La governance AI per una PMI sono le regole minime che definiscono chi può usare quali strumenti, su quali dati, con quale supervisione umana e con quale tracciabilità. Non serve una struttura da multinazionale: bastano cinque pilastri, un registro, una policy di una pagina e una review trimestrale per coprire l’80% dei rischi e rispondere ad AI Act, ISO/IEC 42001 e Legge 132/2025.
Secondo l’Osservatorio Artificial Intelligence del Politecnico di Milano, nel 2025 il 74% dell’uso di strumenti AI nelle PMI avviene fuori dal perimetro aziendale, senza controlli sui dati condivisi. E mentre il 53% delle grandi imprese italiane ha almeno un progetto AI attivo, tra le PMI la quota resta sotto il 16%. Il gap non si colma più con la velocità: si colma con la disciplina. E la disciplina, in questo campo, ha un nome preciso: governance.
In questo articolo trovi il framework minimo che usiamo nei progetti con piccole e medie imprese italiane, i cinque pilastri, la tabella per dimensionare la governance al numero di dipendenti, il template di policy da una pagina, la checklist delle dieci regole minime e la struttura del registro dei sistemi AI. Se vuoi prima il quadro normativo, parti dalla guida agli obblighi AI Act per le PMI.
Cosa significa governance AI in una PMI
Governance AI non vuol dire comitato etico, audit annuale certificato o consulenza da 40.000 euro. Vuol dire tre cose molto concrete: 1) sapere quali sistemi AI sono in uso e chi li gestisce, 2) avere regole scritte su dati ammessi e revisione umana, 3) poter dimostrare in cinque minuti a un cliente o a un ispettore come e perché stai usando l’AI.
In una PMI da 10-50 persone la governance non richiede un Chief AI Officer. Richiede un referente, un foglio di calcolo condiviso, una policy di una pagina e una riunione ogni tre mesi. Il resto è fuffa venduta da chi vive di complicazioni.
La differenza tra governance e burocrazia è questa: la governance risponde a domande operative (“posso caricare questo listino su Copilot?”), la burocrazia crea documenti che nessuno legge. Nelle PMI funziona solo la prima.
5 pilastri della governance AI per una PMI
Il framework che proponiamo si regge su cinque pilastri. Ognuno risponde a una domanda concreta che prima o poi arriva in azienda.
- Inventario: quali sistemi AI sono attivi, chi li ha attivati, su quali dati lavorano? Senza inventario, tutto il resto è aria.
- Ruoli: chi decide, chi esegue, chi controlla? In una PMI bastano tre nomi, ma devono essere scritti.
- Policy d’uso: cosa si può fare, cosa no, con quali dati, con quale livello di revisione umana?
- Registro dei rischi e delle decisioni: log essenziale di cosa è cambiato, quando e perché. Bastano dieci righe al mese.
- Ciclo di review: una riunione trimestrale da un’ora per aggiornare inventario, prompt, criteri di revisione.
Questi cinque pilastri coprono i requisiti essenziali richiesti dall’articolo 17 del Regolamento UE 2024/1689 (AI Act), che impone ai fornitori di sistemi AI ad alto rischio un sistema di gestione della qualità. Il regolamento prevede esplicitamente forme semplificate per PMI e startup. Chi non fornisce sistemi ad alto rischio non è vincolato all’articolo 17, ma adottare una versione leggera degli stessi principi è il modo più economico per essere pronti a qualsiasi cliente, gara o audit.
Ruoli e responsabilità minimi
In una PMI servono tre ruoli. Possono coincidere con persone che già esistono, non devono essere assunzioni nuove.
- AI Owner aziendale: una sola persona (tipicamente il titolare, il direttore generale o il responsabile IT) che risponde della governance AI davanti al resto dell’azienda e ai clienti. Firma la policy, approva nuovi strumenti, convoca la review trimestrale.
- Referente per caso d’uso: per ogni processo in cui l’AI viene usata stabilmente (offerte, customer service, sintesi riunioni, analisi dati) c’è un referente operativo che conosce il prompt, i dati coinvolti e il livello di revisione. Tipicamente è chi già gestisce quel processo.
- Referente dati e sicurezza: chi risponde su GDPR e cybersecurity. In molte PMI coincide con il DPO esterno o con il consulente IT. Va coinvolto ogni volta che un nuovo strumento tocca dati personali o riservati.
Questi tre ruoli sono il minimo sindacale. Se vuoi capire come allocarli, approfondisci il ruolo dell’AI champion aziendale nelle PMI e i diritti di informazione dei dipendenti previsti dall’articolo 11 della Legge 132/2025.
Policy d’uso AI: cosa deve contenere
La policy è il documento più importante della tua governance. Ed è anche quello che la maggior parte delle PMI sbaglia: la fa lunga 30 pagine copiata da uno studio legale, nessuno la legge, nessuno la applica. La regola è brutale: se non sta in una pagina, non serve.
Una policy d’uso AI per PMI deve rispondere a sette domande:
- Quali strumenti sono approvati? Elenco esplicito: ChatGPT Team, Copilot in Microsoft 365, Gemini Enterprise, Claude Team. Chi vuole usarne altri deve chiedere.
- Quali dati si possono inserire? Tre categorie: liberi (pubblici), con cautela (interni non sensibili, solo in strumenti aziendali), vietati (personali, finanziari, segreti commerciali).
- Chi deve rivedere gli output? Classificazione a tre livelli (verde/giallo/rosso) con esempi presi dal lavoro reale dell’azienda.
- Dove si salvano prompt e template validati? Un luogo unico, accessibile, versionato. Una cartella condivisa è sufficiente.
- Cosa fare se qualcosa va storto? Chi chiamare, come segnalare un errore, come sospendere un flusso.
- Come ci si forma? Riferimento all’obbligo di AI literacy previsto dall’AI Act a partire dal 2 febbraio 2025, con link al materiale interno.
- Chi aggiorna la policy? Nome, cognome, cadenza (trimestrale).
Per un modello pronto all’uso, parti dal template di policy AI aziendale per PMI e adattalo al tuo contesto.
Template di policy AI da una pagina
POLICY USO AI - [Nome azienda] - versione 1.0 - [data]
1. Strumenti approvati: [elenco]
2. Dati ammessi: liberi (pubblici), con cautela (interni, solo su strumenti
aziendali), vietati (personali, finanziari, segreti, dati clienti).
3. Review output: VERDE (check rapido) / GIALLO (revisione del responsabile)
/ ROSSO (validazione senior obbligatoria).
4. Archivio prompt: [percorso cartella condivisa]
5. Incidenti: segnalare a [nome] entro 24h. Sospensione immediata se dati
riservati fuoriusciti.
6. Formazione: corso base AI literacy obbligatorio entro [data] per tutti
gli utilizzatori.
7. Revisione policy: ogni trimestre a cura di [AI Owner].
Firma AI Owner: __________________________Questa pagina, stampata e appesa, vale più di un manuale da 80 pagine che nessuno apre.
Registro dei sistemi AI: la tracciabilità minima
Il registro dei sistemi AI è l’equivalente pratico del “quality management system” richiesto dall’articolo 17 dell’AI Act. Per una PMI può essere un foglio Google Sheets con otto colonne:
- Nome del sistema / caso d’uso
- Fornitore e piano (es. Copilot Microsoft 365 Business Premium)
- Processo aziendale coinvolto
- Dati trattati (categorie)
- Referente operativo
- Livello di rischio (basso / medio / alto secondo la tua classificazione interna)
- Livello di revisione umana obbligatorio
- Data ultimo check e prossima review
Il registro va tenuto aggiornato. Non è un esercizio di archivio: è lo strumento che ti permette di rispondere in dieci minuti se un cliente ti chiede come gestisci l’AI nella catena di fornitura. Per la struttura dettagliata, consulta il registro degli strumenti AI in azienda.
Se il tuo caso d’uso tocca dati personali o decisioni che riguardano persone (selezione candidati, scoring clienti, valutazioni dipendenti), al registro va affiancata una valutazione di impatto: approfondisci la DPIA e la valutazione di impatto AI per le PMI.
Ciclo di review trimestrale
Senza review periodica, la governance si degrada in tre mesi. I prompt diventano obsoleti, le revisioni si fanno sempre più superficiali, compaiono strumenti nuovi che nessuno ha approvato. La review trimestrale è l’unico antidoto che funziona davvero.
Una review trimestrale per una PMI dura 60-90 minuti e ha cinque punti all’ordine del giorno:
- Inventario aggiornato: ci sono nuovi strumenti attivati? Qualcuno da dismettere?
- Incidenti: cosa è andato storto negli ultimi tre mesi? Falsi positivi, allucinazioni rilevanti, dati sbagliati?
- Prompt e template: quelli in uso sono ancora efficaci? Il provider ha cambiato il modello?
- Formazione: chi è ancora indietro sull’AI literacy? Serve un refresh?
- Policy: c’è qualcosa da aggiornare nel documento? Nuovi casi d’uso da disciplinare?
Il verbale è di mezza pagina. Si archivia nella cartella condivisa, nella sottocartella “review”. Fine.
Dimensione PMI e governance minima
Non tutte le PMI hanno bisogno della stessa governance. Un artigiano da cinque dipendenti è uno studio di ingegneria da 80 persone vivono in due mondi diversi. Ecco come dimensionare il framework.
| Dimensione PMI | Governance minima consigliata |
|---|---|
| Fino a 10 dipendenti | 1 AI Owner (il titolare), policy di 1 pagina, registro con 3-5 voci, review semestrale |
| 10-50 dipendenti | AI Owner + 2-3 referenti per caso d’uso, policy di 1 pagina, registro su foglio condiviso, review trimestrale |
| 50-250 dipendenti | AI Owner + referente sicurezza + referenti per caso d’uso, policy di 2 pagine, registro strutturato, review trimestrale con verbale, formazione AI literacy tracciata |
| Oltre 250 dipendenti | Struttura conforme a ISO/IEC 42001, comitato AI, registro integrato con il sistema qualità, audit annuale |
Lo standard di riferimento per le strutture più mature è la norma ISO/IEC 42001:2023 - AI Management Systems. Non è obbligatoria, ma sta diventando il riferimento per dimostrare ai clienti e ai bandi pubblici che la tua governance AI esiste davvero. Per le PMI più piccole è sovradimensionata, ma conoscerne i principi aiuta a costruire un framework leggero che potrai fare evolvere.
Checklist: le 10 regole minime di governance AI per PMI
Stampa questa lista, appendila vicino alla postazione dell’AI Owner. Se la tua azienda risponde “si” a tutte, sei in una condizione operativa sana.
- Esiste un AI Owner nominato per iscritto.
- Esiste una policy d’uso AI firmata e accessibile a tutti.
- Gli strumenti AI approvati sono elencati in modo esplicito.
- Le tre categorie di dati (liberi, con cautela, vietati) sono definite con esempi.
- Ogni caso d’uso attivo ha un referente con nome e cognome.
- I prompt validati sono salvati in un archivio condiviso.
- Ogni dipendente che usa l’AI ha seguito almeno un’ora di formazione base.
- Esiste un registro dei sistemi AI aggiornato negli ultimi 3 mesi.
- È stata fatta almeno una review trimestrale negli ultimi 90 giorni.
- Esiste una procedura scritta di segnalazione incidenti.
Se manca anche una sola di queste voci, parti da li. Non dalla più complicata: dalla più mancante.
Collegamento con AI Act, ISO 42001 e Legge 132/2025
La governance AI di una PMI non è fine a se stessa. Va letta in relazione a tre riferimenti normativi e standard che, nel 2025-2026, costituiscono il perimetro minimo.
AI Act (Regolamento UE 2024/1689): i divieti sulle pratiche a rischio inaccettabile e l’obbligo di AI literacy sono in vigore dal 2 febbraio 2025. Il grosso degli obblighi per i sistemi ad alto rischio scatta il 2 agosto 2026. L’articolo 17 richiede un sistema di gestione della qualità per i fornitori, con forme semplificate per le PMI. Per i calendari operativi, vedi le scadenze AI Act per le PMI nel 2026 e le sanzioni previste.
Legge italiana 132/2025: in vigore dal 10 ottobre 2025, integra l’AI Act a livello nazionale e affida la vigilanza all’Agenzia per l’Italia Digitale (AgID) e all’Agenzia per la Cybersicurezza Nazionale. Introduce principi di approccio antropocentrico, trasparenza e sicurezza, e prevede obblighi di informazione per i dipendenti sui sistemi AI che li riguardano.
ISO/IEC 42001:2023: lo standard internazionale sull’AI Management System. Non è obbligatorio ma, se il tuo cliente principale è una grande impresa o una PA, prima o poi ti verrà chiesto. Adottare oggi una governance leggera compatibile con i suoi principi (governo, gestione del rischio, trasparenza, miglioramento continuo) è la polizza assicurativa più economica che puoi farti.
Chi preferisce un framework volontario più orientato al rischio può guardare al NIST AI Risk Management Framework, che organizza la governance in quattro funzioni (Govern, Map, Measure, Manage) e che molte imprese italiane iniziano a usare come guida pratica.
Due esempi concreti di governance snella
Per capire come atterra tutto questo, due casi tipici dalle nostre esperienze sul campo.
PMI metalmeccanica, 35 dipendenti, Brianza. Uso principale dell’AI: generazione offerte commerciali con Copilot, sintesi riunioni tecniche, traduzione schede tecniche per export. AI Owner è il direttore commerciale. Referenti: commerciale per le offerte, responsabile tecnico per schede e traduzioni. Policy di una pagina firmata a gennaio 2026. Registro su Sheets con sei voci. Review trimestrale di 45 minuti il primo lunedì di ogni trimestre. Costo effettivo: 12 ore all’anno dell’AI Owner, più la formazione base per 20 persone.
Studio professionale di consulenza del lavoro, 12 dipendenti, Emilia. Uso dell’AI: ricerca normativa, bozze di circolari per clienti, sintesi di verbali ispettivi. AI Owner è il titolare dello studio. Policy che vieta esplicitamente l’inserimento di dati personali dei dipendenti dei clienti in strumenti AI pubblici. Registro con quattro voci. Review semestrale. La policy è allegata al contratto che lo studio firma con i nuovi clienti, come garanzia di riservatezza.
In entrambi i casi la governance non ha bloccato nulla: ha trasformato l’uso caotico dell’AI in un uso tracciato e difendibile davanti a clienti e autorità.
Domande frequenti sulla governance AI per PMI
Una PMI di 10 dipendenti deve davvero fare governance AI?
Sì, ma in forma minima. Bastano tre elementi: una persona responsabile (di solito il titolare), una policy di una pagina con gli strumenti approvati e i dati vietati, un elenco dei casi d’uso attivi. L’obbligo di AI literacy dell’AI Act si applica a tutti, indipendentemente dalla dimensione, già dal febbraio 2025. Per approfondire, leggi la guida sulla digital literacy obbligatoria nel 2026.
ISO 42001 è obbligatoria per le PMI?
No. ISO/IEC 42001:2023 è uno standard volontario. Non è richiesta da AI Act né dalla Legge 132/2025. Diventa di fatto necessaria quando il tuo cliente principale la richiede come requisito contrattuale, situazione sempre più frequente nelle filiere di grandi imprese e nelle gare pubbliche. Per una PMI sotto i 50 dipendenti oggi basta adottarne i principi, non certificarsi.
Chi deve essere l’AI Owner in una piccola impresa?
Nella maggioranza dei casi il titolare o l’amministratore. In PMI strutturate può essere il direttore generale, il responsabile organizzazione o il responsabile IT. L’importante è che sia una persona con autorità per firmare la policy, bloccare uno strumento, convocare la review. Non deve essere un profilo tecnico: deve avere visione di processo e potere decisionale.
Quanto costa avviare una governance AI minima?
Per una PMI fino a 50 dipendenti, l’avvio richiede tipicamente 15-25 ore di lavoro complessivo spalmate su un mese: inventario, scrittura policy, setup del registro, primo briefing al team. Zero licenze dedicate se si usano strumenti già in casa (Sheets o Excel, una cartella condivisa). Il costo vero è il tempo dell’AI Owner, non software esterno. Nei mesi successivi bastano 3-4 ore al trimestre.
La governance rallenta l’adozione dell’AI?
È vero il contrario. Quando il team sa cosa può fare, con quali dati e con quale revisione, smette di perdere tempo nell’incertezza e nelle domande ripetute. Le PMI che hanno una policy chiara adottano l’AI più in fretta, non più lentamente. Il rallentamento vero lo producono gli incidenti di shadow AI, quando qualcuno scopre che dati sensibili sono finiti in strumenti non autorizzati.
Serve un consulente esterno per costruire la governance?
Non necessariamente. Una PMI sotto i 50 dipendenti può avviare la governance minima con risorse interne, partendo da un template di policy e da un framework come quello descritto in questo articolo. Un consulente esterno diventa utile quando la PMI opera in settori regolati (sanità, finanza, selezione del personale) o quando il profilo di rischio tocca dati particolarmente sensibili. Per approfondire, leggi come proteggere i dati sensibili in azienda.
Da dove iniziare domani mattina
La governance AI per una PMI non è un progetto da sei mesi. È una decisione che puoi prendere domani mattina. Scegli l’AI Owner, convoca trenta minuti con chi usa l’AI ogni giorno, scrivi l’inventario su un foglio condiviso, stampa il template di policy e firmalo. In due settimane hai il 70% del valore.
Il resto, tra cui il livello di maturità descritto in ISO/IEC 42001, viene con il tempo e con l’esperienza reale della tua azienda. L’errore da evitare è il contrario: aspettare “il progetto di governance perfetto” mentre dipendenti, fornitori e agenti continuano a inserire dati in strumenti non controllati.
Se vuoi approfondire la visione d’insieme su rischi, strumenti e strategie di adozione AI per piccole e medie imprese italiane, il libro “Intelligenza Artigianale” è il riferimento più completo disponibile. La governance minima descritta in questo articolo è uno dei capitoli operativi che troverai sviluppato con altri strumenti e template pronti all’uso.
La domanda non è più “se” la tua PMI debba avere una governance AI. È quando e quanto snella. Meglio snella e viva, che perfetta e sulla carta.
