Una policy AI aziendale per PMI sta in una pagina: definisce strumenti approvati, dati vietati, livelli di review, owner e canale di segnalazione errori. Serve per coprire gli obblighi dell’AI Act (Reg. UE 2024/1689), proteggere i dati e dare al team regole chiare che legga davvero. Qui trovi il template pronto da copiare, le sezioni spiegate e la checklist di verifica.
Perche una PMI ha bisogno di una policy AI (anche se e piccola)
Se nella tua azienda qualcuno usa ChatGPT, Copilot, Gemini o Claude stai gia esponendoti. Senza un documento che regoli cosa si puo e cosa no, ogni prompt e una decisione individuale e ogni output e un rischio non tracciato.
Secondo l’Osservatorio Artificial Intelligence del Politecnico di Milano, solo il 9% delle grandi imprese italiane ha processi di AI governance strutturati; fra le PMI la quota crolla. Il mercato italiano dell’AI ha superato i 760 milioni di euro nel 2024, con una crescita del 52%, ma appena il 18% delle PMI adotta soluzioni AI strutturate contro il 61% delle grandi aziende. Il divario non e tecnologico: e di governance.
L’AI Act impone dal 2 febbraio 2025 l’obbligo di AI literacy per tutto il personale che usa sistemi AI; dal 2 agosto 2026 scattano gli obblighi completi per i sistemi ad alto rischio e la governance documentale. L’articolo 26, comma 7, aggiunge un obbligo spesso dimenticato: prima di mettere in uso un sistema AI ad alto rischio sul lavoro, il datore di lavoro deve informare rappresentanti sindacali e lavoratori interessati. Una policy AI scritta e il modo piu semplice per dimostrare di avere fatto quel passaggio.
La buona notizia: non ti serve un manuale di quaranta pagine a quattromila euro. Una PMI ha bisogno di un documento di una pagina, chiaro, operativo, che il team legga davvero.
Le 10 sezioni che una policy AI aziendale deve contenere
Prima di vedere il template, la logica. Una policy AI efficace per PMI copre dieci punti; nel template li trovi condensati.
- Scopo e base normativa - perche esiste, a quale regolamento risponde.
- Ambito di applicazione - chi e coinvolto (dipendenti, collaboratori, freelance, fornitori con accesso).
- Strumenti autorizzati - la lista chiusa degli AI approvati, con versione e tier.
- Dati vietati o limitati - le categorie che non devono entrare nei prompt.
- Livelli di review degli output - il semaforo verde/giallo/rosso.
- Diritti d’autore e proprieta intellettuale - cosa si puo pubblicare, cosa no.
- Responsabilita e owner - chi risponde di ogni caso d’uso.
- Formazione e AI literacy - chi e come riceve il briefing obbligatorio.
- Segnalazione incidenti - canale, tempi, cosa conservare.
- Sanzioni interne e revisione - cosa succede se non si rispetta e ogni quanto si aggiorna.
Queste dieci voci derivano dagli obblighi dei deployer nell’AI Act (art. 26) e dalle best practice del framework descritto nel libro Intelligenza Artigianale.
Il template: policy AI aziendale in una pagina (copia-incolla)
Questo e il template pronto. Copialo in un documento Word o Google Docs, compila le parentesi quadre e firmalo.
POLICY SULL'USO DELL'INTELLIGENZA ARTIFICIALE
[Nome azienda] - Versione [1.0] - Data: [gg/mm/aaaa]
1. SCOPO
Questa policy stabilisce le regole per l'uso di strumenti di intelligenza
artificiale all'interno di [Nome azienda]. Risponde agli obblighi del
Regolamento UE 2024/1689 (AI Act) e del Regolamento UE 2016/679 (GDPR).
2. AMBITO
Si applica a dipendenti, collaboratori, consulenti, freelance e fornitori
che abbiano accesso a dati, sistemi o account aziendali. Copre l'uso di
AI generativa, assistenti, agenti e connettori documentali.
3. STRUMENTI AUTORIZZATI
Strumenti AI approvati per uso aziendale:
- [ChatGPT Enterprise / Team]
- [Microsoft Copilot for Business]
- [Altro strumento con versione e tier]
L'uso di strumenti non in elenco richiede approvazione scritta di [referente].
Connettori, sync documentali e agenti devono essere approvati separatamente.
4. DATI VIETATI
Non inserire mai in strumenti AI: dati personali di clienti o dipendenti,
dati finanziari riservati, segreti commerciali, dati sanitari, contenuti
soggetti a NDA, codice sorgente proprietario, password e credenziali.
Per dati interni non sensibili vale il principio di minimizzazione.
5. LIVELLI DI REVIEW
- Verde: uso interno a basso impatto (bozze, sintesi riunioni) - review leggera.
- Giallo: impatto esterno (email commerciali, offerte) - verifica obbligatoria.
- Rosso: alto rischio (contratti, HR, legale, reclami) - validazione senior.
6. DIRITTI D'AUTORE E PROPRIETA INTELLETTUALE
Gli output generati da AI vanno verificati contro plagio e citazioni non
autorizzate. Nessun contenuto AI viene pubblicato come opera originale
senza revisione umana. I prompt e gli output che contengono know-how
aziendale sono proprieta di [Nome azienda].
7. RESPONSABILITA E OWNER
Ogni caso d'uso AI ricorrente ha un owner con nome e cognome che risponde
di: qualita del prompt, criteri di review, aggiornamento del flusso,
metriche. Owner attivi: [elenco caso d'uso - owner].
8. FORMAZIONE
Chiunque usi strumenti AI deve completare la formazione base su questa
policy entro [N] giorni dall'assunzione o dall'introduzione di un nuovo
strumento. Il registro formazione e tenuto da [responsabile].
9. SEGNALAZIONE INCIDENTI
Errori rilevanti, output scorretti inviati a terzi, uso di dati non
consentiti vanno segnalati a [referente] via [canale] entro 24 ore.
Non cancellare prompt, output o log: conservare l'evidenza.
10. SANZIONI INTERNE E REVISIONE
La violazione della policy comporta: richiamo verbale, richiamo scritto,
procedimento disciplinare secondo CCNL applicabile. La policy e rivista
ogni [trimestre], dopo ogni incidente rilevante e a ogni nuovo strumento.
Firma responsabile: __________________ Data: __________
Firma dipendente per presa visione: __________________ Data: __________Questo documento, stampato e firmato, e la base minima che puoi mostrare a un auditor, a un RSPP o al tuo legale per dimostrare di avere fatto governance AI.
Dati sensibili, GDPR e AI: dove sta il rischio vero
La sezione 4 del template e quella dove si gioca la partita GDPR. Inserire dati personali di clienti o dipendenti in uno strumento AI pubblico significa trasferire dati a un responsabile non contrattualizzato, spesso fuori dall’UE, senza base giuridica. Secondo la struttura di valutazione descritta nella guida a come proteggere i dati sensibili dell’azienda quando si usa l’AI, ogni strumento va classificato per residenza dati, uso per addestramento e controlli di accesso prima di entrare nella lista degli approvati.
Applica il principio di minimizzazione: chiediti sempre se il prompt puo funzionare con dati anonimizzati o aggregati. Una PMI manifatturiera da 40 dipendenti in Brianza che genera preventivi con AI non deve incollare il CF del cliente: basta il settore, la quantita, la geografia. Una classificazione in quattro classi (pubblico, interno non sensibile, riservato, sensibile/regolato) risolve la maggior parte dei casi.
| Classe | Esempio | Regola d’uso |
|---|---|---|
| Pubblico | Comunicati stampa, listini | Utilizzabile senza restrizioni |
| Interno non sensibile | Note meeting, bozze | Ammesso con strumenti approvati |
| Riservato | Offerte, strategie commerciali | Minimizzazione e owner esplicito |
| Sensibile o regolato | Dati clienti, HR, sanitari | Vietato senza procedura dedicata |
Responsabilita: chi risponde di cosa
“Siamo tutti responsabili” significa che nessuno lo e. La policy deve assegnare nomi. In una PMI fino a 30 dipendenti bastano tre ruoli:
- Policy owner (di solito il titolare o un C-level): approva la policy, gli strumenti, i casi d’uso a rischio rosso.
- AI champion operativo (spesso chi ha piu dimestichezza con gli strumenti): aggiorna il registro, risponde alle domande, cura la formazione. Il ruolo dell’AI champion aziendale e descritto in modo operativo in una guida dedicata.
- Owner del caso d’uso: per ogni processo ricorrente (es. generazione email follow-up), una persona che tiene vivo il prompt, la review e le metriche.
Senza questa tripletta ogni policy degenera a documento morto in tre mesi.
Sanzioni interne e sanzioni AI Act: due piani diversi
Le sanzioni interne (sezione 10 del template) sono la leva disciplinare: servono perche i dipendenti sappiano che la policy non e un consiglio. Usa le categorie del tuo CCNL, non inventare tribunali aziendali.
Le sanzioni AI Act, invece, colpiscono l’impresa: per la violazione degli obblighi dei deployer di cui all’articolo 26 si arriva fino a 15 milioni di euro o il 3% del fatturato mondiale annuo (si applica l’importo piu alto, ma alle PMI l’importo piu basso). Per i divieti violati si sale fino a 35 milioni o 7% del fatturato. La Legge 23 settembre 2025, n. 132 ha reso operativo l’apparato sanzionatorio a livello italiano.
Una policy AI scritta non azzera queste sanzioni, ma le riduce drasticamente: dimostra diligenza, riduce la colpa e crea il presupposto per l’attenuazione. Per una rassegna completa leggi AI Act: scadenze 2026 per le PMI e quanto costa non adeguarsi.
Come comunicare la policy al team (e farla leggere davvero)
Una policy che sta in un cassetto non protegge nessuno. Ecco il protocollo che funziona nelle PMI:
- Stampa. Una pagina si stampa. Appendila dove il team la vede (sala mensa, bacheca, stanza stampanti).
- Briefing di 30 minuti. Presenta la policy in riunione, non via email. Rispondi alle domande dal vivo.
- Firma per presa visione. Ogni dipendente firma. Archivia le firme.
- Onboarding. Inseriscila nei documenti del primo giorno per i nuovi assunti.
- Reminder trimestrale. Una email corta ogni tre mesi con gli aggiornamenti e il link al registro strumenti.
Per il registro dei tool collegato alla policy, segui la guida al registro degli strumenti AI in azienda: e il complemento operativo naturale.
Quando aggiornare la policy
Tre trigger automatici:
- Nuovo strumento approvato o rimosso. Aggiorna la sezione 3 e comunica il cambiamento.
- Incidente rilevante. Dopo ogni segnalazione che ha prodotto danno (dati trapelati, output scorretto inviato), fai una revisione straordinaria.
- Revisione trimestrale anche se non e successo nulla. Bastano 30 minuti: controlli se qualche versione degli strumenti e cambiata, se ci sono nuovi casi d’uso senza owner, se la formazione e aggiornata.
Secondo i dati dell’Osservatorio Digital Innovation del PoliMi, le imprese che rivedono i documenti di governance almeno due volte l’anno hanno tassi di incidente significativamente piu bassi di quelle che li aggiornano “quando serve”.
Esempio PMI: policy in 90 minuti
Uno studio commercialista da 12 persone a Verona ha scritto la sua prima policy AI in un pomeriggio: 30 minuti per fare l’inventario degli strumenti gia in uso (scoprendo che tre collaboratori usavano ChatGPT free con dati clienti - classica shadow AI), 30 minuti per compilare il template, 30 minuti di briefing con il team. Risultato: strumenti pubblici sostituiti con un account ChatGPT Team, owner nominati per due casi d’uso (prima nota e sintesi riunioni clienti), registro formazione avviato. Costo: zero consulenze, una licenza software.
Una PMI manifatturiera da 45 dipendenti nel vicentino ha fatto lo stesso percorso ma ha aggiunto un passaggio: riunione con il RSU per comunicare formalmente l’introduzione degli strumenti AI, in linea con l’articolo 26 comma 7 dell’AI Act. Tempo totale: tre ore distribuite su due settimane. Documento unico: questa pagina.
Checklist di verifica della policy
Prima di considerare la tua policy pronta, passa questi otto controlli:
- La policy sta davvero in una pagina A4 stampata?
- Sono elencati strumenti AI specifici (con versione/tier), non categorie generiche?
- Le categorie di dati vietati sono concrete, non astratte?
- Ogni caso d’uso attivo ha un owner con nome e cognome?
- Il canale di segnalazione incidenti e operativo (non una email generica info@)?
- E previsto un trigger di revisione temporale (trimestrale) e uno eventuale (incidente)?
- Tutti i dipendenti hanno firmato per presa visione?
- La policy richiama esplicitamente AI Act e GDPR?
Se tutti gli otto punti sono “si”, hai una policy AI aziendale pronta all’uso. Se manca qualcosa, si completa in meno di un’ora.
Per un quadro piu ampio di cosa deve coprire la governance oltre la policy, leggi governance AI per PMI: le regole minime.
Domande frequenti
Una PMI con 10 dipendenti e davvero obbligata ad avere una policy AI?
L’obbligo formale di “avere una policy” non e scritto cosi nell’AI Act. Ma gli obblighi di AI literacy (art. 4, gia in vigore dal febbraio 2025), di informazione ai lavoratori per sistemi ad alto rischio (art. 26, c. 7) e di supervisione umana richiedono un documento interno che dimostri di averli rispettati. Una policy di una pagina e il modo piu economico di soddisfarli.
La policy deve essere firmata dai dipendenti?
Non e un obbligo di legge, ma e fortemente consigliato. La firma per presa visione crea la prova che il dipendente conosceva le regole. In caso di incidente, e la differenza fra colpa aziendale e comportamento individuale difforme dalla policy.
Posso usare un template scaricato da internet senza modifiche?
No. Un template generico non tiene conto dei tuoi strumenti reali, dei tuoi casi d’uso, dei tuoi dati. Serve come struttura, ma va sempre compilato con le informazioni della tua impresa. Una policy non personalizzata e solo carta.
Chi deve scrivere la policy AI, l’IT o il legale?
Nessuno dei due da solo. Lo schema che funziona meglio: bozza operativa fatta da chi usa davvero gli strumenti (spesso l’AI champion o il titolare), revisione legale per i riferimenti normativi, validazione finale del management. Escludere le persone che usano l’AI tutti i giorni produce documenti inapplicabili.
Cosa succede se un dipendente viola la policy?
Dipende dalla gravita. Per violazioni minori (uso di uno strumento non approvato senza danno) un richiamo verbale e la rifirma della policy sono sufficienti. Per violazioni gravi (dati sensibili in strumenti pubblici, output scorretti inviati a clienti) si attivano le procedure disciplinari previste dal CCNL. Se la violazione ha prodotto un data breach, scattano anche gli obblighi di notifica al Garante entro 72 ore.
La policy AI sostituisce il DPIA per il GDPR?
No. Sono documenti diversi: la policy definisce le regole di uso interno, il DPIA (Data Protection Impact Assessment) valuta l’impatto sui diritti degli interessati per trattamenti ad alto rischio. Se introduci un sistema AI che tratta dati personali su scala significativa, oltre alla policy ti serve anche un DPIA.
Il primo passo, oggi
La domanda operativa e una sola: se domani un dipendente inserisse per errore dati sensibili di un cliente in uno strumento AI non autorizzato, avresti un documento che dimostra che la tua azienda aveva dato regole chiare?
Se la risposta e no, hai il template. Compilalo, stampalo, condividilo. Trenta minuti di lavoro e la tua PMI ha una base di governance AI concreta. Per il percorso completo - policy, registro strumenti, formazione, casi d’uso, metriche - nel libro Intelligenza Artigianale trovi il sistema integrato, inclusi i template complementari per procurement, escalation e review mensile.
Fonti istituzionali utili: il testo dell’articolo 26 dell’AI Act sugli obblighi dei deployer e i report degli Osservatori Digital Innovation del Politecnico di Milano per i dati aggiornati sull’adozione AI nelle imprese italiane.
