Governance·
Shadow AI nel tuo studio: 5 segnali da non ignorare
Il tuo team usa ChatGPT senza policy? Ecco come identificare e governare l'AI non autorizzata nello studio professionale.
4 min
Leggi Caricamento...
Caricamento...
Ogni studio professionale che usa strumenti AI ha bisogno di una policy AI interna. Ecco cos'è, i 6 elementi obbligatori e come redigerla passo per passo — anche senza un avvocato.
Ogni studio professionale che ha adottato strumenti AI — anche solo ChatGPT per le bozze o Copilot per le email — sta già applicando una policy AI. Il problema è che nella maggior parte dei casi quella policy non esiste su carta: esiste solo nelle abitudini informali di qualche collaboratore.
La policy AI interna è lo strumento che trasforma l'uso informale di AI in un processo governato, documentato e difendibile. Non è un documento per i clienti. Non è un adempimento burocratico. È la risposta alla domanda: "Se domani mi chiedessero come viene usata l'AI nel mio studio, saprei rispondere?"
Prima di tutto, tre chiarimenti su cosa la policy AI interna non è:
La policy AI interna è un documento operativo ad uso interno che stabilisce: quali strumenti AI sono autorizzati, chi può usarli, per quali attività, con quali limiti, e cosa fare quando qualcosa va storto.
1. AI Act — obbligo di policy per i deployer L'articolo 9 dell'AI Act impone ai "deployer" di sistemi AI (chi usa sistemi AI di terzi nel proprio lavoro) di adottare misure di governance proporzionate. Una policy interna documentata è la forma minima di ottemperanza.
2. Protegge dallo shadow AI Lo shadow AI è il fenomeno per cui i collaboratori usano strumenti AI non autorizzati, spesso con dati sensibili dei clienti. Senza una policy esplicita — che dica sia cosa è permesso sia cosa non lo è — non c'è modo di prevenirlo né di gestire le conseguenze.
3. Riduce il rischio GDPR Ogni volta che un collaboratore copia un documento di un cliente in ChatGPT, i dati di quel cliente vengono trasferiti ai server di OpenAI. Se non c'è un accordo di trattamento dati adeguato, è una violazione GDPR. La policy identifica gli strumenti che hanno contratti adeguati e quelli vietati per i dati dei clienti.
4. Costruisce fiducia con i clienti Un cliente che chiede "usate l'AI?" merita una risposta precisa, non generica. Poter mostrare una policy interna — anche solo summarily — segnala professionalità e controllo.
5. Facilita l'onboarding dei collaboratori "Come si usa l'AI in questo studio?" è una delle prime domande di un nuovo collaboratore. Una policy scritta risponde una volta sola, in modo coerente, per tutti.
Una policy AI interna ben strutturata deve contenere almeno questi sei elementi:
1. Scopo e ambito di applicazione A chi si applica (tutti i collaboratori, anche esterni), a quali attività (lavoro per i clienti, attività amministrative, formazione) e quali strumenti sono coperti.
2. Tabella degli strumenti AI autorizzati Un elenco preciso degli strumenti approvati, con nome, fornitore, link all'accordo di trattamento dati, e indicazione se possono ricevere dati dei clienti.
| Strumento | Fornitore | Dati clienti | Note |
|---|---|---|---|
| ChatGPT (Enterprise) | OpenAI | Sì (con DPA) | Solo bozze, non dati fiscali |
| Microsoft Copilot | Microsoft | Sì (con DPA) | Integrato in M365, conforme |
| Claude.ai | Anthropic | No | Solo uso interno generico |
3. Regole d'uso — cosa si può e non si può fare Le regole devono essere concrete e binarie. Esempi di regole chiare:
4. Responsabile AI (o AI Officer) Chi è il punto di riferimento per domande sull'uso dell'AI, chi approva l'adozione di nuovi strumenti, chi gestisce gli incidenti. In studi piccoli può essere il titolare stesso; in studi più strutturati può essere un partner dedicato.
5. Gestione degli incidenti Cosa fare se si sospetta una violazione: a chi segnalarla, entro quanto tempo, come documentarla. Questo elemento è spesso il più trascurato e il più importante in caso di contestazione.
6. Formazione e aggiornamento Chi deve essere formato, con quale frequenza, come viene documentata la formazione. L'AI Act impone requisiti di AI literacy ai deployer: la formazione documentata è l'evidenza di ottemperanza.
Passo 1 — Mappa gli strumenti AI in uso Prima di scrivere, fai un inventario. Chiedi a ogni collaboratore quali strumenti AI usa e per cosa. Spesso il risultato sorprende: ci sono strumenti adottati informalmente che nessuno conosceva.
Passo 2 — Classifica i dati che trattano Per ogni strumento identificato, verifica se può ricevere dati dei clienti e se il contratto con il fornitore include un DPA (Data Processing Agreement) adeguato. Questa classificazione determina le regole d'uso.
Passo 3 — Usa un template strutturato Parti da un template — non da un foglio bianco. Un template ben strutturato copre tutti i 6 elementi e richiede solo di completare le sezioni specifiche del tuo studio. Il tempo stimato per completare un template con le informazioni già raccolte è di 1-2 ore.
Passo 4 — Fai firmare e distribuisci Una policy non firmata è una policy che non esiste, legalmente. Il titolare firma la policy. Tutti i collaboratori firmano una dichiarazione di presa visione. Conserva le firme. Ripeti il processo a ogni aggiornamento significativo.
Uno studio che usa AI senza policy interna non è neutrale: è esposto. Esposto a una violazione GDPR per un collaboratore che ha usato ChatGPT con dati di un cliente. Esposto a una contestazione da parte di un cliente che non sapeva che il parere fiscale era stato redatto con l'AI. Esposto a una sanzione dall'autorità di vigilanza per mancanza di misure di governance AI Act.
La policy AI interna non elimina questi rischi. Li gestisce, li documenta, li rende difendibili.
Vuoi iniziare senza partire da zero? Nella nostra raccolta di guide trovi un template di policy AI interna già strutturato per studi professionali italiani, con tabella degli strumenti, checklist degli elementi obbligatori e modulo di firma per i collaboratori.
Se vuoi capire come la policy AI si inserisce in un quadro di governance più ampio, leggi la nostra guida all'AI Governance per studi professionali. Per un accompagnamento continuativo nella gestione dell'AI del tuo studio, scopri il servizio Fractional AI Officer. Per domande specifiche, contattaci.
Una policy AI interna efficace non deve essere lunga. Per uno studio professionale medio, 4-8 pagine sono sufficienti: una pagina di scopo e ambito, una tabella degli strumenti autorizzati, le regole d'uso (max 10), la gestione degli incidenti, la procedura di aggiornamento. L'importante è che sia concreta, applicabile e firmata — non che impressioni per lunghezza.
La policy deve essere firmata dal responsabile dello studio (partner senior o titolare), che se ne assume la responsabilità. Dovrebbe poi essere distribuita a tutti i collaboratori che accettano di rispettarla — idealmente con firma di presa visione. In studi strutturati, può essere parte dell'onboarding dei nuovi collaboratori.
La policy AI interna va aggiornata almeno una volta l'anno, e ogni volta che: (1) viene adottato un nuovo strumento AI, (2) esce una scadenza normativa rilevante (AI Act, Legge 132/2025), (3) si verifica un incidente. È buona pratica tenere un registro delle versioni con data e modifiche principali.
No, non necessariamente. Una policy AI interna è prima di tutto uno strumento operativo interno, non un documento legale complesso. Con un template strutturato, un partner o un collaboratore senior può redigerla. Tuttavia, per studi che gestiscono dati sensibili (dati sanitari, finanziari rilevanti) o che usano sistemi AI ad alto rischio, una revisione legale è consigliata.
Ogni settimana: guide pratiche, novità normative e casi d'uso per studi professionali. Niente spam.
Il tuo team usa ChatGPT senza policy? Ecco come identificare e governare l'AI non autorizzata nello studio professionale.