Guida · 11 min lettura

AI policy aziendale: come scriverla (template operativo per PMI)

Come scrivere una AI policy aziendale utile: chi puo usare cosa, quali dati, approvazioni, log. Template operativo per PMI in 9 sezioni, pronto da adattare.

Daniel Levis · Pubblicata 8 luglio 2026

Una AI policy aziendale non serve a coprirsi le spalle con un documento che nessuno legge. Serve a dire al tuo team, in italiano chiaro, chi puo usare quali strumenti AI, su quali dati, con quali approvazioni e con quale tracciabilita. Fatta bene, riduce il rischio di data leak e ti da una prova concreta di accountability. Fatta male, e’ un PDF di 40 pagine copiato da una multinazionale che resta chiuso in un drive.

Questa guida e’ il template operativo: 9 sezioni, cosa scrivere in ognuna, e gli errori da evitare. E’ pensata per una PMI di 10-200 persone che ha gia dipendenti che usano ChatGPT o strumenti simili, spesso senza regole.

Cos’e (e cosa non e) una AI policy aziendale

Una AI policy aziendale e’ il documento interno che regola l’uso degli strumenti di intelligenza artificiale da parte dei tuoi dipendenti e collaboratori. Risponde a quattro domande operative: chi puo usare cosa, su quali dati, chi approva i casi delicati, e come si tiene traccia.

Non e’ l’AI Act. Il Regolamento UE 2024/1689 (AI Act) e’ la legge europea che classifica i sistemi AI per rischio e impone obblighi ai fornitori e agli utilizzatori; le sue disposizioni entrano in applicazione in modo scaglionato, con la maggior parte degli obblighi a partire da agosto 2026 (fonte: Regolamento UE 2024/1689, art. 113). La policy e’ il tuo strumento interno per rispettare quella legge nella pratica quotidiana. Per la mappa della legge, vedi la guida all’AI Act per aziende.

Non e’ nemmeno un divieto. Vietare ChatGPT senza alternative sposta l’uso in clandestinita: il team apre account personali e ci mette dentro dati aziendali. La “shadow AI” e’ il rischio piu grande, e una policy chiara e’ il modo migliore per riportarla alla luce.

Serve davvero alla mia PMI? (l’onesta risposta)

Non esiste, nell’AI Act, un obbligo generico di redigere una “AI policy” per ogni azienda. Ma se i tuoi dipendenti usano strumenti AI trattando dati personali (candidati, clienti, dipendenti), scatta il principio di accountability del GDPR (Regolamento UE 2016/679, art. 5, par. 2): devi essere in grado di dimostrare di avere misure organizzative adeguate. Una policy scritta e applicata e’ la prova piu economica che tu possa produrre.

Quando NON e’ la priorita: se sei un’azienda di 5 persone che usa l’AI solo per bozze di testo interne, senza dati personali sensibili, una mezza pagina di regole condivise puo bastare. Non ti serve un documento formale prima di aver capito quali dati tocchi davvero.

Questa e’ guida generale, non consulenza legale per la tua azienda. Il perimetro dipende dai dati che tratti, dal settore e da come sono configurati i tuoi strumenti. Per un parere onesto sul tuo caso specifico, parlane con Soraia.

Il template operativo: le 9 sezioni

Una policy utile per una PMI sta in 3-6 pagine. Ecco cosa mettere in ognuna.

1. Scopo e ambito

Una riga sul perche esiste il documento e a chi si applica: dipendenti, collaboratori, stagisti, fornitori esterni che accedono ai sistemi. Chiarisci che vale per tutti gli strumenti AI, non solo per quelli approvati dall’azienda.

2. Strumenti approvati e strumenti vietati

La parte piu utile. Elenca in una tabella i tool che il team puo usare, per quali scopi, e con quale account (aziendale, non personale).

StrumentoUso permessoAccountDati ammessi
ChatGPT (piano Team/Enterprise)Bozze, sintesi, brainstormingAziendaleNessun dato personale di clienti/candidati
Assistente AI del gestionaleCome da configurazioneAziendaleCome da DPA del fornitore
Tool AI non in elencoDa richiedere all’IT prima dell’uso--

Regola d’oro: niente account personali su dati aziendali. Il piano gratuito di molti strumenti puo usare gli input per addestrare i modelli; i piani business di norma no, ma va verificato nelle condizioni del fornitore.

3. Classificazione dei dati (cosa NON incolli mai)

La sezione che previene i data leak. Definisci 3 categorie con esempi concreti dei tuoi dati reali:

  • Vietato incollare: dati personali di clienti e candidati, dati sanitari, credenziali, segreti commerciali, codice proprietario, bilanci non pubblici.
  • Permesso con cautela: testi interni non riservati, bozze da rielaborare, dati gia pubblici.
  • Libero: informazioni gia pubbliche, contenuti generici senza riferimenti aziendali.

Usa esempi veri della tua azienda, non categorie astratte. “Non incollare il CV di un candidato” e’ piu efficace di “non trattare dati personali”.

4. Casi che richiedono approvazione

Definisci quando serve il via libera di un responsabile prima di usare l’AI: decisioni che impattano persone (selezione candidati, valutazioni), uso su dati di categorie particolari, integrazione di un nuovo strumento AI in un processo. L’AI Act pone attenzione particolare ai sistemi usati in ambito lavorativo, incluso il recruiting (fonte: Regolamento UE 2024/1689, Allegato III): questi meritano un’approvazione esplicita.

5. Il principio della supervisione umana

Scrivi nero su bianco che l’output dell’AI non e’ mai una decisione finale automatica su questioni che impattano persone. Un umano rivede, corregge e si assume la responsabilita. Vale per lo scarto di un candidato, la risposta a un reclamo, la classificazione di un cliente.

6. Verifica e responsabilita dell’output

Chi usa l’AI resta responsabile di cio che produce. Gli LLM possono generare affermazioni plausibili ma false (“allucinazioni”). La regola: verifica i fatti, i numeri e le citazioni prima di usarli verso l’esterno o in decisioni operative.

7. Log e tracciabilita

Per i processi in cui un agente AI esegue azioni (non solo bozze), definisci che deve esistere un audit log: chi ha fatto cosa, quando, con quale input e output. Nei nostri progetti l’audit log immutabile su ogni decisione dell’agente e’ uno standard, proprio perche e’ la prova concreta di come l’AI e’ stata usata.

8. Ruoli e referente AI

Nomina un referente interno (spesso il COO o l’Head of Ops) a cui il team chiede quando ha dubbi: se un tool va bene, se un certo dato si puo usare. Un punto di contatto chiaro evita che ognuno decida a caso.

9. Violazioni, aggiornamento e firma

Spiega cosa succede se la policy non viene rispettata, con proporzionalita. Fissa una revisione ogni 6 mesi: gli strumenti e le regole cambiano in fretta. E fai firmare (anche digitalmente) per presa visione: e’ la parte che rende la policy una prova di accountability.

Gli errori piu comuni (e come evitarli)

  1. Copiare la policy di una multinazionale. 40 pagine di legalese che nessuno legge non proteggono nulla. Scrivi corto, in italiano chiaro, con i tuoi tool reali.
  2. Scriverla e non spiegarla. La policy senza una sessione di formazione e’ un file morto. Bastano 45 minuti per spiegare il perche delle regole con esempi.
  3. Vietare tutto. Il divieto totale genera shadow AI. Meglio dare alternative approvate e sicure.
  4. Non aggiornarla mai. Una policy di 18 mesi fa non conosce i tool che il tuo team usa oggi.
  5. Dimenticare i fornitori esterni. Se un’agenzia o un freelance accede ai tuoi dati, la policy vale anche per loro.

Policy, formazione e adozione vanno insieme

Una policy funziona solo se il team capisce perche esiste e come usare gli strumenti giusti. Per questo la parte di regole e quella di formazione vanno costruite insieme: le regole senza competenza generano paralisi, la competenza senza regole genera rischio. E’ l’approccio della nostra AI Adoption, dove policy, formazione e casi d’uso reali procedono in parallelo. Se stai anche introducendo agenti AI nei processi, la policy diventa il documento che governa come vengono usati.

In sintesi, e come avere un parere onesto

Una AI policy per PMI e’ un documento breve e vivo: chi usa cosa, su quali dati, chi approva, come si tiene traccia. 3-6 pagine in italiano chiaro battono 40 pagine di legalese ignorato. Il suo valore non e’ formale ma pratico: riduce il rischio di data leak e ti da una prova di accountability verso il GDPR.

Questa guida e’ un punto di partenza generale, non consulenza legale o di compliance per la tua situazione specifica. Il perimetro giusto dipende dai dati che tratti, dal tuo settore e da come sono configurati i tuoi strumenti. Per un parere onesto sul tuo caso, senza pitch e senza preventivi a sorpresa, parlane 20 minuti con Soraia. Se vuoi prima capire la tua maturita AI, puoi fare il check-up in 3 minuti.

Domande frequenti

Quello che ci chiedono di solito.

La mia PMI e obbligata ad avere una AI policy?
Non esiste un obbligo generico e diretto di redigere una "AI policy" nel Regolamento UE 2024/1689 (AI Act). Ma se i tuoi dipendenti usano strumenti AI su dati personali, il principio di accountability del GDPR (art. 5, par. 2) richiede che tu dimostri di avere misure organizzative adeguate: una policy scritta e' la prova piu semplice. Per il tuo caso specifico, chiedi un parere onesto a Soraia.
Che differenza c'e tra AI policy e AI Act?
L'AI Act (Regolamento UE 2024/1689) e' la legge europea che classifica i sistemi AI per rischio e impone obblighi ai fornitori e agli utilizzatori. La AI policy aziendale e' il tuo documento interno che dice al team come usare l'AI in pratica. La policy ti aiuta a rispettare l'Ain Act, ma sono cose diverse: la legge la trovi nella guida all'AI Act.
Posso vietare ChatGPT ai dipendenti invece di scrivere una policy?
Puoi, ma di solito non funziona. Il divieto totale spinge l'uso in clandestinita (shadow AI): il team usa gli account personali sui dati aziendali, e perdi ogni controllo. Una policy che dice cosa e' permesso, con quali strumenti e su quali dati e' piu sicura di un divieto ignorato.
Quanto deve essere lunga una AI policy per una PMI?
Da 3 a 6 pagine. Una policy di 40 pagine copiata da una multinazionale non la legge nessuno e non la applica nessuno. Meglio un documento breve, in italiano chiaro, con esempi concreti dei tool che usate davvero e delle categorie di dati che trattate.
La policy da sola basta o serve anche formazione?
La policy senza formazione e' un file nel drive che nessuno apre. Serve una sessione breve per spiegare il perche delle regole, con esempi reali. Vedi la guida sulla formazione AI aziendale. Questa e' guida generale, non consulenza per la tua azienda: per un parere onesto sul tuo caso, parlane con noi.

Vuoi un'opinione sul tuo caso?

20 minuti col CEO per capire insieme se ha senso. Nessun impegno, nessun pitch: solo una conversazione operativa sui tuoi processi.

Daniel Levis

Daniel Levis

Co-Founder & CEO

20 min con Daniel
20 min con Daniel