di Andrea Boscaro
Divulgatore esperto di Intelligenza artificiale
Partner The Vortex

Con l’adozione crescente dei chatbot basati sulla Intelligenza Artificiale Generativa - strumenti come ChatGPT, Gemini o Copilot - le organizzazioni si trovano oggi tanto di fronte ad opportunità da cogliere quanto a rischi da cui cautelarsi. Da un lato, questi strumenti promettono di incrementare l’efficienza operativa, supportando la redazione di documenti, facilitando l’analisi dei dati e velocizzando le comunicazioni. Dall’altro, pongono nuove e complesse sfide in materia di conformità normativa, gestione del rischio e protezione della reputazione aziendale. 

Sempre più frequentemente infatti, anche se in azienda vi sono progetti specifici fondati sull’Intelligenza Artificiale, i dipendenti si servono in modo autonomo di questi strumenti, anche al di fuori di progetti formalmente avviati dall’organizzazione. Questo scenario, apparentemente spontaneo, richiede però una risposta strutturata. Disciplinare internamente l’uso della Generative AI non è soltanto una buona pratica: è un passaggio necessario per prevenire comportamenti non intenzionalmente scorretti, evitando violazioni normative e garantendo la coerenza tra l’utilizzo quotidiano della tecnologia e i valori aziendali. Dotarsi di un regolamento interno non equivale a bloccare l’innovazione, ma a costruire un quadro di riferimento chiaro che possa orientarla in modo sicuro, trasparente e conforme. 

L’impiego di chatbot AI può infatti comportare rischi significativi: dall’elaborazione illecita di dati personali e documenti aziendali riservati, alla generazione di contenuti imprecisi, discriminatori o inappropriati, passando per l’adozione di decisioni operative basate su testi non verificati e informazioni non aggiornate. Anche il semplice utilizzo di piattaforme comporta, per la funzione di compliance, una serie di interrogativi su aspetti quali il trasferimento dei dati, la conservazione delle informazioni e la possibilità di effettuare il controllo dei processi. 

Anche se ancora l’AI Act europeo non si è tradotto in una serie di regolamenti puntuali e mentre un disegno di legge nazionale è al vaglio del Parlamento, un regolamento interno efficace dovrebbe fin d’ora definire con precisione l’ambito di applicazione, includendo anche l’uso occasionale di AI da parte dei dipendenti, e stabilire che ogni utilizzo debba essere coerente con la normativa sulla protezione dei dati personali, con i principi di trasparenza e responsabilità, e con l’obbligo di supervisione umana. Deve inoltre introdurre criteri chiari per distinguere ciò che può essere condiviso con questi strumenti da ciò che deve rimanere protetto, vietando espressamente l’elaborazione di documenti classificati, dati sensibili o informazioni strategiche attraverso canali non autorizzati. 

Altrettanto centrale è la promozione di una cultura organizzativa orientata alla consapevolezza e alla responsabilità. La formazione continua sull’uso dell’AI, la revisione dei contenuti generati, la trasparenza nell’adozione di strumenti esterni, il monitoraggio dell’evoluzione normativa e l’allineamento con gli standard etici rappresentano componenti indispensabili di un approccio di governance maturo. È fondamentale che anche i fornitori esterni di tecnologie AI siano selezionati e valutati secondo criteri che ne garantiscano l’affidabilità tecnica e la compatibilità con le policy aziendali mentre è possibile formare i dipendenti ad un uso attento degli strumenti più noti che, sollecitati dalle Authority nazionali, stanno integrando funzioni di tutela dei dati e delle informazioni confidenziali che debbono pertanto essere conosciute e utilizzate. 

L’uso dei chatbot di Intelligenza Artificiale Generativa equivale a riconoscere che la tecnologia, per quanto avanzata, non può essere gestita solo a valle, come risposta a incidenti o abusi. Va invece accompagnata fin dall’inizio da un disegno organizzativo in cui i ruoli, le responsabilità e i limiti siano espliciti. Solo così l’AI può diventare uno strumento realmente abilitante, e non un fattore di rischio sommerso. 

Adottare una policy interna su questi temi non è dunque una scelta tecnica, ma un’affermazione culturale: significa rifiutare una visione ingenua dell’innovazione e sostituirla con un approccio informato, critico e responsabile. L’etica dell’AI non si improvvisa: si costruisce nel tempo, attraverso decisioni chiare, formazione condivisa e un impegno trasversale che coinvolga tutta l’organizzazione, dal vertice alla base. In questo senso, regolamentare l’uso dei chatbot non è un vincolo, ma una forma evoluta di cura: per la sicurezza, per la reputazione, e per l’integrità dell’agire aziendale.