Politiche AI in azienda, proteggere il capitale cognitivo diventa essenziale

Una policy AI aziendale non può limitarsi a vietare l’uso improprio dei chatbot o a richiamare il GDPR. Deve governare contenuti, fornitori, know-how, processi decisionali e dipendenze tecnologiche, proteggendo il capitale cognitivo e la capacità dell’impresa di scegliere con autonomia.

Direttore strategico all’ENIA – Ente Nazionale per l’Intelligenza Artificiale – spiega che nelle aziende che adottano strumenti di intelligenza artificiale generativa, la policy interna viene troppo spesso ridotta a un insieme di divieti elementari, raccomandazioni d’uso e richiami generici alla privacy.

Persino un'azienda matura può commettere errori

Questo approccio ormai insufficiente, perché oggi una policy AI efficace deve chiarire non solo quali strumenti possano essere usati, ma anche quali contenuti possano essere condivisi con sistemi esterni, quali garanzie contrattuali servano nei rapporti con i fornitori e in che modo l’AI possa entrare nei processi aziendali senz’alterare la qualità del giudizio, il controllo organizzativo e la protezione del know-how.

Il punto non è solo evitare che dati personali o informazioni riservate finiscano in un chatbot. Il punto è governare l’impatto dell’AI sull’architettura decisionale dell’impresa. Questo significa tenere insieme almeno quattro dimensioni: conformità normativa, sovranità tecnologica, protezione del know-how e supervisione effettiva dei processi nei quali l’AI viene utilizzata come supporto.

Che cosa vuol dire "governare" il capitale cognitivo?

In questo contesto, sono utili tre concetti essenziali. Il primo è capitale cognitivo, cioè il patrimonio di processi, logiche, linguaggi, criteri operativi e ricorrenze decisionali che l’impresa accumula nel tempo e che costituisce una parte essenziale del suo vantaggio competitivo, anche quando non coincide né con dati personali né con segreti industriali formalmente classificati.

Capitale, sovranità e Mind Breach

Il secondo è sovranità cognitiva, la capacità dell’organizzazione di mantenere il controllo su quel patrimonio, sui propri criteri decisionali e sulle dipendenze tecnologiche che, nel tempo, possono ridurne l’autonomia operativa e strategica.

Il terzo concetto utile è Mind Breach, espressione usata non come categoria giuridica codificata, ma come chiave interpretativa per descrivere il rischio che l’adozione crescente di sistemi AI, esterni o interni, riduca progressivamente la capacità dell’impresa di formulare alternative, contestare gli output e preservare un giudizio realmente indipendente.

Non basta vietare ChatGpt

Il primo errore, ancora molto diffuso, consiste nel credere che il cuore di una policy AI risieda nel vietare ai dipendenti di caricare informazioni personali sui sistemi di intelligenza artificiale generativa come ChatGPT, come se il problema fosse esclusivamente la violazione del GDPR.

In realtà, un’organizzazione espone rischi molto più ampi quando, anche in modo frammentato e involontario, trasferisce procedure, criteri di classificazione, logiche di erogazione, strutture di priorità, eccezioni, formule decisionali, casi ricorrenti e segmenti del proprio linguaggio interno. Questi elementi, pur non rientrando nella categoria del dato personale, rappresentano una parte rilevante del patrimonio competitivo dell’azienda.

Concetto nuovo: il rischio di Esfiltrazione Cognitiva

Per questa ragione, una policy AI matura non può limitarsi a classificare i contenuti come pubblici, interni o personali. Deve introdurre anche un criterio di valore cognitivo e strategico, distinguendo tra ciò che può essere condiviso e ciò che, pur non essendo sensibile in senso tradizionale, rivela processi, regole, logiche di business o criteri decisionali.

È in questo senso che si parla di Rischio di Esfiltrazione Cognitiva, il trasferimento non intenzionale e non governato di conoscenza organizzativa verso provider terzi.

Passaggi verso policy più robuste

Un secondo errore frequente consiste nel ritenere che il rischio sia sostanzialmente risolto quando l’azienda abbandona i tool gratuiti e passa a piani enterprise. Anche questo, da solo, non basta.

Una policy robusta deve considerare aspetti come: condizioni contrattuali (DPA), residenza dei dati, accessi extra-UE, periodo di conservazione, logging, auditabilità e margini di uscita dal fornitore. Il tema non riguarda soltanto la sicurezza dei dati, ma anche il vendor lock-in, che nel caso dell’AI tende a diventare operativo e cognitivo.

Questo passaggio rientra nel quadro europeo in evoluzione. L’AI Act mette a fuoco questioni chiave come supervisione umana, documentazione, tracciabilità e alfabetizzazione AI, mentre il Data Act richiama l’attenzione sul tema dello switching e della riduzione delle barriere alla mobilità tra fornitori.

Lettore insieme, questi due piani indicano una direzione chiara: l’adozione dell’AI non può essere governata soltanto come tema di efficienza o di procurement, perché coinvolge continuità operativa, reversibilità tecnologica, controllo del know-how e qualità delle decisioni.

E quando si sceglie AI interna?

molte organizzazioni, compresa ENIA, investono in AI locali, on-premise o comunque interne. È una scelta sensata, perché riduce la dipendenza da provider esterni e aumenta il controllo su dati e know-how. Ma anche in questo caso si corre il rischio di semplificare troppo.

Il semplice fatto che l’AI sia in azienda non elimina il rischio, ma lo trasforma. Quando l’AI interna smette di essere soltanto un modello locale e comincia a incorporare documentazione, casi storici, workflow, metriche, regole e pattern organizzativi, evolve verso una forma di digital twin aziendale, interpretata qui come rappresentazione operativa della struttura, del linguaggio e dei meccanismi dell’organizzazione.

La governance che serve oggi

Un sistema del genere può avere un valore enorme, ma può anche influenzare in misura crescente il modo in cui i problemi vengono inquadrati, le opzioni vengono ordinate e le scelte vengono giustificate. È qui che il concetto di Mind Breach diventa utile.

Il rischio non è solo che l’azienda trasmetta dati o know-how a soggetti esterni, ma che, nell’utilizzo interno di un sistema AI, finisca per attribuirgli un’autorità crescente, fino a quando l’output dell’AI viene percepito non come supporto contestabile, ma come quadro implicito del plausibile.

Tre aspetti fondamentali da governare

Da questo punto di vista, una policy AI aziendale deve oggi governare tre aspetti insieme: ciò che può uscire, ciò che deve restare interno, e il ruolo che l