Policy aziendale AI

Quando un’azienda non dice nulla sull’AI, i dipendenti non smettono di usarla: la usano in silenzio, su account personali (lo shadow AI). Una policy sostituisce quel silenzio con poche risposte chiare: quali strumenti sono approvati e su quali account, quali dati possono entrarci (i dati riservati di solito no), come va riletto il risultato prima che arrivi a un cliente, e a chi chiedere nel dubbio.

Non è roba solo da grandi aziende. A una ditta di idraulici con tre persone bastano tre frasi attaccate al muro: “Usa l’account ChatGPT della ditta, non quelli personali. Mai incollare nomi, indirizzi o coordinate bancarie dei clienti. Rileggi tutto prima di inviarlo.” Quella è una policy vera: copre i casi che vanno storti davvero.

Se la policy tocca scriverla a te, i pezzi che funzionano sono: l’elenco degli strumenti approvati, le regole sui dati (le categorie rosso/giallo/verde funzionano bene), la regola della revisione umana per tutto ciò che esce, e un referente con nome e cognome. Rivedila ogni pochi mesi, perché strumenti e condizioni cambiano in fretta. Il controllo privacy può fare da riferimento vivo dietro le regole sui dati.

Dove lo incontrerai

• Il regolamento interno o la intranet, spesso tra le policy IT o di sicurezza
• Le checklist di ingresso quando l’azienda adotta uno strumento AI approvato
• I modelli pubblicati da associazioni di categoria e dal Garante

Termini correlati

• Shadow AI →
• Dati riservati →
• Dati di addestramento →
• Piano enterprise →