Come scrivere una policy AI interna in 1 pagina
Niente documenti di 40 pagine pieni di legalese. Ecco come scrivere una policy AI interna che le persone in azienda leggeranno davvero, in una pagina, con esempi concreti per ogni regola.
La maggior parte delle policy aziendali finiscono in due posti: nel cassetto del manager che le firma, e nel link "Documenti aziendali" della intranet che nessuno apre. Le policy AI hanno fatto la stessa fine nel 2025: documentoni di 30-40 pagine scritti dall'avvocato, perfetti per un audit ma inutili nel lavoro quotidiano.
Nel 2026 il modello vincente è opposto: una pagina A4, leggibile in 3 minuti, con regole concrete e esempi. Quella la gente la legge davvero.
In questo articolo: cosa scrivere, come strutturarla, ed esempi per le regole che funzionano nelle PMI italiane.
TL;DR
- La policy AI in 1 pagina ha 4 sezioni: tool ammessi, regole d'oro, dati vietati, contatti.
- Funziona perché è breve, scritta in italiano normale, e dice esempi concreti per ogni regola.
- Non sostituisce la formazione (l'art. 4 AI Act richiede entrambe le cose), ma la rinforza nel quotidiano.
- Va aggiornata ogni 6 mesi e comunicata in modo attivo (non solo "messa in cartella").
Perché 1 pagina e non 30
Una policy lunga è un documento per consulenti e auditor. Una policy in 1 pagina è uno strumento per i dipendenti.
Le persone in azienda hanno bisogno di sapere 3 cose, in ordine:
- Cosa posso usare, senza dover chiedere ogni volta?
- Quali sono le 3-4 regole d'oro che valgono sempre?
- Cosa NON posso fare assolutamente, neanche se sembra una buona idea?
Tutto il resto (analisi del rischio, basi giuridiche, modalità di trattamento dati) sta in un documento tecnico separato, che il DPO o il consulente possono mostrare in caso di audit. Ma il dipendente non lo deve leggere.
Questa separazione è il cuore di una governance AI moderna: documento operativo per le persone, documento tecnico per la compliance.
Le 4 sezioni di una policy in 1 pagina
Sezione 1 — Tool ammessi
Una lista breve, con il livello di approvazione per ogni tool. Esempio:
| Tool | Livello | Note |
|---|---|---|
| Microsoft 365 Copilot | ✅ Approvato | Tutti i dati aziendali permessi |
| ChatGPT Team / Plus aziendale | ✅ Approvato | Solo dati non sensibili |
| Claude Pro aziendale | ✅ Approvato | Solo dati non sensibili |
| ChatGPT account personale | ⚠️ Sconsigliato | Mai dati aziendali |
| Tool gratuiti random | ❌ Vietato | Chiedi prima di usarli |
Il valore di questa tabella sta nel fatto che il dipendente sa subito cosa è permesso e cosa no. Non deve chiedere, non deve interpretare. Decide e va avanti.
Sezione 2 — Le 4 regole d'oro
Quattro regole che valgono sempre, qualunque sia il tool. Le nostre preferite, derivate da centinaia di workshop in PMI italiane:
- Mai dati personali di clienti, fornitori o colleghi nei tool AI. Né nomi, né email, né dati di contratto. Pseudonimizza prima ("Cliente A", "Progetto X").
- Mai dati riservati di business (offerte non pubbliche, dati finanziari, brevetti, codice proprietario non rilasciato).
- L'AI propone, l'umano decide. Nessun output AI esce dall'azienda senza che una persona lo abbia letto e approvato. Soprattutto: niente offerte, contratti, comunicazioni a clienti o autorità senza revisione umana.
- Quando ti aiuta l'AI, dichiaralo se richiesto. In contesti formali (verbali, perizie, documenti contrattuali) è buona prassi indicare quando una bozza è stata prodotta con AI e poi rivista.
Queste 4 coprono il 90% dei rischi pratici. Aggiungerne altre 6 per essere "completi" è un errore: la gente non le ricorderà.
Sezione 3 — Dati che NON vanno mai nei tool AI
Una mini-lista esplicita di cosa non si fa, mai. Esempio:
- Codici fiscali, numeri di documenti d'identità, dati biometrici.
- Dati sanitari di chiunque.
- Dati di carte di pagamento, IBAN, password, credenziali di accesso.
- Bozze di brevetti, segreti industriali, codice proprietario non rilasciato.
- Mail riservate (specialmente quelle che riguardano questioni HR, legali, finanziarie sensibili).
- Documenti coperti da NDA con clienti o partner.
Questa lista esiste per non lasciare zone grigie. Se il dipendente vede uno di questi dati, sa che la regola è "no, neanche per tentare".
Sezione 4 — Cosa fare se hai dubbi
Una riga sola, ma essenziale:
"Quando hai dubbi, prima di usare l'AI scrivi a [responsabile referente, es. innovazione@azienda.it]. Risposta entro 24 ore."
Questa frase trasforma la policy da documento statico a processo vivo. Il dipendente non deve indovinare, non deve auto-censurarsi. Chiede.
Esempi concreti che fanno la differenza
Una policy senza esempi è teoria. Con esempi diventa operativa. Per ogni regola, aggiungi 1-2 micro-casi:
Su "mai dati personali nei tool AI":
Esempio: stai preparando una proposta per la ditta Rossi & Co. e vuoi farti aiutare da ChatGPT a strutturarla. ✅ Scrivi "Cliente di settore X, fatturato Y, esigenza Z". ❌ Non scrivere "Mario Rossi di Rossi & Co. di Milano, partita IVA 01234..."
Su "l'AI propone, l'umano decide":
Esempio: Copilot ti scrive una mail al cliente. ✅ La leggi, modifichi quel passaggio che non suona, controlli numeri e nomi, e poi premi Invia. ❌ Non premere mai Invia senza aver letto. Mai.
Gli esempi non occupano spazio (basta una riga in italics) e fanno la differenza tra una policy capita e una policy ignorata.
Come comunicarla davvero
Una policy che vive solo in cartella non funziona. Per portarla nel quotidiano:
- Lancia con un evento breve — 30 minuti in plenaria (in presenza o Teams), spieghi il "perché" e leggi insieme la pagina. Niente formalismi.
- Stampa fisica in spazi comuni (sala stampa, cucina, sala riunioni). Sembra banale, funziona.
- Onboarding — chi entra in azienda riceve la policy AI come uno dei primi documenti, insieme al codice etico.
- Aggiornamento ogni 6 mesi — minimo. Il mondo AI cambia veloce, una policy ferma 12 mesi è già vecchia.
- Quiz brevi — ogni 3-4 mesi un mini-quiz di 5 domande sulla policy. Tieni viva l'attenzione. Lo puoi fare anche in piattaforma e-learning.
Cosa NON mettere nella policy in 1 pagina
Per restare in 1 pagina, non scrivere:
- ❌ La storia dell'AI Act (sta in un articolo a parte sul blog interno).
- ❌ Le definizioni di "deployer", "provider", "sistema ad alto rischio" (quelle stanno nel documento tecnico).
- ❌ Le procedure di audit interno (documento separato per il compliance officer).
- ❌ Le clausole contrattuali con OpenAI, Microsoft, Anthropic (sta nei contratti, non in policy).
- ❌ Premesse retoriche sull'importanza dell'AI ("Il futuro è qui...").
Tutto questo materiale ha valore in altri documenti. La policy in 1 pagina è uno strumento operativo, non un trattato.
Una checklist per validare la tua policy
Prima di pubblicarla, verifica che la policy:
- ✅ Sta in 1 pagina A4 con font 11 pt.
- ✅ Si legge in 3 minuti scarsi.
- ✅ Ha almeno 1 esempio concreto per ogni regola.
- ✅ Non usa la parola "ai sensi del", "fermo restando", "ferme restando", "altresì".
- ✅ Ha un nome e un indirizzo email per le domande.
- ✅ Riporta una data di aggiornamento.
Se passi tutti e 6 i punti, hai una policy che le persone leggeranno davvero.
Vuoi un aiuto su governance AI e compliance?
L'Assessment Compliance AI Act di IA in Azienda è un progetto di 3 mesi in cui mappiamo i sistemi AI già in uso, costruiamo la policy AI di azienda, redigiamo la documentazione richiesta dall'art. 4, e lasciamo il team in autonomia su mantenimento e aggiornamento.