1. Obiettivo
La presente Policy definisce le modalità di utilizzo sicuro, conforme e responsabile delle tecnologie di Intelligenza Artificiale (IA) all'interno dell'organizzazione, con l'obiettivo di stabilire un Framework strutturato di AI Security Governance.
La Policy garantisce:
- Protezione dei dati.
- Conformità normativa (es. GDPR e AI Act).
- Gestione dei rischi AI.
- Controllo degli accessi.
- Supervisione umana continua (Human Oversight) degli output.
- Tracciabilità e login delle decisioni.
- Monitoraggio continuo dei sistemi AI.
2. Ambito di Applicazione
La Policy è applicabile a tutte le società del Gruppo, unità aziendali e dipendenti coinvolti nello sviluppo, nell'implementazione e nella gestione di sistemi di IA. Include anche i fornitori esterni.
L'ambito copre, laddove utilizzati:
- Strumenti AI Generativi (es. ChatGPT, Copilot, Claude, Gemini, ecc.).
- Modelli di Machine Learning (ML) interni.
- Servizi Software as a Service (SaaS) con funzionalità AI.
- Automazioni basate su IA.
- Integrazioni software che elaborano dati aziendali tramite AI.
- Sviluppo interno di sistemi AI.
È fatto obbligo di utilizzare esclusivamente gli strumenti di IA autorizzati e forniti dall’azienda, evitando sistemi open source o comunque non approvati per prevenire seri rischi di sicurezza e data leakage.
3. Governance e Responsabilità
L'implementazione del Framework di AI Security Governance richiede l'assegnazione di ruoli e responsabilità formalizzati:
| Ruolo |
Responsabilità |
| Direzione ICT / Security |
Supervisione del Framework di AI Security. |
| DPO |
Verifica della conformità a privacy e GDPR. |
| Compliance / Risk |
Valutazione dei rischi normativi. |
| Responsabili di Processo |
Approvazione formale dei casi d’uso AI. |
| Utenti/Dipendenti |
Uso conforme alle policy e segnalazione di anomalie. |
| Fornitori AI |
Rispetto dei requisiti contrattuali e dei requisiti di sicurezza/GDPR. |
4. Principi di Utilizzo dell'IA
L'utilizzo di qualsiasi sistema di IA deve aderire ai seguenti principi:
- Uso Etico e Responsabile: Promuovere un uso che rispetti i diritti umani e i valori aziendali, prevenendo bias e discriminazioni.
- Supervisione Umana (Human-in-the-Loop): L’IA deve agire come supporto alle decisioni umane. È richiesta la validazione umana obbligatoria per tutti gli output generati dall'IA prima del loro utilizzo in decisioni critiche o in contesti che coinvolgono terze parti (es. clienti).
- Trasparenza e Spiegabilità (XAI): Garantire la massima trasparenza sull'utilizzo dei sistemi AI e, ove richiesto dalla criticità, la comprensibilità del processo decisionale (Explainable AI), specialmente in ambiti ad alto rischio. Se l'IA Generativa produce contenuti (visual, audio, video), deve essere chiaramente indicato che sono stati generati o modificati artificialmente.
- Minimizzazione e Protezione dei Dati: Trattare i dati necessari e classificare i dati utilizzabili. È fatto divieto assoluto di inserire in sistemi di IA non autorizzati:
- Dati personali particolari (sensibili).
- Informazioni classificate o segreti industriali.
- Password o credenziali di accesso.
5. Controlli di Sicurezza e Architetture Mandatorie
Per la gestione della sicurezza, sono richiesti i seguenti controlli:
- Controllo degli Accessi (ACL Sync): L'accesso ai sistemi AI deve essere consentito solo a utenti autorizzati e gestito tramite account aziendali dedicati, con Multi-Factor Authentication (MFA) ove disponibile. In particolare, nei sistemi che accedono a repository documentali, deve essere implementata una sincronizzazione granulare dei permessi (Identity-Aware RAG) in modo che l'IA non possa accedere a dati che l'utente non è autorizzato a visualizzare alla fonte.
- Monitoraggio dei Leak (AI Gateway): Per gli strumenti di IA che elaborano dati aziendali, è mandatoria l'adozione di un AI Gateway che agisca come proxy tra l'utente e il modello. Il Gateway deve effettuare:
- Prompt Filtering: Blocco preventivo dei dati riservati in input (Pre-processing).
- Output Inspection: Analisi delle risposte per intercettare e bloccare dati sensibili involontari prima che raggiungano l’utente (Post-processing).
- Gestione di Agentic AI: I sistemi di IA autonomi capaci di controllare interfacce utente (UI) o accedere al sistema operativo devono essere sottoposti a:
- Ambienti Isolati (Sandboxed OS): L'agente deve operare all'interno di una macchina virtuale o container isolato con privilegi limitati.
- Approval Gates: Richiesta di approvazione esplicita per ogni azione critica (es. invio e-mail, modifiche di sistema).
6. Gestione del Rischio AI
È richiesto un processo strutturato per la gestione del rischio AI:
- Classificazione del Rischio: Categorizzazione di ogni caso d'uso in basso, medio o alto rischio.
- Valutazione Preventiva: Prima dell'adozione, è richiesta una valutazione di impatto su sicurezza, privacy (DPIA per trattamenti ad alto rischio), rischio reputazionale, rischio bias e impatto operativo.
- Approvazione: I casi d'uso ad alto rischio devono ottenere l'approvazione formale da ICT/Security, DPO e Compliance.
7. Ciclo di Vita dell'IA
I controlli di sicurezza devono essere applicati lungo l'intero ciclo di vita del sistema AI:
| Fase |
Controlli di Sicurezza |
| Selezione Vendor |
Due Diligence, Vendor Assessment (verifica GDPR, localizzazione dati, certificazioni). |
| Development |
Secure coding, review del codice, controllo del dataset di addestramento. |
| Testing |
Validazione degli output, test di sicurezza, Red Teaming, Prompt injection tests. |
| Deployment |
Approvazione formale e rilascio responsabile, con chiare indicazioni sulle limitazioni del sistema agli utenti. |
| Esercizio |
Monitoraggio continuo delle performance e gestione delle vulnerabilità. |
| Revisione |
Audit periodici. |
| Dismissione |
Cancellazione sicura dei dati. |
8. Conformità Normativa
La Policy si allinea ai requisiti normativi applicabili, inclusi, ma non limitati a:
- Regolamento UE 2016/679 (GDPR).
- Regolamento UE 2024/1689 (EU AI Act).
- Direttiva NIS.
- Standard ISO/IEC 27001 (Sicurezza delle informazioni) e ISO/IEC 42001 (AI Management System).
9. Formazione e Awareness
Il fattore umano è un elemento critico della sicurezza. Per questo, è previsto un programma obbligatorio di formazione e sensibilizzazione:
- Formazione sui rischi dell'AI e sui principi di sicurezza.
- Linee guida specifiche per l'uso di prompt sicuri e responsabili.
- Sensibilizzazione sui rischi di data leakage e sull'importanza del reporting degli incidenti.
10. Monitoraggio e Audit
Il rispetto della Policy è soggetto a monitoraggio e riesame periodico:
- Riesame Annuale: La Policy e il Framework devono essere sottoposti a riesame e aggiornamento almeno annuale.
- Audit: Verranno eseguiti audit interni e, ove necessario, esterni, per verificare la conformità.
- Gestione Incidenti: Deve essere attivo un processo per la gestione degli incidenti AI e la segnalazione tempestiva di anomalie da parte degli utenti.
11. Efficacia e Sanzioni
Il rispetto della presente Policy è obbligatorio. L'azienda, così come riportato al punto precedente, effettua controlli periodici e audit per verificare il rispetto della presente Policy. La violazione delle regole sull'uso responsabile dell'Intelligenza Artificiale espone l'azienda a gravi rischi legali, reputazionali e di sicurezza. Di conseguenza, ogni condotta contraria a quanto qui disposto sarà considerata al pari di una violazione delle procedure di sicurezza informatica aziendali e sanzionata secondo i regolamenti disciplinari interni e le leggi vigenti.
___________________________________________________________________________________________
Tipo Documento: Allegato del MSGI
Emesso da: Innovaway S.p.A. Area SGI
Codice: ALL_26 - Policy Aziendale per la Sicurezza e l'Utilizzo Responsabile dell'IA
Ed. 1. Rev. 00
Napoli, li 29 gennaio 2026
General Manager
Antonio Burinato
