L’AI generativa ha smesso di essere un esperimento da laboratorio. Nel giro di poco più di due anni è diventata uno strumento di lavoro quotidiano, presente in reparti che vanno dalla comunicazione alle vendite, dalle risorse umane all’amministrazione. Modelli linguistici, generatori di immagini, assistenti di scrittura e sistemi di automazione conversazionale sono entrati nelle organizzazioni con una velocità che non ha precedenti nel mondo della tecnologia informatica. E con questa diffusione capillare è emersa una questione che oggi nessuna impresa può più rimandare: la governance aziendale dei sistemi di intelligenza artificiale generativa. Ovvero quell’insieme di pratiche, policy e procedure con cui un’organizzazione assume il controllo su come questi strumenti vengono usati al proprio interno.
Il primo problema concreto riguarda i dati aziendali. Dove finiscono, esattamente, le informazioni che i dipendenti inseriscono nei modelli? Le versioni gratuite di ChatGPT, Claude e degli altri principali sistemi trasmettono il contenuto inviato dall’utente verso i data center del provider, localizzati in larga parte negli Stati Uniti. Il dato viene processato, l’output restituito, e l’intero scambio resta nei sistemi del fornitore. In alcune configurazioni predefinite, i contenuti delle sessioni gratuite confluiscono addirittura nei dataset di addestramento del modello stesso. Il che significa che informazioni riservate dell’azienda possono finire per alimentare l’evoluzione di un sistema accessibile a chiunque. Le versioni enterprise funzionano in modo diverso: i principali provider offrono configurazioni dedicate, regolate da un Data Processing Agreement che vincola contrattualmente il fornitore. I dati delle sessioni vengono esclusi dal training, l’accesso è limitato e tracciato, le condizioni di trattamento sono disciplinate in modo esplicito. Il modello sottostante produce lo stesso tipo di output, ma cambia radicalmente il regime con cui i dati vengono gestiti, e quindi il livello di esposizione dell’organizzazione.
La cornice normativa tra AI Act e GDPR
Al tema del controllo sui dati si affianca un piano normativo che ormai nessuna impresa può ignorare. Il riferimento centrale è l’AI Act, il regolamento europeo sull’intelligenza artificiale, che qualifica come deployer qualunque impresa utilizzi sistemi di AI nella propria attività, anche quando si limita a integrarli da fornitori terzi. L’articolo 4, operativo dal 2 febbraio 2025, impone di garantire un livello adeguato di competenza al personale che utilizza questi sistemi, calibrato sul ruolo di ciascuna figura. Dal 2 agosto 2026 entrerà in applicazione il pacchetto più rilevante di obblighi per i deployer, compresi quelli sui sistemi ad alto rischio, categoria che il regolamento individua in modo puntuale e che ricomprende alcuni strumenti diffusi nelle funzioni HR. L’articolo 50, inoltre, introduce un dovere di trasparenza nei confronti dell’utente che interagisca con un sistema di AI, in particolare nei casi di chatbot e contenuti generati automaticamente.
A tutto questo si aggiunge il GDPR, pienamente applicabile a ogni trattamento di dati personali realizzato attraverso sistemi di intelligenza artificiale. Quando un dipendente inserisce in un modello prompt che contengono informazioni di clienti, candidati o utenti, sta avviando un trattamento di dati personali con tutti gli obblighi che ne derivano: base giuridica, registri dei trattamenti, valutazioni d’impatto, gestione dei data breach. Le sanzioni amministrative previste dall’AI Act si articolano su fasce differenti in funzione della gravità della violazione e possono raggiungere soglie significative, calcolate per le imprese di maggiore dimensione in percentuale sul fatturato globale annuo.
Competenze verticali e padronanza dei sistemi come asset
Far dialogare il piano tecnologico con quello normativo richiede un lavoro che non si improvvisa. Ogni azienda integra strumenti differenti, su funzioni differenti, con livelli di maturità informatica differenti. Un intervento di governance serio parte da un AI Risk Assessment condotto sui sistemi effettivamente in uso: censimento dei modelli adottati nei diversi reparti, classificazione ai sensi dell’AI Act, identificazione delle figure organizzative che assumono il ruolo di deployer interni. Per i sistemi qualificati come ad alto rischio, l’analisi prevede anche una valutazione d’impatto sui diritti fondamentali, documentando le ricadute potenziali in materia di privacy, accesso ai servizi e non discriminazione algoritmica.
Sul piano della regolamentazione interna, il percorso tipico comprende la stesura di una policy operativa calibrata sull’attività specifica dell’impresa, l’aggiornamento dei DPA con i fornitori dei modelli, l’istituzione di un registro AI aziendale che traccia per ciascun strumento autorizzato finalità, responsabile e tipologie di dato ammesse. A questo si aggiunge l’integrazione tra AI Act e GDPR, trattati come un sistema documentale unico, e la formazione del personale richiesta dall’articolo 4, articolata in percorsi differenziati per ruolo con rilascio degli attestati.
Il valore di tutto questo lavoro, sul medio periodo, va ben oltre il semplice adeguamento normativo. Quello che un’impresa costruisce è la padronanza reale sui propri sistemi: sapere con precisione quali modelli vengono utilizzati, in quali reparti, su quali categorie di dato, con quali configurazioni. Un’organizzazione che ha mappato i propri sistemi e formato il personale dispone di figure capaci di valutare un nuovo strumento prima della sua adozione, di leggerne le implicazioni sul trattamento dei dati, di confrontare configurazioni alternative. Sul piano competitivo, la conoscenza strutturata dei propri sistemi di AI generativa è un asset che pesa nelle relazioni con clienti, partner e fornitori, soprattutto quando gli interlocutori sono istituzionali o operano in settori regolati. Le richieste di documentazione sulla governance AI sono entrate stabilmente nei processi di due diligence e nei criteri di qualificazione dei fornitori, e dispone di un margine di vantaggio concreto l’organizzazione che può rispondere con un impianto già strutturato, articolato sulla propria realtà operativa e in grado di evolvere insieme alla tecnologia che disciplina.
