Policy

La presente policy definisce il framework organizzativo per l'adozione responsabile dell'intelligenza artificiale. Si applica a tutti i collaboratori, consulenti e partner che sviluppano, acquistano, configurano o utilizzano sistemi AI per conto dell'organizzazione. La policy è soggetta a revisione annuale o a ogni modifica normativa rilevante (AI Act, GDPR, linee guida AGID).

L'obiettivo è garantire che l'AI venga adottata in modo coerente con i valori organizzativi, le obbligazioni normative e le aspettative degli stakeholder, evitando iniziative frammentate e rischi non presidiati. La policy non sostituisce il giudizio professionale: è il perimetro entro cui tale giudizio si esercita.

Principi guida:

• L'AI è uno strumento al servizio della strategia — ogni use case deve avere un'utilità di business misurabile e approvata.
• La responsabilità non è delegabile ai sistemi: ogni output AI è sotto la responsabilità della persona o funzione che lo utilizza.
• La conformità normativa è un requisito minimo, non un obiettivo finale: l'organizzazione punta a standard più elevati.
• La policy si evolve con la tecnologia e la normativa: aggiornamenti e chiarimenti vengono comunicati tempestivamente.

Riferimenti: AI Act Art. 2 (ambito di applicazione) · GDPR Art. 5 (principi) · Linee guida AGID sull'AI nella PA

Gli utenti che interagiscono con sistemi AI devono essere informati in modo chiaro e comprensibile. L'obbligo di trasparenza si estende ai clienti, agli utenti finali, ai partner e, nei casi previsti dalla normativa, alle autorità di vigilanza.

Qualsiasi sistema conversazionale, agente AI o interfaccia che possa essere confusa con un interlocutore umano deve identificarsi come sistema automatico prima o al momento dell'interazione. I contenuti generati da AI devono essere marcati o attribuiti correttamente quando destinati a terzi.

Principi operativi:

• Ogni chatbot, assistente virtuale o sistema conversazionale deve dichiarare la propria natura AI agli utenti prima dell'inizio dell'interazione.
• I documenti, le analisi o i contenuti generati con l'ausilio di AI e destinati a terzi devono riportare l'indicazione "AI-assisted" o equivalente.
• Le decisioni automatizzate che incidono su diritti o interessi di persone fisiche devono essere accompagnate da una spiegazione comprensibile e dal diritto di revisione umana.
• Le comunicazioni di marketing che usano AI generativa devono rispettare la normativa pubblicitaria vigente e non creare aspettative false sui prodotti o servizi.

Riferimenti: AI Act Art. 50 (obblighi di trasparenza) · GDPR Art. 22 (decisioni automatizzate) · D.Lgs. 206/2005 (comunicazioni commerciali)

L'organizzazione mantiene un registro degli strumenti AI approvati per l'uso professionale. Qualsiasi strumento AI non incluso nel registro non può essere utilizzato per elaborare dati aziendali, dati personali o informazioni riservate. La classificazione distingue tra strumenti approvati, strumenti in valutazione e strumenti non autorizzati.

L'introduzione di nuovi strumenti AI richiede una valutazione preliminare che include: analisi del fornitore, verifica delle condizioni di trattamento dei dati, classificazione del rischio AI Act, valutazione della compatibilità con la stack tecnologica esistente.

Principi operativi:

• Nessun collaboratore può usare strumenti AI non approvati per elaborare dati aziendali o personali — incluso l'uso di versioni consumer di servizi AI disponibili anche in versione enterprise.
• La richiesta di approvazione di un nuovo strumento AI segue un processo formale che include valutazione tecnica, legale e di rischio con tempi di risposta definiti (max 15 giorni lavorativi).
• Il registro degli strumenti approvati è aggiornato almeno trimestralmente e accessibile a tutti i collaboratori tramite il portale interno.
• Quando un fornitore modifica le condizioni di trattamento dei dati o le capacità dello strumento, l'approvazione è sospesa fino a nuova valutazione.
• I modelli AI sviluppati internamente seguono un processo di approvazione distinto, più stringente, che include test di bias, robustezza e documentazione tecnica.

Riferimenti: AI Act Art. 6 + Allegato III (sistemi ad alto rischio) · GDPR Art. 28 (responsabili del trattamento) · ISO/IEC 42001 (AI Management Systems)

L'uso di sistemi AI che trattano dati personali è soggetto a tutte le disposizioni del GDPR, del D.Lgs. 196/2003 e delle linee guida del Garante per la Protezione dei Dati Personali. La minimizzazione dei dati, la limitazione della finalità e la prevenzione del rischio privacy sono principi non negoziabili nell'implementazione di qualsiasi sistema AI.

Prima di avviare un sistema AI che tratta dati personali, è obbligatoria una Valutazione d'Impatto sulla Protezione dei Dati (DPIA) quando il trattamento è suscettibile di presentare un rischio elevato per i diritti e le libertà degli interessati.

Principi operativi:

• I dati personali non vengono mai utilizzati per addestrare modelli AI di terze parti senza esplicita valutazione legale e, dove necessario, consenso degli interessati.
• Qualsiasi sistema AI che profila persone fisiche, predice comportamenti o supporta decisioni su individui richiede una DPIA preventiva.
• I dataset usati per addestramento o test di modelli interni vengono pseudonimizzati o anonimizzati al massimo grado tecnicamente possibile.
• Le richieste di accesso, rettifica, cancellazione e portabilità dei dati da parte degli interessati si applicano anche agli output dei sistemi AI che li riguardano.
• I fornitori di AI che trattano dati personali per conto dell'organizzazione sono qualificati come responsabili del trattamento con DPA formale.

Riferimenti: GDPR Art. 5, 25, 35 · D.Lgs. 196/2003 · Linee guida Garante Privacy su AI · AI Act Art. 10 (dati di addestramento)

Ogni nuovo use case AI — inteso come qualsiasi applicazione di un sistema AI a un processo di business — richiede un'approvazione formale prima dell'avvio. Il processo di approvazione valuta la coerenza strategica, il rischio normativo, l'impatto sulle persone e la fattibilità tecnica.

Gli use case vengono classificati per livello di rischio (AI Act) e per impatto organizzativo. Gli use case ad alto rischio richiedono l'approvazione del Comitato Strategico AI; quelli a rischio limitato o minimo possono essere approvati dall'AI Center of Excellence con supervisione del responsabile di funzione.

Principi operativi:

• Nessun use case AI può essere avviato in produzione senza approvazione documentata, indipendentemente dalla dimensione del progetto o dall'urgenza dichiarata.
• Il processo di approvazione include: business case, valutazione del rischio AI Act, DPIA (se applicabile), piano di supervisione umana, metriche di successo e criteri di uscita.
• Ogni use case approvato ha un AI Owner assegnato che risponde del funzionamento corretto del sistema e dell'aggiornamento della documentazione.
• Gli use case vengono revisionati almeno annualmente: quelli che non raggiungono i benefici attesi o che presentano rischi non previsti vengono sospesi o ridisegnati.
• I proof of concept e le sperimentazioni interne seguono un regime alleggerito ma non possono trattare dati di produzione né interagire con clienti reali senza approvazione.

Riferimenti: AI Act Art. 9 (sistema di gestione del rischio) · AI Act Art. 6 + Allegato III · GDPR Art. 35 (DPIA)

I sistemi AI operano sempre sotto supervisione umana. Nessun sistema AI può prendere decisioni irreversibili su persone, processi critici o risorse significative in modo completamente autonomo senza un punto di controllo umano. Il livello di supervisione richiesto è proporzionale all'impatto e al rischio del sistema.

La supervisione umana non è solo un requisito normativo (AI Act Art. 14 per i sistemi ad alto rischio): è un principio organizzativo che si applica a tutti i livelli di rischio. L'automazione totale è ammessa solo per processi a impatto minimo e completamente reversibili.

Principi operativi:

• Ogni sistema AI in produzione ha un processo di supervisione definito: chi monitora, con quale frequenza, attraverso quali metriche e con quale procedura di escalation in caso di anomalia.
• Le decisioni ad alto impatto (rifiuto di credito, selezione del personale, triage clinico) supportate da AI richiedono sempre un'approvazione umana esplicita prima dell'esecuzione.
• I collaboratori che usano strumenti AI per produrre output destinati a terzi sono responsabili della verifica della correttezza, completezza e appropriatezza di tali output.
• I sistemi AI che mostrano comportamenti inattesi, output anomali o derive nelle performance devono essere segnalati immediatamente all'AI Owner e all'AI CoE.
• I log delle operazioni dei sistemi AI ad alto rischio vengono conservati per un periodo minimo di 3 anni e sono accessibili per audit interni ed esterni.

Riferimenti: AI Act Art. 14 (supervisione umana sistemi alto rischio) · AI Act Art. 12 (log automatici) · ISO/IEC 42001 § 8.4

L'organizzazione opera in conformità con il Regolamento UE 2024/1689 (AI Act), il GDPR, il D.Lgs. 196/2003 e le normative settoriali applicabili. Il team Legal & Compliance è coinvolto preventivamente in tutti i progetti AI che presentano profili di rischio normativo, senza eccezioni.

La conformità normativa non è un'attività una tantum: richiede monitoraggio continuo dell'evoluzione regolatoria, aggiornamento delle valutazioni di rischio e adeguamento dei sistemi in caso di nuove disposizioni o interpretazioni delle autorità.

Principi operativi:

• Ogni sistema AI classificato come ad alto rischio ai sensi dell'AI Act richiede la documentazione tecnica completa (Allegato IV), la dichiarazione di conformità UE e la marcatura CE prima della messa in servizio.
• I contratti con fornitori AI includono clausole esplicite su: proprietà intellettuale degli output, trattamento dei dati, responsabilità in caso di errori del sistema, obblighi di aggiornamento e notifica di modifiche sostanziali.
• Le violazioni della normativa AI — inclusi incidenti che coinvolgono sistemi AI — vengono gestite secondo il protocollo di incident management con obbligo di notifica alle autorità nei tempi previsti.
• Il team Legal monitora le novità normative (orientamenti dell'AI Office, delibere Garante, sentenze rilevanti) e aggiorna questa policy e la documentazione dei sistemi di conseguenza.
• L'organizzazione partecipa, dove opportuno, ai processi di consultazione pubblica su normative AI per contribuire allo sviluppo di regole proporzionate e praticabili.

Riferimenti: AI Act Art. 11, 47, 48 (documentazione, dichiarazione conformità, marcatura CE) · GDPR Art. 83-84 (sanzioni) · D.Lgs. 196/2003 Art. 166

La formazione sulle competenze AI è un investimento strategico, non un adempimento burocratico. L'organizzazione garantisce che tutti i collaboratori abbiano accesso a percorsi formativi adeguati al loro ruolo e al livello di esposizione ai sistemi AI, con aggiornamento continuo al variare della tecnologia e della normativa.

La formazione è differenziata per livello: AI literacy di base per tutti i dipendenti, competenze operative per gli utenti frequenti di strumenti AI, formazione avanzata per chi sviluppa, valuta o supervisiona sistemi AI. I responsabili di funzione sono accountable per garantire che i propri team abbiano le competenze necessarie.

Principi operativi:

• Tutti i nuovi collaboratori completano un modulo di AI literacy nelle prime 4 settimane dall'ingresso, che copre policy aziendale, rischi principali e strumenti approvati.
• I collaboratori che usano strumenti AI per attività di produzione completano una formazione specifica sullo strumento prima dell'accesso in produzione.
• I dipendenti che supervisionano o validano output di sistemi AI ad alto rischio ricevono formazione specifica sulle limitazioni del sistema, i bias noti e i criteri di valutazione degli output.
• L'efficacia della formazione viene misurata attraverso assessment post-corso e monitoraggio degli incidenti correlati a uso improprio degli strumenti.
• Il programma formativo viene aggiornato almeno annualmente per recepire aggiornamenti normativi, nuovi strumenti approvati e lezioni apprese dagli incidenti.

Riferimenti: AI Act Art. 4 (AI literacy) · AI Act Art. 14(4) (formazione supervisori sistemi alto rischio) · Linee guida AGID su competenze digitali PA

Il monitoraggio continuo dei sistemi AI in produzione e della maturità complessiva dell'organizzazione nell'adozione dell'AI è una responsabilità permanente, non un'attività progettuale. L'AI CoE coordina la funzione di monitoraggio e produce reporting periodico per il Comitato Strategico AI.

Il miglioramento continuo si concretizza in tre cicli: monitoraggio operativo (in tempo reale o near-real-time sui sistemi in produzione), revisione periodica (trimestrale dei KPI e degli incidenti), revisione strategica (annuale del portfolio AI e della policy).

Principi operativi:

• Ogni sistema AI in produzione ha KPI di performance definiti e dashboard di monitoraggio attive; soglie di alert sono configurate per derivare dall'AI Owner in caso di degradazione.
• Gli incidenti AI (output errati con impatto, violazioni di policy, malfunzionamenti) vengono registrati nel registro incidenti AI con analisi delle cause e azioni correttive documentate.
• Il Comitato Strategico AI riceve un report trimestrale sullo stato del portfolio AI: performance dei sistemi, incidenti, nuovi use case, stato di conformità normativa.
• La policy viene revisionata annualmente o a ogni modifica normativa rilevante; le modifiche sostanziali vengono comunicate a tutti i destinatari con almeno 30 giorni di anticipo.
• I risultati del Maturity Assessment AI vengono utilizzati come input per il piano annuale di miglioramento delle capability organizzative in ambito AI.

Riferimenti: AI Act Art. 72 (monitoraggio post-commercializzazione) · AI Act Art. 73 (notifica incidenti gravi) · ISO/IEC 42001 § 9 (valutazione delle prestazioni)