LET’S TALK & CONNECT

L’adozione dell’intelligenza artificiale generativa sta accelerando in modo esponenziale all’interno delle organizzazioni. Tuttavia, l’utilizzo spontaneo di questi strumenti da parte dei dipendenti può esporre l’azienda a rischi significativi, soprattutto in relazione agli obblighi normativi emergenti. Il quadro di riferimento oggi è rappresentato principalmente dall’AI Act (Regolamento del Parlamento europeo e del Consiglio che disciplina i sistemi di intelligenza artificiale), dal GDPR per la protezione dei dati personali, dal D.Lgs. 231/2001 sui modelli organizzativi.

La prima criticità riguarda l’uso non controllato di strumenti di AI generativa: al pari di qualsiasi altro strumento aziendale, è opportuno disciplinarne adeguatamente l’utilizzo. Ad esempio, quando un dipendente inserisce dati sensibili o aziendali in piattaforme esterne, può violare gli artt. 5, 6, 32 e 44 del GDPR, relativi ai principi di minimizzazione, base giuridica, sicurezza del trattamento e trasferimenti extra UE. Anche l’AI Act pone obblighi di trasparenza e gestione dei dati, in particolare per i sistemi classificati come ad “alto rischio”. Ciò implica che le aziende non possono ignorare l’esistenza di questi strumenti: devono adottare misure di governance proporzionate ai rischi.

Per questo diventa essenziale una Policy aziendale dedicata. Tale policy dovrebbe indicare quali strumenti sono consentiti, per quali finalità e con quali cautele. L’AI Act richiede che tutti i sistemi ad alto rischio siano utilizzati sotto un regime di risk management documentato (art. 9) e con human oversight (art. 14), mentre anche i sistemi a rischio limitato devono rispettare obblighi di trasparenza (art. 52). Una due diligence tecnologica dovrebbe verificare aspetti come le funzionalità dello strumento, gli impatti e i rischi sui diritti delle persone fisiche, il trattamento dei dati, i flussi internazionali, la conservazione dei log e il possibile riutilizzo dei prompt per addestramento.

Un altro pilastro regolatorio riguarda la classificazione dei dati. I dipendenti devono sapere quali categorie possono essere trattate tramite AI, in conformità con gli artt. 5 e 32 GDPR, e quali invece devono rimanere confinate in spazi controllati. Le aziende dovrebbero integrare la policy AI con la DPIA (Data Protection Impact Assessment – art. 35 GDPR) quando l’introduzione di sistemi di AI comporta trattamenti potenzialmente ad alto rischio.

La supervisione umana è un requisito centrale, obbligatoria per i sistemi ad alto rischio. L’AI Act ribadisce che il controllo umano non è opzionale ma parte integrante della governance dei sistemi automatizzati. L’output generato dall’AI non può essere utilizzato senza verifica, soprattutto quando potenzialmente incide su decisioni lavorative, finanziarie o reputazionali. Anche il framework 231 può essere rilevante: una cattiva gestione dei rischi tecnologici, se collegata a possibili reati presupposto (come violazioni privacy, frodi informatiche o sicurezza informatica), può chiamare in causa la responsabilità dell’ente.

Inoltre, le imprese devono definire chiaramente ruoli e responsabilità. Molte realtà adottano un AI Governance Board, utile per garantire allineamento con gli obblighi dell’AI Act, coordinare le funzioni compliance, IT, legal e data protection, e assicurare un aggiornamento continuo delle policy.

Infine, è bene ricordare che l’articolo 4 impone ai fornitori ed utilizzatori di sistemi di AI l’obbligo di garantire un adeguato livello di alfabetizzazione all’AI per il personale coinvolto nell’utilizzo dei sistemi di AI nonché per qualsiasi altra persona che si occupa, per loro conto, dell’utilizzo e del funzionamento di tali sistemi. Adeguatezza che deve tenere conto di vari elementi, quali le conoscenze tecniche, esperienza, istruzione e formazione di tali soggetti; il contesto in cui i sistemi di IA devono essere utilizzati; le persone o i gruppi di persone su cui i sistemi di IA saranno utilizzati.

In sintesi, regolamentare l’uso dell’intelligenza artificiale da parte dei dipendenti non significa limitare l’innovazione, ma creare un quadro di sicurezza conforme alle normative europee e alle best practice internazionali. Le aziende che sapranno governare in modo proattivo questi strumenti saranno le più attrezzate per sfruttarne appieno il potenziale, evitando rischi legali e reputazionali in un contesto regolatorio sempre più rigoroso.