"AI governance" suona come qualcosa per le grandi aziende con un ufficio legale dedicato, un chief AI officer e un budget compliance da milioni di euro. Non è così. Ogni azienda che usa strumenti AI - anche solo ChatGPT o Copilot - sta già facendo scelte di governance, consapevolmente o no.
La differenza è che chi ci pensa in anticipo evita problemi. Chi non ci pensa li scopre quando è tardi.
Cos'è la AI governance (e cosa non è)
La governance AI non è solo compliance normativa. Non è solo "rispettare l'AI Act". È l'insieme delle regole, dei ruoli e dei processi che un'azienda definisce per usare l'AI in modo controllato e consapevole.
Include tre livelli.
Livello strategico: chi decide quali strumenti AI adottare, con quali obiettivi, con quali criteri di valutazione.
Livello operativo: chi usa l'AI, come, per quali attività, con quali vincoli. Le policy per i dipendenti rientrano qui.
Livello tecnico: come vengono gestiti i dati, come vengono monitorati i sistemi AI, come si interviene quando qualcosa non funziona.
Una PMI non ha bisogno di un documento formale per ognuno di questi livelli. Ma deve avere qualcuno che ci pensa - e delle decisioni prese esplicitamente invece di lasciate al caso.
Perché le PMI non possono ignorarla
Tre ragioni concrete.
Prima: i dipendenti stanno già usando strumenti AI, con o senza autorizzazione. Se non c'è una policy, ognuno fa a modo suo. Qualcuno carica dati di clienti su ChatGPT. Qualcuno usa l'AI per scrivere email commerciali senza dichiararlo. Qualcuno usa strumenti non approvati che non rispettano il GDPR.
Seconda: l'AI Act è entrato in applicazione progressiva dal 2024. Le PMI che usano AI (non solo quelle che la sviluppano) hanno obblighi specifici, soprattutto per i sistemi ad alto rischio. Ignorarlo non è una strategia.
Terza: le decisioni prese con l'AI lasciano una traccia. Chi era responsabile quando un sistema AI ha suggerito una scelta sbagliata? Senza una governance definita, questa domanda non ha risposta.
Come definire una policy d'uso per i dipendenti
Una policy AI non deve essere un documento di 30 pagine. Deve rispondere a domande pratiche.
Quali strumenti sono approvati? Fai una lista esplicita. ChatGPT, Copilot, Gemini, strumenti verticali per il settore. Indica quali sono approvati per uso aziendale e quali no.
Cosa non si può fare? Vietare esplicitamente: caricare dati personali di clienti su strumenti cloud non approvati, usare l'AI per generare contenuti che vengono pubblicati senza revisione umana, usare l'AI in processi che richiedono firma o responsabilità professionale senza supervisione adeguata.
Chi è responsabile dell'output? Il dipendente che usa l'AI è responsabile del risultato, come se lo avesse prodotto lui. L'AI non è un alibi.
Come si segnala un problema? Se un sistema AI produce un output sbagliato, discriminatorio o inaspettato, chi lo segnala e come?
Quattro risposte chiare, scritte in una pagina, valgono più di un documento legale inutilizzato.
Chi è responsabile delle decisioni AI in azienda
Nelle grandi aziende esiste il Chief AI Officer. Nelle PMI non serve una figura dedicata, ma serve che qualcuno abbia la responsabilità esplicita.
AI owner
Per ogni strumento o progetto AI significativo, definisci un owner: la persona che ne è responsabile operativamente. Non il tecnico che lo implementa - la persona di business che risponde dei risultati.
Sponsor esecutivo
Qualcuno nel management deve essere lo sponsor dell'AI in azienda. Non significa che si occupa di tutto - significa che prende le decisioni strategiche sull'adozione, approva i budget, rimuove gli ostacoli organizzativi.
Team operativo
Chi usa l'AI quotidianamente deve avere un canale per segnalare problemi e fare domande. Anche solo un gruppo Slack o Teams dove ci si confronta su casi pratici è meglio del vuoto.
La governance si inceppa quando le responsabilità non sono chiare. "L'AI ha detto così" non è una risposta accettabile per nessuna decisione di business.
Gestione dei rischi per le PMI
I rischi specifici che una PMI deve presidiare non sono gli stessi di una banca o di un ospedale. Ma esistono.
Privacy e GDPR: il rischio più immediato. Dati di clienti, dipendenti, fornitori che finiscono su sistemi cloud senza una base giuridica adeguata. La soluzione non è non usare l'AI - è usare strumenti che rispettano i requisiti di trattamento dati.
Bias nei processi decisionali: se usi l'AI per filtrare CV, per valutare il credito di un cliente, per prioritizzare richieste di assistenza, devi verificare periodicamente che il sistema non produca discriminazioni sistematiche. Non è fantascienza - è già successo in aziende reali.
Vendor lock-in: se costruisci processi critici su uno strumento AI di un singolo fornitore, dipendi da quel fornitore per prezzi, disponibilità e continuità. Non è un motivo per non usarlo, ma è un rischio da tenere in conto nella progettazione.
Qualità degli output: l'AI sbaglia. I sistemi AI producono output plausibili ma errati, a volte con grande sicurezza. Nei processi dove l'errore ha conseguenze (comunicazioni ai clienti, documenti legali, calcoli finanziari), serve sempre un controllo umano.
AI Act: cosa cambia per chi usa l'AI senza svilupparla
La maggior parte delle PMI non sviluppa AI. Usa strumenti AI di terzi - fornitori SaaS, plugin, API. Anche in questo caso, l'AI Act prevede obblighi.
Se usi un sistema AI classificato come ad alto rischio (selezione del personale, scoring del credito, alcuni sistemi di safety), hai obblighi come "deployer": verifica che il sistema sia conforme, mantieni un registro degli utilizzi, garantisci supervisione umana.
Se usi sistemi AI a rischio limitato (chatbot, sistemi di raccomandazione, generatori di testo), gli obblighi sono minori ma esistono: principalmente obblighi di trasparenza verso gli utenti.
La lettura pratica per una PMI: chiedi ai tuoi fornitori di AI la loro documentazione di conformità all'AI Act. Se non l'hanno, è un segnale di rischio.
Una governance leggera ma reale
Non serve un ufficio dedicato. Serve un approccio sistematico anche con risorse limitate.
Un documento di una pagina con le policy d'uso. Una lista degli strumenti approvati. Un owner identificato per ogni progetto AI. Una riunione trimestrale per fare il punto su cosa funziona e cosa no. Un processo per segnalare problemi.
Questo è sufficiente per la maggior parte delle PMI italiane che stanno iniziando con l'AI. È molto meno di quanto facciano le grandi aziende - ma è infinitamente meglio del nulla.
Il momento giusto per costruire la governance AI non è quando arriva il problema. È adesso, mentre i sistemi sono ancora semplici e le abitudini si possono formare in modo controllato.