COSA DEVONO FARE CONCRETAMENTE LE IMPRESE CHE USANO L’AI

1. Capire SE e DOVE stanno usando l’AI (mappatura obbligatoria)

Questo vuol dire mappare tutti gli usi dell’AI in azienda, anche indiretti (esempi):

• software HR per selezione o valutazione del personale
• chatbot per clienti o dipendenti
• sistemi di scoring, profilazione, raccomandazione
• strumenti di analisi predittiva
• AI integrata in software di terzi (CRM, ERP, marketing, sicurezza)

Se un sistema “prende decisioni o influenza decisioni”, è rilevante.

 

2. Classificare il rischio (AI Act)

Per ogni uso individuato, l’impresa deve chiedersi:

• È vietato? va spento/subito eliminato
• È ad alto rischio? obblighi rafforzati
• È a rischio limitato o minimo? meno obblighi, ma non esenti da corretta gestione

 

3. Garantire controllo umano reale (non fittizio)

Obbligo centrale di AI Act e Legge 132/2025:

ogni sistema deve avere:

• una persona responsabile
• la possibilità di intervenire, fermare, correggere

 

4. Trasparenza verso lavoratori, clienti e utenti (obbligo legale)

Verso i LAVORATORI (Legge 132/2025 – lavoro)

Se usi AI che incide su:

• assunzioni
• valutazioni
• organizzazione del lavoro
• controllo o monitoraggio

devi informare chiaramente i lavoratori:

• che usi AI
• per quali finalità
• con quali logiche generali

 

Verso CLIENTI e UTENTI (AI Act)

Se una persona interagisce con un’AI (chatbot, assistente, sistema automatizzato):

• deve sapere che non sta parlando con un umano
• deve sapere quando l’AI incide su decisioni rilevanti

 

5. Governance interna: qualcuno deve “tenere in mano l’AI”

Le imprese devono strutturarsi, anche in modo leggero ma chiaro:

• nominare internamente un referente AI
• definire: regole di utilizzo, limiti, casi vietati, procedure di gestione degli errori

 

6. Dati, privacy e qualità (GDPR + AI Act)

Se l’AI usa dati personali serve:

• base giuridica (GDPR)
• minimizzazione dei dati
• attenzione a bias e discriminazioni

Per sistemi ad alto rischio occorre:

• dati appropriati, pertinenti, non distorti
• tracciabilità delle fonti

 

7. Contratti con fornitori di AI: non firmare “a scatola chiusa”

Se l’AI è acquistata o fornita da terzi l’impresa deve ottenere:

• informazioni su come funziona il sistema
• limiti e margini di errore
• chi risponde in caso di problemi

 

8. Formazione interna (obbligo sostanziale, non solo “best practice”)

La legge italiana insiste molto su questo punto.

Le persone che:

• usano l’AI
• la supervisionano
• prendono decisioni basate sull’AI

devono essere formate, almeno su:

• rischi
• limiti
• responsabilità

Ecco, grazie al contributo dell’unione europea, quali devono essere i contenuti minimi di questo corso:

• garantire una comprensione generale circa l’uso dell’applicativo, all’interno della propria organizzazione, mettendo in evidenza
  • cosa significano questi programmi,
  • come funzionano,
  • quali specifici programmi vengono usati nell’organizzazione e
  • quali sono i vantaggi ed i pericoli;
• illustrare il ruolo specifico dell’organizzazione, come fornitrice o come utente, in quanto la situazione è ben diversa, se l’organizzazione sta sviluppando sistemi IA, oppure sta semplicemente utilizzando sistemi IA, sviluppati da un altro ente;
• illustrare i rischi legati all’uso di questi applicativi, illustrando al contempo anche le modalità con cui sia possibile effettuare interventi di mitigazione di tali rischi;
• sviluppare un’azione di alfabetizzazione su questi applicativi, tenendo conto dei vari livelli di conoscenza tecnica, esperienza e formazione del personale, che utilizzerà questi applicativi;
• illustrare il contesto in cui questi applicativi vengano utilizzati, con le finalità relative.

 

9. Sanzioni

Le sanzioni possono derivare da:

• AI Act (livello UE)
• Legge 132/2025 (livello nazionale)
• GDPR
• diritto del lavoro
• responsabilità civile e penale (es. deepfake)