Le richieste arrivano raramente in modo esplicito. Nessun imprenditore mi scrive “vorrei una policy sull’intelligenza artificiale”. Mi chiama perché un responsabile usa ChatGPT con dati di clienti, perché un fornitore ha proposto un sistema AI-based e nessuno sa valutarlo, perché un revisore ha chiesto come vengono trattati certi flussi informativi.
Sono segnali deboli. Ma stanno diventando frequenti, soprattutto nelle PMI manifatturiere che lavorano con committenti strutturati o con filiere internazionali.
Quello che osservo sul campo è un disallineamento netto: l’AI è già dentro l’azienda, spesso introdotta dai singoli, mentre la governance non esiste. E il problema non è tecnologico. È organizzativo, contrattuale, talvolta legale.
Perché la domanda di governance AI sta emergendo proprio adesso
Il Regolamento europeo sull’AI ha introdotto obblighi che toccano direttamente le aziende manifatturiere, soprattutto quelle che integrano sistemi AI nei prodotti o nei processi di selezione del personale. Le scadenze sono scaglionate fino al 2027, ma le richieste dei clienti business arrivano prima della norma.
Chi fornisce componenti a grandi gruppi industriali se ne accorge subito. Nei questionari di qualifica fornitori compaiono domande nuove: come gestite l’uso di strumenti AI generativi?, avete una policy interna?, come tracciate i dati che inserite in sistemi di terze parti?. Senza risposte documentate, il punteggio cala.
Cosa cercano davvero le PMI quando chiedono un audit AI
La richiesta esplicita è quasi sempre tecnica: vogliamo capire dove possiamo usare l’AI. Quella implicita è diversa e riguarda il controllo. Chi mi contatta vuole sapere chi sta usando cosa, con quali dati, con quali rischi. Vuole evitare di scoprire un problema da un cliente, da un dipendente che se ne va, o da un’ispezione.
Gli elementi che ricorrono in un audit AI ben fatto:
- Mappatura degli strumenti già in uso, inclusi quelli adottati dai singoli senza autorizzazione (shadow AI).
- Analisi dei flussi di dati che entrano ed escono da sistemi AI esterni, con particolare attenzione a dati personali e know-how industriale.
- Valutazione contrattuale dei fornitori AI e SaaS, sulle clausole di trattamento dati e proprietà degli output.
- Verifica delle competenze interne, per capire chi sa cosa e dove servono interventi formativi mirati.
- Definizione di una policy operativa, scritta in modo che sia applicabile davvero, non un documento da archiviare.
Il risultato utile non è un report da 80 pagine. È una fotografia chiara dello stato attuale e una lista breve di azioni prioritarie, ordinate per impatto e urgenza.
Policy AI: cosa funziona e cosa resta carta
Le policy che funzionano hanno tre caratteristiche. Sono brevi, leggibili in dieci minuti da chiunque in azienda. Sono specifiche sul contesto, non copia-incolla da template generici. E individuano responsabilità chiare: chi autorizza l’uso di un nuovo strumento, chi verifica, chi forma.
Le policy che restano carta sono quelle scritte da chi non conosce l’azienda. Citano l’AI Act, elencano principi etici, ma non dicono al responsabile commerciale se può caricare un’offerta in ChatGPT. Il personale le ignora, perché non risolvono il dubbio operativo del lunedì mattina.
Il percorso che propongo quando arriva questa richiesta
Parto sempre da un confronto diretto con la proprietà o con la direzione. Mi serve capire il contesto: settore, clienti principali, struttura organizzativa, livello di digitalizzazione già presente. Senza questo, qualunque proposta diventa generica.
Poi conduco un AI Assessment mirato, di solito in due o tre incontri operativi con le funzioni coinvolte. Da lì emergono priorità reali e una bozza di policy costruita sull’azienda specifica. Il documento finale viene discusso, non consegnato. Perché una policy AI ha valore solo se chi la deve applicare l’ha capita e condivisa.
Domande frequenti
Un audit AI è obbligatorio per legge?
Non esiste un obbligo generico di audit AI. L’AI Act impone valutazioni specifiche per i sistemi classificati ad alto rischio e obblighi di trasparenza per quelli a rischio limitato. Tuttavia, molti committenti industriali stanno introducendo richieste contrattuali che, di fatto, rendono necessaria una valutazione interna documentata. Inoltre, l’uso di AI generative con dati aziendali può intersecare il GDPR, e lì gli obblighi esistono già.
Quanto tempo richiede definire una policy AI in una PMI?
Dipende dalla dimensione e dalla complessità dei processi. Per una PMI manifatturiera con 30-80 dipendenti, il percorso completo richiede in genere da quattro a otto settimane. Comprende mappatura iniziale, interviste alle funzioni, stesura della policy, revisione con la direzione e una prima sessione formativa. Tempi più brevi sono possibili, ma producono documenti meno solidi.
Serve coinvolgere un consulente esterno o si può fare internamente?
Si può fare internamente se in azienda c’è qualcuno con competenze AI, conoscenza del GDPR e visione organizzativa. Nella maggior parte delle PMI manifatturiere queste tre competenze non coincidono in una sola persona. Il consulente esterno serve soprattutto per accelerare, portare benchmark da altri contesti e mediare tra funzioni che spesso hanno priorità diverse.
Quanto costa un percorso di audit e policy AI?
Il costo varia in base alla complessità, ma per una PMI manifatturiera di medie dimensioni il range tipico va da 5.000 a 15.000 euro per il percorso completo. Cifre molto più basse di solito indicano template generici. Cifre molto più alte sono giustificate solo in contesti con sistemi AI già integrati nei prodotti o nei processi industriali critici.
Cosa cambia tra un audit AI e un assessment di compliance GDPR?
Hanno aree di sovrapposizione ma scopi diversi. L’assessment GDPR si concentra sul trattamento dei dati personali. L’audit AI guarda anche all’uso di strumenti generativi, alla proprietà degli output, ai rischi sul know-how industriale, alle competenze interne e ai contratti con fornitori AI. Le due analisi si integrano bene, ma una non sostituisce l’altra.
Parliamone se la situazione ti suona familiare
Se nella tua azienda l’AI è entrata in modo informale e ti stai chiedendo come metterla sotto controllo senza bloccare chi la sta usando bene, ha senso confrontarci.
Lavoro soprattutto con PMI manifatturiere che hanno bisogno di chiarezza operativa, non di documenti teorici. Il primo confronto serve a capire se il tuo contesto richiede davvero un intervento strutturato o se bastano pochi accorgimenti mirati.
Se vuoi parlarne, scrivimi dalla pagina contatti e fissiamo una prima call senza impegno.