Guida · 11 min lettura
AI policy aziendale: come scriverla (template operativo per PMI)
Come scrivere una AI policy aziendale utile: chi puo usare cosa, quali dati, approvazioni, log. Template operativo per PMI in 9 sezioni, pronto da adattare.
Una AI policy aziendale non serve a coprirsi le spalle con un documento che nessuno legge. Serve a dire al tuo team, in italiano chiaro, chi puo usare quali strumenti AI, su quali dati, con quali approvazioni e con quale tracciabilita. Fatta bene, riduce il rischio di data leak e ti da una prova concreta di accountability. Fatta male, e’ un PDF di 40 pagine copiato da una multinazionale che resta chiuso in un drive.
Questa guida e’ il template operativo: 9 sezioni, cosa scrivere in ognuna, e gli errori da evitare. E’ pensata per una PMI di 10-200 persone che ha gia dipendenti che usano ChatGPT o strumenti simili, spesso senza regole.
Cos’e (e cosa non e) una AI policy aziendale
Una AI policy aziendale e’ il documento interno che regola l’uso degli strumenti di intelligenza artificiale da parte dei tuoi dipendenti e collaboratori. Risponde a quattro domande operative: chi puo usare cosa, su quali dati, chi approva i casi delicati, e come si tiene traccia.
Non e’ l’AI Act. Il Regolamento UE 2024/1689 (AI Act) e’ la legge europea che classifica i sistemi AI per rischio e impone obblighi ai fornitori e agli utilizzatori; le sue disposizioni entrano in applicazione in modo scaglionato, con la maggior parte degli obblighi a partire da agosto 2026 (fonte: Regolamento UE 2024/1689, art. 113). La policy e’ il tuo strumento interno per rispettare quella legge nella pratica quotidiana. Per la mappa della legge, vedi la guida all’AI Act per aziende.
Non e’ nemmeno un divieto. Vietare ChatGPT senza alternative sposta l’uso in clandestinita: il team apre account personali e ci mette dentro dati aziendali. La “shadow AI” e’ il rischio piu grande, e una policy chiara e’ il modo migliore per riportarla alla luce.
Serve davvero alla mia PMI? (l’onesta risposta)
Non esiste, nell’AI Act, un obbligo generico di redigere una “AI policy” per ogni azienda. Ma se i tuoi dipendenti usano strumenti AI trattando dati personali (candidati, clienti, dipendenti), scatta il principio di accountability del GDPR (Regolamento UE 2016/679, art. 5, par. 2): devi essere in grado di dimostrare di avere misure organizzative adeguate. Una policy scritta e applicata e’ la prova piu economica che tu possa produrre.
Quando NON e’ la priorita: se sei un’azienda di 5 persone che usa l’AI solo per bozze di testo interne, senza dati personali sensibili, una mezza pagina di regole condivise puo bastare. Non ti serve un documento formale prima di aver capito quali dati tocchi davvero.
Questa e’ guida generale, non consulenza legale per la tua azienda. Il perimetro dipende dai dati che tratti, dal settore e da come sono configurati i tuoi strumenti. Per un parere onesto sul tuo caso specifico, parlane con Soraia.
Il template operativo: le 9 sezioni
Una policy utile per una PMI sta in 3-6 pagine. Ecco cosa mettere in ognuna.
1. Scopo e ambito
Una riga sul perche esiste il documento e a chi si applica: dipendenti, collaboratori, stagisti, fornitori esterni che accedono ai sistemi. Chiarisci che vale per tutti gli strumenti AI, non solo per quelli approvati dall’azienda.
2. Strumenti approvati e strumenti vietati
La parte piu utile. Elenca in una tabella i tool che il team puo usare, per quali scopi, e con quale account (aziendale, non personale).
| Strumento | Uso permesso | Account | Dati ammessi |
|---|---|---|---|
| ChatGPT (piano Team/Enterprise) | Bozze, sintesi, brainstorming | Aziendale | Nessun dato personale di clienti/candidati |
| Assistente AI del gestionale | Come da configurazione | Aziendale | Come da DPA del fornitore |
| Tool AI non in elenco | Da richiedere all’IT prima dell’uso | - | - |
Regola d’oro: niente account personali su dati aziendali. Il piano gratuito di molti strumenti puo usare gli input per addestrare i modelli; i piani business di norma no, ma va verificato nelle condizioni del fornitore.
3. Classificazione dei dati (cosa NON incolli mai)
La sezione che previene i data leak. Definisci 3 categorie con esempi concreti dei tuoi dati reali:
- Vietato incollare: dati personali di clienti e candidati, dati sanitari, credenziali, segreti commerciali, codice proprietario, bilanci non pubblici.
- Permesso con cautela: testi interni non riservati, bozze da rielaborare, dati gia pubblici.
- Libero: informazioni gia pubbliche, contenuti generici senza riferimenti aziendali.
Usa esempi veri della tua azienda, non categorie astratte. “Non incollare il CV di un candidato” e’ piu efficace di “non trattare dati personali”.
4. Casi che richiedono approvazione
Definisci quando serve il via libera di un responsabile prima di usare l’AI: decisioni che impattano persone (selezione candidati, valutazioni), uso su dati di categorie particolari, integrazione di un nuovo strumento AI in un processo. L’AI Act pone attenzione particolare ai sistemi usati in ambito lavorativo, incluso il recruiting (fonte: Regolamento UE 2024/1689, Allegato III): questi meritano un’approvazione esplicita.
5. Il principio della supervisione umana
Scrivi nero su bianco che l’output dell’AI non e’ mai una decisione finale automatica su questioni che impattano persone. Un umano rivede, corregge e si assume la responsabilita. Vale per lo scarto di un candidato, la risposta a un reclamo, la classificazione di un cliente.
6. Verifica e responsabilita dell’output
Chi usa l’AI resta responsabile di cio che produce. Gli LLM possono generare affermazioni plausibili ma false (“allucinazioni”). La regola: verifica i fatti, i numeri e le citazioni prima di usarli verso l’esterno o in decisioni operative.
7. Log e tracciabilita
Per i processi in cui un agente AI esegue azioni (non solo bozze), definisci che deve esistere un audit log: chi ha fatto cosa, quando, con quale input e output. Nei nostri progetti l’audit log immutabile su ogni decisione dell’agente e’ uno standard, proprio perche e’ la prova concreta di come l’AI e’ stata usata.
8. Ruoli e referente AI
Nomina un referente interno (spesso il COO o l’Head of Ops) a cui il team chiede quando ha dubbi: se un tool va bene, se un certo dato si puo usare. Un punto di contatto chiaro evita che ognuno decida a caso.
9. Violazioni, aggiornamento e firma
Spiega cosa succede se la policy non viene rispettata, con proporzionalita. Fissa una revisione ogni 6 mesi: gli strumenti e le regole cambiano in fretta. E fai firmare (anche digitalmente) per presa visione: e’ la parte che rende la policy una prova di accountability.
Gli errori piu comuni (e come evitarli)
- Copiare la policy di una multinazionale. 40 pagine di legalese che nessuno legge non proteggono nulla. Scrivi corto, in italiano chiaro, con i tuoi tool reali.
- Scriverla e non spiegarla. La policy senza una sessione di formazione e’ un file morto. Bastano 45 minuti per spiegare il perche delle regole con esempi.
- Vietare tutto. Il divieto totale genera shadow AI. Meglio dare alternative approvate e sicure.
- Non aggiornarla mai. Una policy di 18 mesi fa non conosce i tool che il tuo team usa oggi.
- Dimenticare i fornitori esterni. Se un’agenzia o un freelance accede ai tuoi dati, la policy vale anche per loro.
Policy, formazione e adozione vanno insieme
Una policy funziona solo se il team capisce perche esiste e come usare gli strumenti giusti. Per questo la parte di regole e quella di formazione vanno costruite insieme: le regole senza competenza generano paralisi, la competenza senza regole genera rischio. E’ l’approccio della nostra AI Adoption, dove policy, formazione e casi d’uso reali procedono in parallelo. Se stai anche introducendo agenti AI nei processi, la policy diventa il documento che governa come vengono usati.
In sintesi, e come avere un parere onesto
Una AI policy per PMI e’ un documento breve e vivo: chi usa cosa, su quali dati, chi approva, come si tiene traccia. 3-6 pagine in italiano chiaro battono 40 pagine di legalese ignorato. Il suo valore non e’ formale ma pratico: riduce il rischio di data leak e ti da una prova di accountability verso il GDPR.
Questa guida e’ un punto di partenza generale, non consulenza legale o di compliance per la tua situazione specifica. Il perimetro giusto dipende dai dati che tratti, dal tuo settore e da come sono configurati i tuoi strumenti. Per un parere onesto sul tuo caso, senza pitch e senza preventivi a sorpresa, parlane 20 minuti con Soraia. Se vuoi prima capire la tua maturita AI, puoi fare il check-up in 3 minuti.
Domande frequenti
Quello che ci chiedono di solito.
La mia PMI e obbligata ad avere una AI policy?
Che differenza c'e tra AI policy e AI Act?
Posso vietare ChatGPT ai dipendenti invece di scrivere una policy?
Quanto deve essere lunga una AI policy per una PMI?
La policy da sola basta o serve anche formazione?
Continua a leggere
Guida · 13 min
AI Act per Aziende: cosa cambia davvero in operatività
I 4 livelli di rischio dell'AI Act, cosa cambia per HR, finance, marketing, support, i 4 step concreti che ogni PMI italiana deve fare. Aggiornata maggio 2026.
Leggi la guidaGuida · 11 min
Formazione AI Aziendale: i 3 livelli e come scegliere
Perché la formazione AI è il vero collo di bottiglia, i 3 livelli (Foundation, Business, Tecnico), cosa deve coprire un programma serio, come misurare l'adoption.
Leggi la guidaGuida · 12 min
Agenti AI per Aziende: cosa sono, come scegliere, esempi reali
Cosa è un agente IA in azienda, quando ha senso, come si costruisce, quanto costa, 4 esempi reali di agenti IA in produzione in PMI italiane. Guida aggiornata 2026.
Leggi la guidaVuoi un'opinione sul tuo caso?
20 minuti col CEO per capire insieme se ha senso. Nessun impegno, nessun pitch: solo una conversazione operativa sui tuoi processi.
Daniel Levis
Co-Founder & CEO