Una policy d’uso dell’AI non si scarica: è il modo in cui smetti di usarla a caso
Una policy d’uso dell’AI non è un documento legale da copiare: è l’insieme di poche regole condivise che trasformano un uso a caso in un uso deciso. Cosa può entrare in un prompt, quando un output va verificato, quali decisioni restano umane, quando dichiararlo. In una pagina, non trenta.
Un commercialista con tre persone in studio mi ha girato un file e mi ha chiesto se andava bene. Titolo: “Policy aziendale per l’uso dell’intelligenza artificiale”. Quattordici pagine, scaricato da un sito. Gli ho fatto una domanda sola: qualcuno dei tuoi lo ha letto?
Nessuno. Il documento parlava di governance algoritmica e di mitigazione del rischio sistemico, roba scritta bene, ma per un’azienda che non ha niente a che vedere con la sua. Intanto la ragazza alla reception incollava le anagrafiche dei clienti dentro un chatbot gratuito per farsi riscrivere le mail, e un collaboratore si fidava di ogni numero che il modello sputava fuori. La policy c’era. L’uso a caso pure. Le due cose non si erano mai incontrate.
Questo pezzo è il seguito pratico di un altro. In quando l’alfabetizzazione AI smette di essere un fatto personale spiegavo perché, nel momento in cui entra un team, la competenza sull’AI diventa un obbligo di squadra e non più una cosa tua. Qui rispondo alla domanda che arriva subito dopo: come lo scrivi nero su bianco senza produrre un documento che nessuno legge.
Perché scaricare un modello di policy non serve a niente
Un template legale generico è scritto per un’azienda che non sei tu. Copre rischi che non hai, usa un lessico che i tuoi non capiscono e non tocca le tre o quattro cose che fanno davvero ogni giorno. Una policy che non descrive il tuo lavoro reale è teatro. Serve a dire “ce l’abbiamo” se qualcuno chiede, non a cambiare un solo comportamento il lunedì mattina.
Il punto è questo: una policy d’uso non è un documento di conformità. È un accordo su come si lavora. Un accordo lo leggi, lo capisci, e sai cosa cambia per te. Un documento di conformità lo firmi e lo dimentichi. La differenza è tutto, perché solo la prima delle due modifica quello che le persone fanno quando aprono un modello e iniziano a scrivere.
Le cinque cose che una policy d’uso dell’AI deve dire davvero
Dopo aver visto parecchi setup, le regole che spostano qualcosa sono cinque. Non trenta. Si organizzano bene su una griglia che uso da tempo per ragionare su queste cose, il framework 4D dell’AI Fluency (elaborato dai professori Rick Dakan e Joseph Feller con Anthropic): delega, descrizione, discernimento, diligenza. Non serve conoscerlo per usare le regole. Serve solo per accorgersi che coprono cose diverse, e che se ne salti una la policy ha un buco.
1) Cosa può entrare in un prompt, e cosa no
È la regola che protegge di più, perché il danno qui è silenzioso. Un modello non è una cassaforte: quello che ci scrivi dentro può finire in posti che non controlli. La policy deve dire, in una riga, quali dati non entrano mai in uno strumento AI, i nomi e i dati dei clienti per primi. Ne ho scritto per esteso in cosa non scrivere in un prompt. In azienda non basta saperlo tu: deve saperlo chi materialmente scrive nei prompt, che spesso non sei tu.
2) Quando un output va verificato prima di usarlo
Un modello suona sempre sicuro, anche quando sbaglia. La policy deve dire quali output non escono mai senza un controllo umano: i numeri, le citazioni normative, i dati che finiscono in un preventivo o in una mail al cliente. Non tutto va verificato allo stesso modo, e la regola serve a distinguere. Il metodo per farlo l’ho descritto in come valutare l’output prima di usarlo. La cosa importante da mettere per iscritto: la responsabilità di quel controllo ha un nome, non è “del sistema”.
3) Quali decisioni restano a una persona
Delegare un compito all’AI è una cosa. Delegarle una decisione è un’altra. La policy deve elencare le decisioni che, nel tuo lavoro, non si automatizzano mai: chi assumere, cosa dire a un cliente che si lamenta, se accettare o rifiutare una pratica, quanto far pagare. Il modello può preparare il materiale. La scelta resta di chi se ne prende la responsabilità davanti al cliente. Scriverlo evita che, col tempo, la comodità mangi il giudizio.
4) Quando l’uso dell’AI va dichiarato
Qui la policy tocca la legge. La regola su quando dirlo ai clienti non è un dettaglio di stile: è il modo in cui l’Art. 50 dell’AI Act e, in Italia, la Legge 132 del 2025 entrano nel tuo lavoro quotidiano. La policy deve dire in quali casi un contenuto prodotto con l’AI va segnalato, e con quali parole. Meglio deciderlo una volta a tavolino che improvvisarlo davanti a un cliente che chiede “ma questa mail l’ha scritta un robot?”.
5) Chi decide le regole e chi le aggiorna
Una regola senza un responsabile è un desiderio. La policy deve dire chi decide cosa si può fare (nelle piccole realtà sei tu, e va bene) e a chi ci si rivolge quando arriva uno strumento nuovo o un dubbio. Serve anche una data di revisione. I modelli cambiano ogni pochi mesi, le regole pure: una policy senza scadenza invecchia in silenzio e diventa falsa senza che nessuno se ne accorga.
Che aspetto ha una regola che funziona
Il modo più veloce per capire se una regola è viva o morta è guardare come è scritta. Una regola morta suona così: “i collaboratori sono tenuti a un utilizzo responsabile e consapevole degli strumenti di intelligenza artificiale”. Vera, e inutile. Nessuno, dopo averla letta, sa cosa deve fare diversamente domani mattina.
Una regola viva suona così: “i dati dei clienti, cioè nomi, indirizzi, importi e documenti, non si incollano nei chatbot pubblici. Se serve un riassunto di una pratica, si toglie prima ogni riferimento che identifica la persona”. È la stessa idea della prima, ma questa dice esattamente cosa fai e cosa non fai. La prima è un principio, la seconda è un’istruzione. Una policy utile è fatta di istruzioni, non di principi.
Vale per tutte e cinque le aree. Invece di “verificare l’accuratezza degli output”, scrivi “i numeri e le norme che cita il modello si ricontrollano sulla fonte prima di mandarli a un cliente”. Invece di “usare l’AI in modo trasparente”, scrivi “quando una mail al cliente è scritta con l’aiuto dell’AI, lo diciamo con una riga in fondo”. Più la riga è concreta, più ha la possibilità di essere seguita. Le frasi che suonano bene e non dicono niente sono le prime che il tuo team salta.
Cosa lasciare fuori (e qui si sbaglia di più)
La tentazione, quando scrivi una policy, è aggiungere. Aggiungere clausole, cautele, divieti. È l’istinto sbagliato. Un documento che cresce è un documento che nessuno rilegge.
Fuori vanno tre cose. La prima: i divieti che verranno ignorati. Se scrivi “vietato usare i chatbot” mentre tutti li usano già, non fermi l’uso, lo spingi in clandestinità, dove non lo controlli più. Meglio una regola su come usarli che un divieto finto. La seconda: le clausole legali copiate che non sai spiegare. Se non capisci cosa vuol dire una riga, quella riga non protegge te, protegge chi l’ha scritta per un’altra azienda. La terza: la lunghezza. Se la policy non entra in una pagina, il problema non è lo spazio, è che stai mettendo dentro roba che non serve.
La prova del nove è semplice: se una riga non cambia un comportamento concreto di lunedì mattina, taglia. Quello che resta è la tua policy vera.
Il legame con l’Art. 4 e la finestra dell’AI Act
L’Art. 4 dell’AI Act è in vigore dal 2 febbraio 2025 e chiede a chi usa l’AI di garantire un livello sufficiente di alfabetizzazione al proprio personale e a chi la usa per suo conto. Non impone un documento preciso, chiede misure proporzionate al rischio. Una policy scritta è uno dei modi più semplici per dimostrare quelle misure e, allo stesso tempo, per allineare la squadra. Non è l’unico modo, ma è quello che mette d’accordo il buon senso e la legge.
Sul calendario conviene essere precisi, perché in giro si legge di tutto. L’obbligo di alfabetizzazione vale già da febbraio 2025. Il 2 agosto 2026 diventano applicabili gli obblighi di trasparenza dell’Art. 50 e la parte di governance. I sistemi ad alto rischio dell’Allegato III sono stati rinviati al 2 dicembre 2027, quindi no, l’alto rischio non scatta ad agosto. In Italia si aggiunge la Legge 132 del 2025, in vigore dal 10 ottobre 2025, che tra le altre cose tocca l’informativa al cliente. La policy non ti mette a norma da sola. È il foglio che tiene insieme alfabetizzazione e trasparenza in una cosa che una persona riesce a leggere.
Come si scrive, in pratica: una pagina in cinque mosse
Non serve un consulente per la prima versione. Serve un’ora e un po’ di onestà su come lavori davvero. Il percorso è questo:
1) Fai l’inventario. Scrivi dove l’AI tocca il lavoro adesso: mail, preventivi, riassunti di documenti, ricerche, bozze di contratti. Cinque righe, non un audit. Se non sai dove la usano i tuoi, chiediglielo, e prendi appunti senza giudicare.
2) Per ogni voce dell’inventario, rispondi alle cinque domande di sopra. Cosa non ci metto dentro, cosa verifico, cosa decido io, quando lo dichiaro, chi controlla. La maggior parte delle risposte sarà corta. Va bene così.
3) Scrivilo in italiano da persone, non da avvocati. Frasi che chi lavora con te capisce al primo colpo. Se una regola ha bisogno di una nota a piè di pagina, riscrivila.
4) Falla leggere prima di firmarla. Dalla a chi la dovrà rispettare e chiedi: è chiaro? manca qualcosa che fate e qui non c’è? Se non la capiscono, non è colpa loro, è della policy. Sistemala.
5) Mettici una data e una scadenza. “Scritta il 6 luglio 2026, si rivede tra sei mesi o quando cambia uno strumento.” Così la policy resta viva invece di diventare un file dimenticato in una cartella.
Non deve essere perfetta alla prima. Mezza pagina che descrive davvero come lavori vale più di un manuale che prova a coprire ogni scenario immaginabile. La aggiusti quando incontri il primo caso che non avevi previsto, e quel caso ti dice cosa aggiungere meglio di qualsiasi modello scaricato. Parti da quello che fate oggi, non da quello che potreste fare un giorno. Una policy che cresce con il lavoro resta utile. Una scritta una volta per sempre invecchia il giorno dopo.
Se prima di scrivere la policy vuoi capire dove sei messo rispetto all’AI Act, ho preparato un self-check gratuito: dieci minuti, nessuna vendita, ti dice a che punto è la tua situazione e cosa ti manca. È un buon modo per sapere cosa scrivere nella policy prima di aprirla su un foglio bianco.
Una policy scaricata dice che hai un documento. Una policy scritta dice che hai deciso come si lavora. Solo la seconda cambia qualcosa il lunedì mattina, quando qualcuno apre un modello e comincia a digitare.
Domande frequenti
Devo avere per forza una policy scritta sull’uso dell’AI?
L’Art. 4 non impone un documento specifico, chiede misure proporzionate di alfabetizzazione. Una policy scritta è il modo più semplice per dimostrare quelle misure e per allineare il team, ma la sostanza sono le regole condivise, non la carta. Meglio una pagina che le persone rispettano di quattordici che nessuno legge.
Va bene partire da un modello trovato online?
Come traccia sì, come documento finale no. Un template ti ricorda i temi da coprire, ma le regole utili nascono dal tuo lavoro reale: quali dati tratti, cosa produci, cosa dichiari ai clienti. Se lo copi e basta, sei di nuovo al punto di partenza, con un file che nessuno legge.
Ogni quanto va aggiornata la policy?
Metti una revisione almeno ogni sei mesi, e comunque quando cambi strumento o entra una persona nuova. I modelli e le regole si muovono in fretta: in Italia la Legge 132 del 2025, gli obblighi di trasparenza dell’Art. 50 dal 2 agosto 2026. Una policy ferma diventa falsa senza avvisare.
— Newsletter LinkedIn
Ogni settimana condivido workflow, errori e numeri reali
21 automazioni in produzione, zero dipendenti. Su LinkedIn documento il dietro le quinte: cosa funziona, cosa no, e i dati che nessuno mostra.
Domande Frequenti
Q.01Devo avere per forza una policy scritta sull’uso dell’AI?
L’Art. 4 non impone un documento specifico, chiede misure proporzionate di alfabetizzazione. Una policy scritta è il modo più semplice per dimostrare quelle misure e per allineare il team, ma la sostanza sono le regole condivise, non la carta.
Q.02Va bene partire da un modello trovato online?
Come traccia sì, come documento finale no. Un template ti ricorda i temi da coprire, ma le regole utili nascono dal tuo lavoro reale: quali dati tratti, cosa produci, cosa dichiari ai clienti. Se lo copi e basta sei di nuovo al punto di partenza.
Q.03Ogni quanto va aggiornata la policy?
Metti una revisione almeno ogni sei mesi, e comunque quando cambi strumento o entra una persona nuova. I modelli e le regole si muovono in fretta (in Italia la Legge 132/2025, gli obblighi Art. 50 dal 2 agosto 2026). Una policy ferma diventa falsa senza avvisare.
