Policy AI: guida al regolamento aziendale sull’IA conforme

In sintesi

  • Una policy AI è il documento interno che fissa le regole con cui un’organizzazione costruisce, acquista e utilizza l’intelligenza artificiale. Non è una presentazione strategica e non è una pagina di buoni propositi.
  • Il regolamento aziendale sull’IA è ormai un artefatto di conformità: la ISO/IEC 42001 lo rende obbligatorio (Clausola 5.2) e l’obbligo di alfabetizzazione dell’EU AI Act (Articolo 4) vincola fornitori e deployer dal 2 febbraio 2025.
  • Il documento funziona solo quando è cablato dentro un modello operativo: un inventario dei sistemi di IA, controlli che applicano le regole e prove documentali che ne attestano il rispetto.
  • Vietare gli strumenti senza offrire alternative autorizzate è la via più rapida per alimentare la shadow AI. Un buon regolamento incanala i comportamenti, non si limita a proibirli.
  • Ciò che separa una policy che supera un audit da una che fallisce è l’applicabilità: responsabili nominati, una cadenza di revisione e una linea tracciabile che collega ogni regola a un controllo.
Diagramma di una policy AI collegata a inventario dei sistemi di IA, controlli e prove documentali

Cos’è una policy AI e cosa non è

Una policy AI è il documento di governo che stabilisce come un’organizzazione è autorizzata a sviluppare, acquistare e utilizzare l’intelligenza artificiale, e chi ne risponde quando quelle regole vengono infrante. La policy traduce impegni astratti sull’IA responsabile in istruzioni che un dipendente, un collaboratore esterno o un responsabile acquisti possono davvero seguire un martedì mattina, davanti a una scelta concreta. Tre documenti vengono spesso confusi, e tenerli distinti è il primo passo per redigerne uno solido:

  • Una strategia sull’IA descrive che cosa l’organizzazione vuole ottenere con l’intelligenza artificiale. È direzionale e aspirazionale.
  • Una policy descrive le regole che vincolano il modo in cui l’IA può essere usata per arrivarci. È prescrittiva e vincolante.
  • Le linee guida o gli standard descrivono il come nel dettaglio. Stanno sotto la policy e spiegano, per esempio, come classificare un dato prima che entri in un modello.

Un regolamento scritto come una presentazione strategica è la modalità di fallimento più diffusa. Affermazioni del tipo «useremo l’IA in modo etico» non sono regole, perché nessuno potrà mai essere trovato in violazione. Una regola dice chi può fare cosa, con quali sistemi, usando quali dati, sotto quale supervisione e che cosa accade in caso contrario. Il perimetro va oltre ciò che la maggior parte delle prime bozze immagina. Deve coprire dipendenti e collaboratori, l’IA che l’azienda costruisce e quella che semplicemente utilizza, i modelli incorporati in software di terze parti e i dati che entrano ed escono da quei sistemi. La ISO/IEC 42001, lo standard internazionale di gestione per l’IA, tratta la policy come la dichiarazione di intenti di più alto livello che il resto del sistema di gestione attua nella pratica. Un regolamento che vincola solo il personale a tempo pieno, o solo gli strumenti sviluppati internamente, lascia scoperta l’esposizione più grande. Per il quadro d’insieme di come il documento si colloca accanto agli altri artefatti di governo, si veda la nostra guida alla governance dell’IA.

Perché una policy AI è ora un requisito di conformità

Per anni un regolamento sull’IA è stato una questione di buona igiene interna. Le cose sono cambiate. Oggi tre forze normative rendono un regolamento documentato e applicato qualcosa che un auditor, un’autorità o un cliente enterprise possono chiedervi di esibire.

EU AI Act: alfabetizzazione e trasparenza diventano obblighi

L’Articolo 4 dell’EU AI Act impone a fornitori e deployer di garantire un livello sufficiente di alfabetizzazione in materia di IA tra il personale e chiunque operi sistemi di IA per loro conto. L’obbligo si applica dal 2 febbraio 2025 e vale a prescindere dal fatto che i sistemi siano ad alto rischio o a rischio minimo. Non potete dimostrare che la vostra forza lavoro usa l’IA in modo responsabile se manca una dichiarazione scritta di che cosa significhi «uso responsabile». È nel regolamento che quella dichiarazione vive, ed è la sede naturale della formazione che l’Articolo 4 presuppone. Altri due articoli plasmano ciò che il documento deve dire. L’Articolo 50 fissa obblighi di trasparenza, tra cui informare le persone quando interagiscono con un sistema di IA e marcare i contenuti sintetici. L’Articolo 5 elenca le pratiche vietate che nessuna organizzazione può mettere in campo. Un regolamento serio blocca in modo rigido le pratiche dell’Articolo 5 e codifica gli obblighi informativi dell’Articolo 50 come regole permanenti, non come decisioni caso per caso. La posta in gioco è concreta: le sanzioni dell’Articolo 99 arrivano fino a 15 milioni di euro o il 3% del fatturato annuo globale per la maggior parte degli obblighi, e fino a 35 milioni di euro o il 7% per le pratiche vietate dell’Articolo 5, secondo l’analisi di Latham and Watkins. La nostra guida operativa all’EU AI Act ripercorre gli obblighi in sequenza.

ISO/IEC 42001, Clausola 5.2: una policy AI documentata

Se l’EU AI Act è il bastone, la ISO/IEC 42001 è la certificazione che dimostra di avere un sistema di governance degno di fiducia. Lo standard, pubblicato a dicembre 2023, è il primo standard certificabile per un sistema di gestione dell’IA. La sua Clausola 5.2 richiede all’alta direzione di stabilire un regolamento documentato sull’IA, coerente con le finalità dell’organizzazione, che fissi un quadro per gli obiettivi e si impegni al miglioramento continuo. In altre parole, sotto la 42001 il regolamento non è una prova facoltativa: è un requisito esplicito che l’auditor verifica. Il nostro approfondimento sullo standard ISO 42001 e i sistemi AIMS illustra la più ampia struttura delle clausole.

NIST AI RMF, leggi statunitensi e il contesto italiano

Negli Stati Uniti, il NIST AI RMF (il framework di gestione del rischio dell’intelligenza artificiale) incardina la propria funzione Govern sull’allineamento tra politiche, procedure e principi organizzativi, e lo stesso crosswalk verso la ISO 42001 pubblicato dal NIST mappa quella funzione direttamente sulle clausole di leadership e di policy dello standard. Anche il diritto interno si muove: il Colorado AI Act impone obblighi a sviluppatori e deployer di sistemi ad alto rischio impiegati in decisioni rilevanti, e le regole di New York City sull’audit dei bias per gli strumenti automatizzati di selezione del personale richiedono già una governance documentata. In Italia, poi, il quadro è presidiato dal Garante per la protezione dei dati personali sul versante del trattamento dei dati e dall’AgID sul versante delle linee guida per la pubblica amministrazione: un regolamento che mappa le proprie sezioni su questi regimi viaggia bene tra le giurisdizioni. La nostra guida al NIST AI RMF spiega nella pratica le funzioni Govern, Map, Measure e Manage.

Cosa deve contenere una policy AI efficace

I template aziendali convergono su un indice familiare. Ciò che distingue un regolamento che sopravvive a un audit da uno che soccombe è se ogni sezione si aggancia a un obbligo e a un controllo. Le sezioni qui sotto sono quelle che un documento maturo porta con sé, con accanto l’obbligo a cui ciascuna risponde.

  • Finalità e perimetro. Dichiarare perché la policy esiste e chi e cosa vincola esattamente: personale, collaboratori, sistemi costruiti, sistemi acquistati e i dati coinvolti.
  • Principi. Codificare i valori dell’organizzazione e la base legale. Tenerli brevi e verificabili, collegando ciascuno a una regola a valle anziché lasciarli come slogan. Sono i principi che la nostra guida all’IA etica traduce in pratica.
  • Uso consentito e uso vietato. Nominare gli strumenti autorizzati e i casi d’uso approvati, e quelli fuori limite. È qui che le pratiche vietate dell’Articolo 5 diventano blocchi rigidi.
  • Dati, riservatezza e proprietà intellettuale. Fissare le regole su quali dati possono entrare in un modello, come vengono trattati i dati personali e dei clienti e a chi appartengono gli output.
  • Supervisione umana e responsabilità. Definire dove un essere umano deve restare dentro o sopra il processo, e chi risponde per ogni classe di decisione.
  • Trasparenza e informativa. Codificare gli obblighi dell’Articolo 50: dichiarare l’interazione con l’IA, etichettare i contenuti sintetici e documentare l’uso dei modelli dove richiesto.
  • Approvvigionamento e IA di terze parti. Imporre che i modelli acquistati e i fornitori con funzionalità di IA siano valutati prima dell’uso, così che i sistemi esterni ereditino le stesse regole.
  • Segnalazione degli incidenti. Dare alle persone un percorso definito per segnalare un output dannoso, una fuga di dati o un abuso, con tempistiche precise.
  • Ruoli e responsabilità. Assegnare un titolare della policy, un approvatore e il dirigente responsabile, idealmente in una semplice matrice RACI.
  • Applicazione. Dichiarare le conseguenze di una violazione, perché il documento abbia denti.
  • Cadenza di revisione e versionamento. Fissare un intervallo di revisione stabilito e una cronologia delle versioni, perché un regolamento statico è già superato entro un trimestre.

Un documento che porta queste undici sezioni e mappa ciascuna su una norma e su un controllo non è più un promemoria delle risorse umane. È il vertice di un sistema di governance.

Dal documento all’applicazione: rendere la policy verificabile

Ecco la verità scomoda che le guide aziendali meglio posizionate saltano: una policy che non potete applicare è teatro. L’auditor non valuta la prosa. Vi chiede di provare che le regole sono state rispettate, su un sistema nominato, in una data nominata. Quella prova richiede tre cose che il solo documento non può fornire. La prima è un inventario. Non potete applicare una regola a sistemi di IA che non riuscite a vedere. Un registro dei sistemi di IA, un archivio vivo di ogni modello, caso d’uso, dataset e integrazione presenti nell’organizzazione, è il substrato che rende il regolamento operabile. Senza di esso, «ogni uso dell’IA deve essere approvato» è un desiderio inapplicabile, perché nessuno sa quale IA sia effettivamente in uso. È anche per questo che il regolamento è il controllo primario contro la shadow AI: gli strumenti non autorizzati che il personale adotta di nascosto sono esattamente quelli che una policy più un inventario dovrebbero far emergere. La seconda sono i controlli. Ogni regola della policy dovrebbe mappare su un controllo che la rende operativa. «È richiesta la supervisione umana per le decisioni di assunzione» diventa un controllo con un responsabile, una procedura e un checkpoint. La policy dichiara l’intento; il controllo lo fa accadere. La terza sono le prove. Ogni controllo dovrebbe produrre un record: un’approvazione, un log, una revisione completata. La prova è ciò che trasforma un’affermazione in una posizione difendibile quando un’autorità o un acquirente enterprise lo domandano. Una piattaforma come AI Sigil esiste per chiudere questo anello, collegando il regolamento a un registro dei sistemi di IA, ai controlli fondazionali e alle prove che ogni controllo genera. La policy è il punto di ingresso; il modello operativo è ciò che un audit ispeziona davvero.

Come scrivere e implementare una policy AI in 8 passi

Non serve un programma di sei mesi per pubblicare una prima versione. Servono una sequenza disciplinata e un responsabile nominato.

  1. Mappare gli stakeholder. Riunire ufficio legale, sicurezza, protezione dei dati, risorse umane e le business unit che costruiscono o acquistano IA. Un regolamento scritto dal solo ufficio legale verrà ignorato dall’ingegneria.
  2. Inventariare l’uso attuale dell’IA. Prima di scrivere le regole, scoprire cosa è già in gioco, compresi gli strumenti che il personale ha adottato senza chiedere. Questo inventario è la realtà che la vostra policy dovrà governare.
  3. Fissare i principi e la base legale. Ancorare il documento ai vostri valori e ai regimi che vi si applicano: EU AI Act, ISO 42001, NIST AI RMF e qualsiasi legge settoriale o statale.
  4. Redigere le sezioni. Usare lo scheletro delle undici sezioni qui sopra e scrivere regole, non aspirazioni. Mappare ciascuna sezione su un obbligo e un controllo.
  5. Definire in concreto uso consentito e uso vietato. Nominare strumenti autorizzati e casi d’uso approvati. I divieti vaghi spingono le persone verso la shadow AI.
  6. Assegnare responsabili e una RACI. Ogni regola ha bisogno di qualcuno che ne risponda, e il documento ha bisogno di un unico titolare che lo mantenga.
  7. Formare e comunicare. Diffondere il regolamento insieme alla formazione sull’alfabetizzazione in materia di IA che l’Articolo 4 presuppone, così che il personale comprenda non solo le regole ma anche il ragionamento. La nostra guida a come costruire un framework di governance dell’IA mostra come la formazione si inserisce nel programma più ampio.
  8. Fissare una cadenza di revisione e misurare. Stabilire un intervallo di revisione, monitorare adozione e incidenti e aggiornare la policy man mano che strumenti e leggi cambiano.

Errori ricorrenti nelle policy AI

La maggior parte dei regolamenti deboli fallisce nello stesso ristretto ventaglio di modi.

  • Copia e incolla senza inventario. Un template adottato senza un registro dei sistemi di IA che dica quale IA sia realmente in uso governa una finzione.
  • Vietare gli strumenti senza alternative. Se il percorso autorizzato è più lento di quello ombra, il personale imbocca il percorso ombra. Fornire strumenti approvati, non solo divieti.
  • Nessun responsabile nominato. Un documento che nessuno mantiene è superato nel momento stesso in cui esce un nuovo modello.
  • Nessuna cadenza di revisione. Capacità dell’IA e normativa si muovono entrambe su base trimestrale. Una revisione annuale è già troppo lenta.
  • Nessuna prova. Un regolamento senza controlli a supporto non produce nulla che un auditor possa ispezionare, il che significa che fallisce esattamente quando conta.

Domande frequenti

Una policy AI è obbligatoria per legge? Dipende da dove operate e da cosa fate, ma la direzione è a senso unico. La ISO/IEC 42001 rende un regolamento sull’IA documentato obbligatorio ai fini della certificazione, e l’obbligo di alfabetizzazione dell’Articolo 4 dell’EU AI Act, in vigore dal febbraio 2025, di fatto impone di dichiarare e insegnare l’uso responsabile. Leggi statunitensi come il Colorado AI Act aggiungono obblighi di governance documentata per gli usi a rischio più elevato. Anche dove nessuna singola legge nomina la parola «regolamento», non potete dimostrare la conformità a questi regimi senza averne uno. Che differenza c’è tra una policy sull’IA e un framework di governance dell’IA? Il regolamento è il libro delle regole di più alto livello: cosa è consentito, chi ne risponde, cosa accade in caso di violazione. Il framework è il modello operativo più ampio che lo attua, e comprende l’inventario, i controlli, i comitati e le prove. La policy dichiara l’intento; il framework lo rende reale. Un documento senza framework è inapplicabile, e un framework senza documento non ha una stella polare. Chi dovrebbe essere responsabile del regolamento aziendale sull’IA? Un unico responsabile designato, sostenuto da un gruppo interfunzionale. Nella pratica il titolare siede spesso nell’ufficio legale, nella compliance o in una funzione dedicata di governance dell’IA, con l’apporto di sicurezza, protezione dei dati, risorse umane e ingegneria. Ciò che conta è che una persona nominata mantenga il documento e un dirigente nominato ne risponda. Ogni quanto va rivista una policy sull’IA? Almeno ogni trimestre per le organizzazioni che si muovono in fretta, e immediatamente quando viene adottato un nuovo strumento rilevante o cambia una legge pertinente. Capacità dell’IA e normativa si spostano molto più velocemente del ciclo annuale che la maggior parte dei regolamenti aziendali presuppone. Inserite l’intervallo di revisione e una cronologia delle versioni nel documento stesso. In che modo il regolamento aziendale sull’IA aiuta contro la shadow AI? La shadow AI è l’uso non governato di strumenti di IA di cui l’IT e la governance non sono a conoscenza. Il regolamento la affronta su due fronti: definisce strumenti autorizzati e casi d’uso approvati, così che il personale abbia un percorso legittimo, e, abbinato a un inventario dell’IA, dà all’organizzazione un modo per individuare e ricondurre sotto controllo l’uso non autorizzato. Un divieto senza alternativa autorizzata peggiora la shadow AI, non la migliora. Cosa deve includere una policy sull’IA per soddisfare l’EU AI Act? Come minimo: una dichiarazione di uso responsabile e l’impegno di alfabetizzazione dietro l’Articolo 4, le regole di trasparenza e informativa dell’Articolo 50, i divieti rigidi sulle pratiche dell’Articolo 5 e una mappatura degli usi dell’IA sulla rispettiva categoria di rischio, così che i sistemi a rischio più elevato ricevano la supervisione che il regolamento europeo richiede. Legate ciascuno di questi elementi a un controllo e a un responsabile, così che gli impegni siano verificabili anziché dichiarativi.

Conclusione

Una policy AI è l’artefatto più piccolo che rende reale la governance dell’IA, e il più facile da sbagliare. Scritta come una pagina di principi, non cambia nulla. Scritta come un insieme di regole, mappata su EU AI Act, ISO 42001 e NIST AI RMF, e cablata dentro un inventario, dei controlli e delle prove, diventa il punto di ingresso a un sistema di governance di cui un auditor e un cliente possono fidarsi. Partite dalle undici sezioni, nominate un responsabile, fissate una cadenza di revisione e collegate ogni regola a qualcosa che dimostri che è stata rispettata. Se volete che il documento faccia più che restare in una cartella condivisa, costruitelo su un modello operativo capace di applicarlo. Scoprite come AI Sigil trasforma un regolamento in governance dell’IA che potete comprovare.

Policy AI: guida al regolamento aziendale sull’IA conforme

Una policy AI efficace non è teatro: è il regolamento aziendale sull'IA cablato in inventario, controlli e prove e mappato su EU AI Act, ISO 42001 e NIST.

Leggi sull’intelligenza artificiale nel 2026: le regole globali e come rispettarle

Guida chiara alle leggi sull'intelligenza artificiale nel 2026: regolamento UE, mosaico degli Stati USA e regole globali, con un modello operativo di conformità.

Bias dell’IA: tipi, esempi reali e governance

Il bias dell'IA è ora un obbligo documentato con l'AI Act e la ISO 42001. Tipi, esempi reali e metodi per rilevarlo, mitigarlo e governarlo.

IA per finalità generali (GPAI) e l’AI Act europeo

Cosa definisce un modello di IA per finalità generali, le soglie di 10^23 e 10^25 FLOP e gli obblighi degli articoli 53 e 55 dell'AI Act europeo.

Spiegabilità dell’IA: guida a conformità e governance

La spiegabilità è ora un obbligo del regolamento sull'IA. Cosa significa, come si distingue dall'interpretabilità e come dimostrarla nella governance.

Sistema di gestione della conformità: la guida nell’era dell’IA

Un sistema di gestione della conformità trasforma regole sparse in un programma verificabile. Elementi, ISO 37301 e ciò che l'IA cambia.