L’intelligenza artificiale nel contesto lavorativo: 7 mosse per applicare (davvero) l’AI Act

• Primo Piano
• Giovedì, 08 Maggio 2025 07:45

L’intelligenza artificiale è ormai entrata in azienda. Ma non sempre dalla porta principale. Negli ambienti di lavoro, l’uso dell’AI per selezionare, valutare, sorvegliare e persino licenziare persone è ormai una realtà. Ma dietro l’efficienza apparente si nasconde un rischio profondo: dare in “outsourcing algoritmico” scelte che toccano diritti fondamentali.

(Nella foto: Giuseppe Alverone, speaker al Privacy Day Forum 2025)

Il Regolamento UE 2024/1689 (AI Act) lo dice con chiarezza: tutti i sistemi di AI utilizzati per influenzare l’avvio, la gestione o la cessazione di rapporti lavorativi sono “ad alto rischio”. Obblighi documentali, trasparenza, sorveglianza umana, robustezza tecnica diventano imperativi. Ma la vera posta in gioco è più alta: il governo etico della tecnologia nei luoghi dove si costruisce il futuro delle persone.

AI e lavoro: perché il rischio è reale - Secondo l’AI Act (art. 6, par. 2 e Allegato III, punto 4), sono sistemi ad alto rischio quelli impiegati per:

- l’assunzione e la selezione dei lavoratori: annunci mirati, screening CV, valutazioni automatizzate;
- la gestione del personale: decisioni su promozioni, licenziamenti, compiti, valutazioni di performance, tracciamento comportamentale.

Questi sistemi non analizzano dati: plasmano vite. Ogni decisione automatizzata che impatta sulla dignità lavorativa entra nel perimetro di massima vigilanza; e attiva obblighi rigorosi: sorveglianza umana, trasparenza, sicurezza, accountability.

Le tre faglie della non-conformità - Tra il dettato delle nome giuridiche e la realtà operativa delle organizzazioni si aprono delle crepe. L’AI Act, il GDPR e la NIS 2 impongono obblighi distinti ma intrecciati: trasparenza algoritmica, protezione dei dati personali, sicurezza informatica. Eppure, nella pratica, queste norme rischiano di restare compartimenti stagni, generando le seguenti tre faglie strutturali che minano la compliance:

- sovrapposizione normativa: AI Act, GDPR, NIS 2, diritto del lavoro: quattro livelli di norme che si incrociano. Chi è il titolare? Qual è la base giuridica? Serve la DPIA? Chi controlla il sistema? Le risposte spesso mancano;
- governance assente: talvolta manca un coordinamento tra HR, IT, DPO, CISO, LEGAL. I progetti AI vengono implementati senza supervisione trasversale, senza regole di ingaggio, senza tracciabilità delle scelte;
- sicurezza trascurata: molti sistemi AI non sono protetti da attacchi di manipolazione dati (data poisoning), di esfiltrazione di modelli o alterazioni nei dataset. La componente cyber diventa così il tallone d’Achille.
Se non riconosciute e sanate, queste faglie trasformano l’adozione dell’AI da opportunità strategica a rischio sistemico.

Le 7 proposte per l’applicazione operativa dell’intelligenza artificiale nel contesto lavorativo: un contributo senza pretesa di esaustività - Serve quindi un cambio di passo.

Per applicare davvero l’AI Act nel contesto lavorativo non bastano policy generiche o audit formali: occorre un approccio operativo, multidisciplinare e documentato.

Le 7 mosse che seguono delineano - senza alcuna pretesa di esaustività - gli elementi di un metodo per una compliance che possa integrare etica, diritto, sicurezza e governance. Perché solo chi ha un metodo può governare la tecnologia.

1. Mappare e classificare - Ogni sistema di AI andrebbe identificato, tracciato, inventariato. Dovrebbero risultare chiare finalità, base giuridica, dati trattati, soggetti coinvolti, livello di rischio. Senza piena consapevolezza, non esiste difesa né regolazione possibile.

2. Integrare GDPR e AI Act - Le valutazioni separate non bastano. Serve un’analisi unica e integrata che unisca tutele sui diritti, requisiti tecnici, sorveglianza umana, impatti etici e misure di mitigazione previste da entrambe le normative.

3. Attivare la governance fin dall’inizio - DPO, CISO, HR, LEGAL e IT dovrebbero essere coinvolti già in fase progettuale. Andrebbero formalizzati ruoli, escalation, responsabilità e controlli.

4. Garantire una supervisione umana significativa - L’intervento umano deve essere reale, tempestivo, consapevole. Le presenze formali non bastano. Occorre la possibilità concreta di correggere, bloccare, intervenire; altrimenti il sistema è legalmente insostenibile.

5. Applicare la cybersecurity by design - Audit trail, controlli d’accesso, monitoraggio continuo, resilienza ai data poisoning: ogni AI è anche un asset digitale, da trattare come infrastruttura critica.

6. Informare e coinvolgere i lavoratori - Trasparenza radicale: informazioni chiare, accessibili, preventive. Occorre coinvolgere le rappresentanze e garantire i diritti dei lavoratori come condizione essenziale ad un naturale sviluppo del rapporto di lavoro.

7. Costruire l’AI Compliance File - Va predisposto un fascicolo tecnico-giuridico aggiornato, che documenti progettazione, test, audit, controlli e misure attuate. È il core dell’accountability.

La vera innovazione sta nel saper dire “come”, non solo “cosa” - Con queste poche righe ho cercato di dimostrare come l’AI Act imponga di governare l’AI nel contesto lavorativo con intelligenza.

Chi implementa l’AI deve essere consapevole che ogni algoritmo è una leva di potere in quanto agisce sulle persone, orienta le decisioni e genera conseguenze.

Quindi non è possibile applicare regole in automatico. Bisognerebbe invece costruire un metodo solido, documentabile, condiviso, che metta insieme innovazione e responsabilità.

Solo così l’intelligenza artificiale potrà produrre valore senza fare male alle persone.