COMMENTO
DI ANDREA BATTISTELLA | 21 LUGLIO 2025
L’intelligenza artificiale sta entrando con rapidità nei processi decisionali e operativi di studi professionali e aziende. Accanto alle opportunità, però, emergono anche nuove responsabilità e rischi non solo tecnici, ma giuridici, etici e reputazionali. Per questo motivo, utilizzare l’AI in modo consapevole richiede molto più che competenze tecniche, serve una vera cultura digitale, capace di comprendere come funzionano gli strumenti utilizzati e se siano conformi al complesso quadro normativo sia europeo, che nazionale. Oggi, il professionista digitale non può più improvvisare; è chiamato ad adottare un approccio critico, organizzato e documentato, valutando attentamente il sistema AI prima di implementarlo nei propri processi. Strumenti come l’autovalutazione e l’audit assumono un ruolo strategico, non solo perché aiutano a rilevare eventuali criticità, ma perché consentono di documentare la conformità al GDPR e all’AI Act.
Queste non sono formalità, ma pratiche operative che rafforzano l’affidabilità, la trasparenza e la qualità del lavoro professionale. La vera sfida, nei prossimi anni, non sarà adottare nuove tecnologie, ma imparare a valutare, capirle e gestirle con senso critico e responsabilità. Solo così si potrà garantire la conformità normativa e costruire un rapporto di fiducia con i propri clienti.
Premessa
Nell’era dell’intelligenza artificiale, sempre più studi professionali e aziende integrano nei propri processi strumenti basati sull’AI per analizzare documenti, automatizzare flussi di lavoro, o comunicare tramite chatbot.
Ma quanti si chiedono davvero quali rischi comportano questi strumenti e se siano compatibili con il quadro normativo europeo?
Con l’entrata in vigore del GDPR, del regolamento eIDAS, della NIS2 e, più recentemente, dell’AI Act, l’utilizzo delle tecnologie in ambito business è stato ampiamente disciplinato con la conseguenza che diventa sempre più essenziale adottare un approccio consapevole e strutturato.
Valutare in modo critico l’utilizzo dei sistemi AI, sia prima che dopo la loro implementazione, è ciò che permette di governare la tecnologia piuttosto che subirne passivamente gli effetti.
Il ritmo frenetico dell’evoluzione tecnologica, unito a regole sempre più puntuali e dettagliate, richiede un cambio di passo caratterizzato da un approccio operativo, pratico, che sappia coniugare il rispetto delle norme e la gestione del rischio legato all’uso degli strumenti tecnologici.
Non basta saper utilizzare un software, serve avere una visione più ampia che permetta di capire dove e come si inserisce nel contesto operativo, quali sono le sue implicazioni giuridiche, e fino a che punto possiamo davvero fidarci del suo funzionamento.
Spesso, infatti, gli strumenti AI introducono dinamiche decisionali poco trasparenti, specialmente quando forniti da terze parti, o combinati con altri sistemi.
Per questo motivo è necessario:
- valutare criticamente le tecnologie;
- comprendere i rischi etici, giuridici e reputazionali;
- assumersi piena responsabilità verso clienti, dipendenti e fornitori.
Utilizzare strumenti di AI comporta, infatti, l’assunzione di una responsabilità professionale specifica e non delegabile. Anche quando si delegano all’AI l’esecuzione di funzioni operative o decisionali, l’utilizzatore resta sempre il primo e unico responsabile degli effetti delle scelte adottate.
La tecnologia può supportare, automatizzare, semplificare processi lavorativi, ma non sostituisce il giudizio umano, né lo solleva dalle sue responsabilità.
Cultura digitale consapevole
L’integrazione dell’AI nei processi lavorativi non può e non deve essere ridotta ad una questione tecnica, o di performance. Richiede infatti lo sviluppo di una cultura digitale consapevole, capace di guidare l’utilizzatore nella gestione consapevole delle tecnologie adottate.
La cultura digitale si deve basare sulla:
- capacità tecnica e critica nella valutazione delle tecnologie;
- consapevolezza normativa;
- responsabilità professionale nell’adozione di strumenti che influenzano decisioni, processi lavorativi e relazioni con i clienti.
Per un professionista “digitale”, questo significa porsi delle domande critiche e rispondere con evidenze documentate sui reali impatti degli strumenti utilizzati. Non si tratta di un esercizio teorico, ma di un’attività preliminare e necessaria per dimostrare consapevolezza, responsabilità e accountability.
In pratica, si deve sviluppare una mentalità orientata all’analisi e alla verifica, che permetta di tradurre, le scelte tecnologiche in valutazioni verificabili, ma soprattutto, coerenti con il quadro normativo europeo e nazionale.
Affidarsi alla tecnologia senza porsi delle domande sul suo funzionamento significa rinunciare al proprio ruolo critico, accettando implicitamente potenziali rischi collegati all’utilizzo dell’AI.
In questo contesto, prima ancora di scegliere, o adottare l’ultimo sistema AI proposto dal mercato è importante valutare il suo impatto prima ancora dei benefici attesi dal suo utilizzo.
AI Act e GDPR: come rispettare il principio di accountability
L’accountability, cioè la capacità di dimostrare attivamente la conformità agli obblighi normativi, è un principio centrale sia per il GDPR, sia per l’AI Act.
Entrambi i regolamenti europei impongono un approccio basato sul rischio e sulla responsabilità documentata.
Il rispetto di questo principio implica:
- effettuare valutazioni preventive sull’impatto delle tecnologie adottate;
- predisporre documentazione accurata e trasparente;
- implementare misure tecniche e organizzative adeguate;
- monitorare periodicamente cambiamenti tecnici, o normativi.
In particolare, il GDPR, all’art. 35, prevede l’obbligo di effettuare la valutazione d’impatto sulla protezione dei dati (DPIA) ogni volta che il trattamento comporti un rischio elevato per i diritti e le libertà degli interessati. L’AI Act invece, introduce un approccio basato sul rischio dell’AI, stabilendo requisiti e obblighi differenti a seconda della classificazione del rischio (basso, limitato, alto o inaccettabile).
Il rispetto del principio di accountability, quindi, richiede un ruolo attivo nella valutazione dei rischi, attraverso un approccio documentato e metodico.
Non si tratta di un adempimento formale, né di un’attività da delegare esclusivamente al fornitore tecnologico, è una responsabilità diretta di chi utilizza l’AI nell’ambito dei propri precessi lavorativi.
Audit e autovalutazione: strumenti per gestire la compliance
Ma come tradurre concretamente il principio di accountability in azioni operative?
Se il principio di accountability richiede di poter dimostrare la conformità, allora strumenti come l’audit e l’autovalutazione diventano essenziali per dare attuazione concreta a questo principio.
L’audit è un’attività sistematica, organizzata e documentata che consente di mappare i processi, identificare le risorse informatiche utilizzate, verificare la coerenza con gli obblighi normativi e individuare eventuali criticità o non conformità.
L’autovalutazione, pur perseguendo finalità simili, è uno strumento più agile e meno formale, particolarmente utile quando si vuole monitorare il livello di conformità senza ricorrere a procedure strutturate.
Entrambe le pratiche non dovrebbero essere percepite come meri adempimenti burocratici, ma come leve strategiche per rafforzare le governance digitale, rendere più trasparenti e tracciabili i processi tecnologici e garantire la qualità del funzionamento dell’AI utilizzata.
Audit AI e buone prassi: ispirarsi a modelli e framework per valutare l’AI
Una volta compreso il valore strategico dell’audit e dell’autovalutazione, il passo successivo è capire come strutturare e organizzare concretamente tale percorso di verifica sull’utilizzo dell’AI.
Anche in realtà di dimensioni contenute, come studi professionale o, PMI, è possibile adottare un approccio metodico sostenibile e ben organizzato, prendendo spunto da framework riconosciuti a livello internazionale.
Per conferire all’attività di verifica maggiore autorevolezza, coerenza e solidità metodologica, è utile fare riferimento a standard normativi e alle linee guida ISO, adattandoli alle specifiche esigenze del proprio contesto operativo. In particolare, risultano particolarmente utili:
- Le linee guida EDPB sull’impatto dell’AI sui dati personali offrono indicazioni operative per integrare la DPIA prevista dal GDPR con aspetti specifici legati all’uso dell’AI.
- La ISO/IEC 27701:2019, estensione della ISO 27001, guida l’organizzazione nell’adozione di un sistema di gestione delle informazioni relative alla privacy. Applicarla o anche solo ispirarsi ai suoi principi, consente di strutturare un approccio che combina sicurezza informatica e protezione dei dati, risultando particolarmente utile nei contesti in l’AI tratta dati personali.
- La ISO/IEC 42001:2023, recentemente approvata, rappresenta il primo standard internazionale dedicato ai sistemi di gestione dell’intelligenza artificiale. Fornisce un indicazioni metodologiche per garantire un uso dell’AI responsabile, tracciabile conforme ai principi etici e normativi.
Audit AI: road map
Ispirandosi, quindi a questi modelli, o framework, è possibile delineare una road map operativa per condurre un audit interno sull’AI.
Ecco le possibili quattro fasi operative:
Mappare gli strumenti AI utilizzati
Il primo passo consiste nell’identificare tutte le risorse informatiche e le funzionalità AI utilizzate, anche se non esplicitamente definiti dalla norma come tali.
Come ad esempio: piattaforme software con automazioni, chatbot, assistenti virtuali o strumenti di analisi documentali.
In questa fase è utile predisporre il registro dell’AI utilizzate, indicando per ognuna: nome, finalità, funzionalità, ambito di utilizzo e dati del fornitore.
L’obiettivo di questa fase, quindi, è quello di verificare cosa si sta utilizzando, perché lo si utilizza, in che ambito e da chi è fornito.
Definire le modalità uso e le finalità
Per ogni strumento identificato occorre chiarire:
- lo scopo d’uso, cioè per quali attività viene impiegato;
- la tipologia e natura di dati trattati;
- le persone coinvolte nell’utilizzo, ad esempio utenti interni all’organizzazione, clienti, terzi;
- i responsabili del funzionamento.
Questa fase permette di comprendere l’impatto operativo e normativo di ciascun sistema AI.
L’obiettivo di questa fase è quello di conoscere cosa si sta utilizzando, in che modo e da chi.
Valutare i rischi e il livello di trasparenza
Ogni strumento va analizzato e valutato secondo una logica di rischio, secondo i principi di responsabilizzazione previsti dal GDPR e gestione del rischio previsti dall’AI Act.
In termini operativi è necessario analizzare i potenziali rischi legati all’utilizzo dell’AI come ad esempio: affidabilità del sistema rispetto al verificarsi di possibili errori nei risultati, bias e discriminazioni, trasparenza e spiegabilità del funzionamento, protezione dei dati personali.
L’obiettivo è quello di prevenire impatti negativi su persone, reputazione e conformità normativa. In questa fase strumenti operativi utili per raggiungere l’obiettivo sono le linee guida dell’EDPB in materia di DPIA, la norma ISO/IEC 23894:2023 per la gestione del rischio nell’uso dell’AI.
Documentare l’audit e le azioni correttive
Tutte le verifiche e le analisi effettuate devono essere tracciate e documentate attraverso un report sintetico, una scheda valutativa o un semplice verbale.
Nel caso in cui vengano rilevate anomalie, o non conformità, è importante: descrivere il problema, individuare e promuovere misure correttive o migliorative, individuare un referente interno e una scadenza per l’attuazione.
L’obiettivo finale è quello di dimostrare l’accountability e creare un sistema di miglioramento continuo.
Infatti, la valutazione e l’adozione di un sistema AI non è mai un evento “una tantum”, è necessario registrare e valutare nel tempo ogni novità che può riguardare l’aggiornamento software, cambiamento normativo o variazione di utilizzo. Diventa funzionale alla gestione dell’AI pianificare revisioni regolari della documentazione di audit in modo da mantenerla efficace ed allineata al contesto operativo e normativo.
Conclusione
In un contesto in cui l’intelligenza artificiale entra progressivamente nei processi decisionali e organizzativi di studi professionali e aziende è fondamentale dotarsi di strumenti concreti per verificare la conformità normativa vigente.
L’adozione di sistemi AI non può limitarsi a una valutazione tecnica: richiede un’analisi strutturata delle implicazioni operative, giuridiche ed etiche. Governare responsabilmente l’AI significa dotarsi di metodi, visione e capacità critica, soprattutto nell’attuale contesto normativo.
In questo percorso, l’autovalutazione e l’audit, assumono un ruolo centrale, in particolare nelle fasi di progettazione, implementazione e utilizzo dei sistemi AI.
Queste attività permettono di identificare rischi, valutare l’adeguatezza delle misure adottate, documentare le scelte effettuate e dimostrare concretamente accountability (responsabilizzazione) richiesta dal GDPR e dall’AI Act.
La vera sfida che ci attende nei prossimi anni non sarà solo adottare nuove tecnologie, ma saperle comprendere e gestire in modo consapevole.
Solo chi saprà farlo con attenzione e senso di responsabilità sarà in grado di garantire la conformità normativa e costruire relazioni professionali basata su fiducia e trasparenza
Iniziativa gratuita organizzata con l’approvazione dell’editore riservata agli iscritti alla nostra informativa. E’ severamente proibita la condivisione dell’articolo, della pagina e degli allegati e di qualsiasi contenuto di seguito pubblicato.