Utilizzo AI

Indice dei Contenuti

Premessa e principi etici

  1. Finalità e ambito di applicazione
  2. Principi fondamentali
  3. Comportamenti consentiti e vietati
  4. Tutela dei lavoratori e uso dell’IA nei processi aziendali
  5. Referente AI Aziendale: ruolo e compiti
  6. Rapporti con fornitori e partner tecnologici
  7. Sicurezza e protezione dei dati
  8. Formazione e sensibilizzazione
  9. Responsabilità e sanzioni disciplinari
  10. Revisione, aggiornamento e pubblicazione
  11. Lista di distribuzione

Premessa e principi etici

La presente Policy definisce le regole, i principi e le responsabilità per l’utilizzo sicuro, etico e trasparente dei sistemi di Intelligenza Artificiale (IA) in conformità alla Legge 23 settembre 2025, n. 132, che recepisce il Regolamento (UE) 2024/1689. Essa promuove un uso dell’IA conforme ai valori di centralità della persona, inclusione, sostenibilità, innovazione responsabile e tutela dei diritti fondamentali. La Policy entra in vigore alla data della sua approvazione e si integra con le altre procedure aziendali in materia di privacy (GDPR), sicurezza informatica (NIS 2) e Modello 231 (se presente in Azienda).

  1. Finalità e ambito di applicazione

La Policy si applica a tutti i dipendenti, collaboratori, consulenti, fornitori e partner tecnologici che utilizzano o interagiscono con sistemi di IA nel contesto delle attività aziendali. Essa si estende anche all’uso di strumenti di IA su dispositivi personali quando utilizzati per finalità lavorative. Tutti i soggetti coinvolti devono rispettare i principi di sicurezza, trasparenza, equità e responsabilità previsti dal Regolamento (UE) 2024/1689 e dalla Legge n. 2025/132. I contratti con i fornitori e i partner devono prevedere specifiche clausole di conformità alla presente Policy.

  1. Principi fondamentali
  • Trasparenza: informare gli utenti e i lavoratori quando interagiscono con sistemi di IA.
  • Sicurezza e affidabilità: garantire che i sistemi siano testati e aggiornati per ridurre rischi e malfunzionamenti.
  • Controllo umano: nessuna decisione automatizzata può essere assunta senza supervisione umana.
  • Accountability: ogni uso dell’IA deve essere tracciabile e documentato.
  • Tutela dei dati personali: vietato l’inserimento di dati riservati o sensibili in piattaforme IA non autorizzate.

Inoltre, tutti i sistemi di Intelligenza Artificiale devono essere sottoposti a una valutazione preliminare dei rischi e classificati in base al livello di rischio (basso, limitato, alto), secondo i criteri stabiliti dal Regolamento (UE) 2024/1689 e dalla Legge n. 2025/132. L’autorizzazione all’uso di sistemi IA ad alto rischio è soggetta a validazione preventiva da parte della Direzione.

  1. Comportamenti consentiti e vietati

È consentito:

  • Utilizzare esclusivamente sistemi IA approvati e inseriti nell’elenco aziendale degli strumenti autorizzati.
  • Verificare sempre gli output dell’IA prima di condividerli o utilizzarli.
  • Segnalare tempestivamente anomalie o comportamenti anomali dei sistemi IA.

È vietato:

  • Caricare dati personali, riservati o aziendali su piattaforme IA pubbliche o non autorizzate.
  • Utilizzare sistemi IA per generare contenuti falsi, discriminatori o lesivi dell’immagine aziendale.
  • Adottare sistemi IA non verificati o sviluppati senza autorizzazione aziendale.
  • Usare IA per decisioni che incidono su persone o contratti senza validazione umana.

Esempi di uso conforme: generazione di testi informativi non sensibili, analisi automatizzate di dati pubblici, chatbot informativi aziendali.

Esempi di uso non conforme: caricamento di documenti contenenti dati personali, utilizzo di sistemi IA per profilazione non autorizzata o decisioni automatizzate su persone.

  1. Tutela dei lavoratori e uso dell’IA nei processi aziendali
  • I lavoratori devono essere informati in modo chiaro e preventivo sull’uso di IA e sui dati trattati.
  • Ogni decisione automatizzata deve essere sottoposta a revisione e validazione umana prima di produrre effetti.
  • È vietato utilizzare sistemi IA che raccolgono o analizzano dati particolari (ex sensibili) senza base giuridica idonea.
  • L’azienda deve garantire la non discriminazione e monitorare eventuali bias nei sistemi IA.
  • Le valutazioni effettuate con IA devono poter essere spiegate e documentate.
  • Per tutti i sistemi di IA impiegati nei processi HR o che incidono sui lavoratori, l’azienda esegue una Valutazione d’Impatto sull’Intelligenza Artificiale (AIA), documentando rischi, misure di mitigazione e modalità di revisione periodica.
  • È vietato l’utilizzo di sistemi di IA per il monitoraggio occulto o la profilazione dei lavoratori ai fini disciplinari o di controllo dell’attività, in conformità all’art. 4 dello Statuto dei Lavoratori e all’art. 11 della Legge n. 2025/132.

 

  1. Referente AI Aziendale: ruolo e compiti

La Direzione aziendale nomina un Referente per l’Intelligenza Artificiale (Referente AI), incaricato di garantire l’attuazione della presente Policy e di vigilare sulla conformità dei sistemi di IA adottati all’interno dell’organizzazione.

Il Referente AI rappresenta il punto di raccordo tra:

  • la Direzione,
  • il Responsabile IT,
  • il Responsabile della Sicurezza (se presente)
  • il Responsabile delle Risorse Umane
  • l’Innovation Manager

assicurando un approccio integrato alla gestione e al controllo dei sistemi di intelligenza artificiale.

Compiti e responsabilità del Referente AI

Il Referente AI svolge le seguenti funzioni:

  • Censire e classificare i sistemi di intelligenza artificiale in uso, individuandone finalità, livelli di rischio e aree aziendali coinvolte.
  • Verificare la conformità dei sistemi alle disposizioni normative vigenti e alle policy interne aziendali.
  • Mantenere aggiornato il Registro dei Sistemi di IA e la relativa documentazione tecnica.
  • Gestire le segnalazioni di uso improprio, errori o incidenti correlati ai sistemi IA, coordinandosi con il Responsabile IT.
  • Coordinare le attività di formazione del personale e promuovere la cultura finalizzata ad una maggiore alfabetizzazione in materia di Intelligenza Artificiale. all’interno dell’azienda.
  • Redigere report periodici alla Direzione contenenti l’analisi dei rischi, le eventuali criticità riscontrate e le proposte di miglioramento.
  • Collaborare con il Responsabile della Sicurezza nella valutazione dei rischi congiunti in materia di protezione dei dati e sicurezza informatica.
  • Proporre alla Direzione azioni correttive o sospensive in caso di rischi elevati o violazioni della Policy AI.

Comitato AI aziendale

La Direzione può istituire un Comitato AI aziendale, con funzioni di indirizzo strategico, revisione delle decisioni automatizzate e monitoraggio dei rischi emergenti.

Si riunisce almeno una volta all’anno, oppure in occasione dell’introduzione di nuovi sistemi di IA ad alto impatto, e redige un verbale delle attività svolte e delle azioni correttive eventualmente adottate.

Il Comitato AI supporta la Direzione nel garantire che l’utilizzo dei sistemi di Intelligenza Artificiale avvenga nel rispetto dei principi di trasparenza, responsabilità, sicurezza e tutela dei diritti dei lavoratori, promuovendo un uso consapevole e sostenibile delle tecnologie digitali.

 

  1. Rapporti con fornitori e partner tecnologici

L’azienda assicura che tutti i fornitori, consulenti e partner tecnologici coinvolti nello sviluppo, nella fornitura o nella gestione di sistemi di intelligenza artificiale operino in conformità con i principi e le regole della presente Policy.

Nei contratti di fornitura o di collaborazione è previsto l’obbligo di conformità alle norme interne sull’uso responsabile dell’IA e l’impegno a rispettare le misure di sicurezza, trasparenza e tutela dei dati personali stabilite dall’azienda.

È inoltre prevista una responsabilità congiunta in caso di violazioni derivanti da uso improprio dei sistemi di IA e l’obbligo di collaborazione nella gestione di eventuali incidenti o segnalazioni.

Il Referente AI, in coordinamento con la Direzione, verifica la conformità dei fornitori e partner ai requisiti stabiliti e propone eventuali azioni correttive o sospensive in caso di non conformità.

 

  1. Sicurezza e protezione dei dati

Ogni sistema IA deve essere utilizzato nel rispetto delle misure di sicurezza informatica e di protezione dei dati previste dal Regolamento (UE) 2024/1689 e dalla Legge n. 2025/132. Eventuali violazioni devono essere segnalate immediatamente al Referente AI e al Responsabile Sicurezza. L’azienda dovrò dotarsi di un AI Incident Response Plan per la gestione di eventuali incidenti o violazioni legati all’uso di IA, comprendente fasi di analisi, azioni correttive e reportistica interna.

Gli incidenti legati all’IA sono classificati in:

  1. a) incidenti tecnici (malfunzionamenti, violazioni di sicurezza),
    b) incidenti etici (bias, decisioni discriminatorie, mancanza di trasparenza).

Tutti devono essere registrati nel Registro Incidenti AI e gestiti secondo l’AI Incident Response Plan

  1. Formazione e sensibilizzazione – AI Literacy (AI Alfabetizzazione)L’azienda promuove la AI Literacy, intesa come la capacità di comprendere, utilizzare e valutare criticamente i sistemi di IA.

La formazione è articolata in tre livelli: base per tutti i dipendenti, specialistica per i reparti tecnici, avanzata per i manager e decisori.

Saranno organizzati progetti formativi periodici sull’uso responsabile dell’Intelligenza Artificiale, differenziati per ruolo (operativo, manageriale, IT, HR). La partecipazione è obbligatoria e documentata mediante registri presenze e test di verifica. I materiali formativi saranno aggiornati annualmente per mantenere allineata la conoscenza del personale ai rischi e alle normative vigenti.

  1. Responsabilità e sanzioni disciplinari

Il mancato rispetto della presente Policy costituisce inadempimento contrattuale e può comportare responsabilità disciplinare, civile o penale. Le sanzioni applicabili includono:

  • Richiamo verbale o scritto.
  • Sospensione temporanea dall’uso di strumenti digitali o di IA.
  • Sospensione dal servizio.
  • Licenziamento nei casi di grave violazione o danno a terzi.

Le sanzioni sono applicate nel rispetto del Codice Disciplinare aziendale e del CCNL di riferimento. Le violazioni sistemiche o ripetute possono essere segnalate al Comitato Compliance o al Collegio Sindacale per le opportune verifiche.

  1. Revisione, aggiornamento e pubblicazione

La Policy è soggetta a revisione annuale o in caso di modifiche normative o tecnologiche. Ogni aggiornamento è approvato dalla Direzione e comunicato a tutto il personale. Per garantire la massima trasparenza, la Policy è pubblicata sul sito web aziendale nella sezione dedicata alla Compliance.

La Direzione incaricherà il Referente AI di effettuare audit periodici sull’attuazione della Policy AI, verificando la coerenza dei processi, la qualità dei dati e la correttezza dei modelli adottati. I risultati saranno documentati e utilizzati per aggiornare la Policy e migliorare le pratiche aziendali.

Il Referente AI redige una relazione annuale di attuazione con analisi dei rischi emergenti e proposte di miglioramento.

Questa relazione annuale del Referente AI deve includere: elenco dei sistemi IA attivi, risultati delle valutazioni di rischio, segnalazioni ricevute, formazione effettuata, incidenti gestiti e proposte di miglioramento.