuti per una chiamata gratuita. Sei sezioni, due pagine, una firma — e la copertura giuridica di base che ti aspetta il prossimo cliente enterprise quando ti chiederà la AI policy in fase di gara.

Parliamo del tuo caso, non di teoria

Se questo articolo ti ha fatto pensare "sta succedendo anche a noi", l'audit gratuito è il primo passo. 45 minuti, zero impegno, una mappa concreta dei rischi nella tua azienda.

Prenota l'audit gratuito

Articoli correlati

Radar Shadow AI, newsletter mensile

Una volta al mese: caso del mese (data leak AI accaduto in EU), checklist DPO, novità AI Act/NIS2. 800-1000 parole, 3 minuti di lettura.

Radar AI · 1 mail al mese

Insights AI Act, casi reali, niente promo. Letta in 5 minuti, scritta dal team di PrivantAI.

1 email al mese. Insights AI Act + 1 caso reale. Cancellabile in 1 click.

Discovery gratuita30 min con il team PrivantAI
Prenota