L’AI Act non classifica gli strumenti. Classifica gli usi. Lo stesso modello linguistico, applicato a due processi aziendali diversi, può ricadere in categorie di rischio opposte, con obblighi normativi che cambiano radicalmente.
Questo è il punto che molte aziende non hanno ancora messo a fuoco. Usare ChatGPT per riscrivere una mail commerciale e usarlo per filtrare candidature in ingresso sono due attività che il regolatore europeo tratta in modo profondamente diverso.
Nel primo caso parliamo di rischio minimo, senza obblighi specifici. Nel secondo entriamo nel perimetro dell’alto rischio, con requisiti documentali, di trasparenza e di sorveglianza umana che molte PMI stanno sottovalutando.
Perché lo stesso strumento ricade in categorie diverse
L’AI Act europeo ragiona per use case, non per tecnologia. Il legislatore guarda all’impatto che un sistema di intelligenza artificiale ha sulle persone coinvolte, non al software che lo produce. ChatGPT è uno strumento neutro: diventa rischioso o meno in base a cosa gli chiedi di fare.
Quando lo uso per generare bozze di email, sintetizzare riunioni o riformulare un testo, l’output finisce sotto controllo umano immediato. Nessuno prende decisioni vincolanti basandosi solo su quel testo. L’impatto sui diritti delle persone è marginale.
Quando invece lo stesso modello viene usato per valutare CV, assegnare punteggi a candidati o filtrare profili in fase di selezione, cambia tutto. Si entra in un processo che incide sull’accesso al lavoro di una persona, e l’AI Act è chiarissimo: questo è alto rischio.
Cosa cambia operativamente tra rischio minimo e alto rischio
Il rischio minimo non comporta obblighi formali. Posso integrare ChatGPT nei flussi di marketing, nella stesura di documenti interni, nella generazione di contenuti operativi senza dover documentare nulla di specifico. Restano valide le regole generali su privacy, riservatezza e proprietà intellettuale, ma non scattano requisiti aggiuntivi dall’AI Act.
L’alto rischio funziona in modo opposto. Chi usa sistemi di AI per processi classificati come tali deve rispettare requisiti precisi, indipendentemente dalle dimensioni aziendali.
Cosa serve quando un uso ricade in alto rischio:
- Documentazione tecnica del sistema e del suo funzionamento, da tenere aggiornata e disponibile in caso di controllo.
- Sorveglianza umana effettiva, non simbolica: una persona deve poter intervenire e ribaltare l’output dell’AI.
- Valutazione dei rischi sui diritti fondamentali, in particolare su discriminazione, equità e trasparenza decisionale.
- Informativa chiara verso i soggetti coinvolti, ad esempio i candidati che vengono valutati con supporto algoritmico.
- Tracciabilità dei log e delle decisioni, per ricostruire come è stato prodotto un determinato output.
La differenza pratica è enorme. Un uso in rischio minimo richiede buon senso. Un uso in alto rischio richiede governance, processi documentati e responsabilità definite.
Gli ambiti aziendali in cui scatta l’alto rischio
Lo screening CV è l’esempio più discusso, ma non è l’unico. L’AI Act elenca diversi contesti lavorativi in cui l’uso di sistemi di intelligenza artificiale è classificato ad alto rischio. La gestione del personale ne è l’epicentro.
Rientrano qui anche la valutazione delle performance, l’assegnazione di task tramite sistemi automatizzati, le decisioni su promozioni e cessazioni di rapporto se supportate da AI. Lo stesso vale per l’accesso a servizi essenziali, la valutazione del merito creditizio, alcuni usi in ambito formativo e nelle infrastrutture critiche.
L’errore più comune nelle PMI
L’errore che vedo più spesso è ragionare per strumento invece che per processo. Le aziende mi chiedono “possiamo usare ChatGPT?” come se fosse una domanda sì/no. La risposta corretta richiede di capire dove lo si vuole usare, per cosa e con quale impatto sulle persone.
Una stessa azienda può legittimamente usare ChatGPT senza obblighi formali in marketing e customer service, e contemporaneamente trovarsi fuori norma se lo stesso strumento viene introdotto in HR senza una governance adeguata. Mappare gli usi è il primo passo concreto, prima ancora di scegliere policy o tool.
Cosa significa preparare l’azienda in modo serio
Preparare l’azienda non vuol dire bloccare l’uso dell’AI. Vuol dire distinguere. Costruire una matrice degli usi, identificare quali ricadono in alto rischio, applicare le procedure dove servono e lasciare spazio operativo dove la normativa non chiede nulla di particolare.
Questo lavoro è esattamente ciò che faccio in fase di AI Assessment. Si parte da una ricognizione di come l’AI è già usata, anche in modo informale dai singoli collaboratori, e si arriva a una classificazione dei processi che permette decisioni consapevoli sia sul piano normativo che organizzativo.
Domande frequenti
ChatGPT è vietato in azienda con l’AI Act?
No. L’AI Act non vieta ChatGPT né altri modelli generativi. Regola gli usi, non gli strumenti. La maggior parte degli impieghi aziendali tipici, come la scrittura di testi, la sintesi di documenti o il supporto al customer service, ricade in rischio minimo e non comporta obblighi specifici. I vincoli scattano quando l’AI viene usata in processi classificati ad alto rischio, soprattutto in ambito HR, credito e accesso a servizi essenziali.
Se uso ChatGPT solo per riscrivere mail, devo documentare qualcosa?
In termini di AI Act, no. Restano valide le regole generali sulla protezione dei dati personali, sulla riservatezza delle informazioni aziendali e sui contenuti immessi nei prompt. È buona prassi avere una policy interna che chiarisca cosa si può e cosa non si può inserire negli strumenti generativi, ma non è un obbligo derivante dall’AI Act per gli usi in rischio minimo.
Cosa rischio se uso ChatGPT per filtrare CV senza adeguarmi?
Le sanzioni dell’AI Act sono significative e si applicano anche alle PMI. Oltre al rischio sanzionatorio, c’è il rischio reputazionale e quello legato al diritto del lavoro: un candidato escluso può contestare la decisione se non sono garantite trasparenza e sorveglianza umana effettiva. Il problema non è usare l’AI nello screening, ma usarla senza il framework richiesto dalla normativa.
In quanto tempo si può mettere a norma l’uso dell’AI in azienda?
Dipende dalla complessità dei processi e da quanti usi ricadono in alto rischio. Per una PMI con usi prevalentemente in rischio minimo bastano poche settimane per definire policy e formazione. Quando ci sono processi HR, valutazione performance o sistemi automatizzati di scoring, il lavoro è più articolato e richiede una progettazione di governance che impegna mesi, non giorni.
Serve una persona dedicata all’AI in azienda?
Non sempre serve un ruolo interno full time. Per molte aziende ha più senso un riferimento esterno che presidi la governance, mappi gli usi e mantenga aggiornata la documentazione richiesta. È il modello con cui lavoro come AI Manager Esterno: presenza continuativa senza il costo di una figura dedicata, soprattutto utile per realtà che non hanno volumi tali da giustificare un’assunzione.
Capiamo insieme dove si colloca la tua azienda
Se stai già usando ChatGPT o stai pensando di introdurlo in modo strutturato, il primo passo è capire quali usi ricadono in rischio minimo e quali no. È un lavoro che si fa meglio parlando del contesto specifico, perché ogni azienda ha processi e priorità diverse.
Nel primo confronto verifichiamo insieme dove sei oggi, quali sono i punti di attenzione concreti e se ha senso approfondire con un percorso strutturato. Senza impegno e senza forzature commerciali.
Se vuoi un’analisi sul tuo caso, scrivimi dalla pagina contatti e organizziamo una prima chiamata.