Prima di addentrarvi in questa parte, assicuratevi di aver letto l'articolo Come la società civile può condurre verso un'IA responsabile, l'Introduzione a questa Guida pratica, la Parte 1: OSSERVARE - Preparare il terreno, la Parte 2: CREARE - Identificare e definire i propri principi, la Parte 3: Mettere in pratica, e la Parte 4: CREARE - Definire le responsabilità nella governance dell'IA per le OSC.

In alcune organizzazioni, la policy sull'IA inizia con un sistema "a semaforo" che chiunque nel team può consultare e verificare in meno di 60 secondi. In altre, il documento include un principio detto "Non lasciamoci guidare dalla macchina"; una frase formulata direttamente da un membro del team durante un workshop. Le persone vi fanno continuo riferimento non perché sia stato imposto loro dall'alto, ma perché ci si rispecchiano.

Pensiamo invece a cosa succede di solito: qualcuno viene incaricato di "scrivere la policy" e, tre mesi dopo, un documento di 20 pagine finisce dimenticato in una cartella condivisa che nessuno apre.

Qual è la differenza? Le prime due policy sono state scritte con le persone. La terza è stata scritta per loro.

Questo articolo, il terzo della serie La roadmap per un'IA responsabile per le OSC, analizza come le organizzazioni della società civile (OSC) possano creare policy sull'IA che i team utilizzino davvero. Non documenti di conformità destinati a prendere polvere, ma testimonianze vive di accordi condivisi.

Cos'è davvero una policy sull'IA (e cosa non è)

Una policy sull'IA non è un documento legale calato dall'alto. È la versione scritta di accordi collaborativi che l'organizzazione ha costruito attraverso le fasi precedenti di questa roadmap.

Il percorso è naturale: nell'Articolo 1, le tensioni sono diventate principi, ovvero i valori che orientano ogni decisione sull'IA. Nell'Articolo 2 questi principi hanno trovato casa nell'organo di governance - l'Albero - cioè le persone che guidano il dialogo continuo. Ora, il primo grande compito di questo organismo è documentare gli accordi che regolano l'uso quotidiano dell'IA. La policy consiste semplicemente nel mettere nero su bianco questi accordi, usando un linguaggio che permetta a tutto il team di passare all'azione.

E se un'organizzazione non ha ancora attraversato le fasi precedenti? Avviare il percorso partendo da un confronto sulla policy è comunque valido. Nella pratica, questo approccio fa emergere in modo del tutto naturale i principi e le questioni di governance da affrontare; cambia solo l'ordine dei fattori.

Nella metodologia OSSERVARE → CREARE → COSTRUIRE descritta nell'Articolo 1, lo sviluppo della policy rappresenta l'atto finale della fase CREARE: si formalizzano gli accordi prima di passare alla fase COSTRUIRE, dove la valutazione dei rischi li renderà operativi.

Una distinzione utile:

  • I principi definiscono in cosa crediamo.

  • La governance stabilisce chi guida il dialogo.

  • La policy specifica cosa abbiamo concordato di fare.

Questa impostazione è fondamentale perché alleggerisce il "peso emotivo" legato alla stesura di una policy. Non si tratta di inventare regole da zero, ma di mettere per iscritto decisioni che il team ha già preso insieme.

Una precisazione importante sul perimetro di applicazione della policy: la maggior parte delle organizzazioni inizia a strutturarne il contenuto concentrandosi sull'uso dell'IA generativa, definendo linee guida pratiche per strumenti come ChatGPT, servizi di traduzione o generatori di immagini. È un punto di partenza valido e sensato. Man mano che un'organizzazione matura e inizia a condurre valutazioni dei rischi (argomento trattato nell'Articolo 4), i risultati confluiscono naturalmente nella policy, trasformandola in un documento di governance più ampio. Iniziare dall'uso dell'IA generativa non significa "sbagliare approccio", bensì procedere nel giusto ordine.

Perché è importante farlo ora?

Due fattori rendono questo compito urgente per le organizzazioni della società civile.

  1. 1. Il problema della "Shadow AI" (l'IA ombra). In assenza di accordi chiari e accessibili, le persone prendono decisioni in modo isolato, esattamente come nello scenario che apriva l'Articolo 2 di questa serie. Nelle organizzazioni che hanno affrontato un processo di diagnosi, una delle scoperte più comuni è l'uso diffuso nel team di strumenti di IA di cui non si era mai discusso formalmente. Non si tratta di una mancanza dei singoli, ma di un problema di chiarezza aziendale. La policy rende visibile l'invisibile, non per punire, ma per creare una base condivisa.

I rischi sono tangibili: un volontario copia e incolla i dati sensibili dei beneficiari in uno strumento di IA gratuito senza rendersi conto che quei dati potrebbero essere usati per l'addestramento dei modelli; un report per un finanziamento viene inviato con statistiche frutto di "allucinazioni" dell'IA che nessuno ha verificato; un documento legale tradotto con l'IA presenta un errore critico in un dettaglio cruciale. Non sono scenari ipotetici: sono situazioni che le OSC si trovano già ad affrontare.

  1. 2. Il problema della fiducia. Le OSC gestiscono informazioni particolarmente sensibili: storie di beneficiari, dettagli di casi specifici, relazioni con i donatori, un patrimonio di fiducia della comunità costruito in anni di lavoro. Una policy capita e interiorizzata da tutto il team è lo scudo che protegge questa fiducia. Non un documento statico archiviato in un cassetto, ma un punto di riferimento vivo da consultare ogni volta che ci si trova in una zona grigia.

Chi la crea (e come)?

L'organo di governance (l'Albero) guida il processo, ma la policy dovrebbe recare l'impronta digitale delle persone che la applicheranno ogni giorno. In un team piccolo, l'intera organizzazione può sedersi al tavolo per discutere la policy, e questo è un enorme vantaggio: meno passaggi significano un allineamento più rapido e un maggior senso di responsabilità condivisa.

Nella pratica, due approcci tendono a funzionare particolarmente bene:

L'approccio "dal manifesto alla policy" funziona quando un'organizzazione ha già espresso i propri principi in un documento pubblico. L'organo di governance traduce questi principi in linee guida pratiche per il lavoro quotidiano (un sistema a semaforo, le regole di comportamento, i canali per segnalare i problemi) e l'intero team esamina e rifinisce la bozza. La Mindful AI Policy di ChangemakerXchange è un eccellente esempio pubblico di questo approccio.

  1. L'approccio della "co-creazione guidata" funziona quando la policy deve essere costruita da zero. In genere il percorso prevede una sessione di diagnosi per mappare l'uso attuale dell'IA e il quadro normativo, un workshop sui principi in cui un piccolo gruppo in rappresentanza delle varie funzioni fa emergere speranze, timori e punti non negoziabili, e infine un workshop di co-creazione per validare insieme la bozza.

Entrambi gli approcci condividono una scelta metodologica fondamentale: il linguaggio dei partecipanti nel documento finale. Quando l'espressione esatta di un collega diventa il nome di un principio o di una regola, la policy smette di essere "il documento della direzione" e diventa un patrimonio del team. Le persone rispettano gli accordi che hanno contribuito a definire.

Un piccolo gruppo di voci motivate può dare una forte impronta alla prima versione, ma il processo non deve fermarsi lì. Condividere la bozza permette di raccogliere feedback e allargare il cerchio. Anche le sessioni di formazione diventano un'ottima opportunità per far emergere dubbi o lacune prima dell'approvazione definitiva. Più gli input sono diversificati, minori saranno i punti ciechi nel documento finale.

Il modello non cambia, indipendentemente dalle dimensioni dell'organizzazione: fate emergere ciò che conta. Stringete accordi insieme. Metteteli per iscritto usando un linguaggio in cui tutto il team possa riconoscersi. L'organo di governance (l'Albero) guida questo percorso, ma la voce di tutto il team deve vibrare nel documento.

Cosa contiene la policy? I componenti essenziali

Invece di elencare una dozzina di sezioni burocratiche, il modo più utile per impostare i contenuti della policy è rispondere alle tre domande che ogni membro del team si porrà.

  1. 1. "Posso usarlo?" – Il sistema a semaforo

Le organizzazioni che hanno sviluppato policy sull'IA davvero efficaci arrivano sempre a definire una struttura a semaforo. È un sistema che funziona perché sostituisce la paralisi dovuta all'incertezza con una verifica semplice e immediata:

🔴Semaforo rosso (Stop): I confini non negoziabili, che derivano direttamente dai principi.

Ad esempio: i dati riservati non vanno mai inseriti in modelli di IA pubblici; l'IA non prende mai decisioni che incidono sulla vita delle persone senza una revisione umana; le testimonianze personali sensibili (come quelle di richiedenti asilo, sopravvissuti o persone in situazioni di emergenza) non vanno mai elaborate tramite strumenti pubblici. Queste sono le linee rosse assolute dell'organizzazione, confini che non si possono mai superare.

🟡Semaforo giallo (Fermati e chiedi): È qui che la governance entra concretamente in gioco.

Ad esempio: questa opzione è riservata alle decisioni più critiche, all'uso di nuovi strumenti non ancora approvati o alla gestione di dati sensibili. In tutti questi casi, prima di procedere è necessario confrontarsi con l'organo di governance. Il giallo non è un "no", significa "verifichiamo insieme".

🟢Semaforo verde (Via libera): gli usi già approvati secondo le linee guida stabilite, che danno alle persone la tranquillità di agire senza dover chiedere il permesso per le attività di routine. Ad esempio: usare uno strumento di IA autorizzato per abbozzare la prima stesura di una newsletter pubblica, o generare spunti per un workshop partendo esclusivamente da informazioni pubbliche e prive di dati sensibili. Naturalmente, le casistiche specifiche dipenderanno dagli accordi presi internamente.

Una sfumatura cruciale: il sistema a semaforo non si applica al singolo strumento, ma alla combinazione strumento + caso d'uso + livello di riservatezza dei dati. Lo stesso strumento può ottenere il semaforo verde per abbozzare un articolo di blog, ma far scattare quello rosso se usato per riassumere i verbali riservati di un incontro. Ogni dettaglio va calibrato sulle specificità dell'organizzazione.

  1. 2. "Qual è il codice stradale?" — Linee guida per l'uso quotidiano

Oltre al semaforo, ogni policy dovrebbe prevedere accordi di base validi per tutti gli usi dell'IA, compresi quelli che hanno ottenuto il via libera. Considerateli come punti di partenza: ogni organizzazione svilupperà poi regole che rispecchiano i propri principi e metodi di lavoro.

  • Verificate ogni informazione. I contenuti generati dall'IA possono essere errati o del tutto inventati. Considerate ogni output come una prima bozza, mai come una fonte definitiva.

  • Proteggete i dati. Trattate le informazioni inserite negli strumenti di IA esterni come se steste per pubblicarle online. Anonimizzate sempre i dati sensibili.

  • Preservate l'autenticità. Assicuratevi che i contenuti prodotti con l'aiuto dell'IA riflettano la voce autentica dell'organizzazione (CXC definisce questa pratica come una barriera contro l'"AI slop", i contenuti spazzatura dell'IA).

  • Garantite la trasparenza. Dichiarate l'uso dell'IA quando ha plasmato in modo sostanziale un contenuto, in particolare nelle comunicazioni esterne o nelle relazioni di valutazione.

  • Valutate la proporzionalità. Non tutte le email hanno bisogno di una bozza scritta dall'IA. Chiedetevi sempre se l'attività giustifica davvero l'uso dello strumento.

  1. 3. "E se qualcosa va storto?" - Il percorso di apprendimento

  2. Una policy non può dirsi completa se non traccia un percorso chiaro per quando le cose non vanno come previsto, riassumibile nella formula: "segnala il problema, non nasconderlo". Richiede l'indicazione di una persona o di un canale di riferimento a cui rivolgersi, chiarezza sulle informazioni utili da fornire e l'impegno a un approccio orientato all'apprendimento anziché alla punizione. Qualunque sia la soluzione più adatta alla cultura interna – una chat di gruppo, un indirizzo email dedicato o un responsabile designato – l'importante è che esista e sia nota a tutti.

Gli elementi strutturali

Attorno a queste tre domande chiave, la policy si articola su pochi elementi essenziali: il perimetro (a chi si applica la policy), la governance (chi ne è responsabile), l'inventario dell'IA (il registro dinamico degli strumenti avviato nell'Articolo 1) e l'impegno alla revisione (tempi e modalità di aggiornamento).

A questi si aggiunge la formazione, un tassello fondamentale spesso trascurato: una policy mai illustrata è una policy che non esiste. Non servono programmi complessi: basta una sessione di 30 minuti con il team per spiegare il semaforo, analizzare scenari reali e rispondere ai dubbi. L'ideale è affidare questo compito a un membro del team in prima linea, che conosce la realtà quotidiana del lavoro. Il formato può variare in base alla cultura interna: una riunione, un breve video, una guida rapida di una pagina o esercitazioni pratiche. L'obiettivo è semplice: ognuno deve conoscere le linee rosse, capire come funziona il semaforo e sapere a chi rivolgersi in caso di domande.

Una policy che evolve: dalla prima versione a un sistema vivo

Il punto di forza della "versione 1" è che esiste.

Le organizzazioni che gestiscono le proprie policy come strumenti dinamici vi integrano fin dall'inizio precisi meccanismi di evoluzione: revisioni periodiche ogni sei mesi, aggiornamenti straordinari quando si adotta un nuovo strumento o si verifica un incidente significativo, e circuiti di feedback in cui i consulti sui semafori gialli e i dubbi emersi durante la formazione evidenziano ciò che richiede maggiore chiarezza.

È un percorso di crescita naturale. La prima versione si concentra sull'uso dell'IA generativa. Quando inizierete le valutazioni dei rischi (l'argomento dell'Articolo 4), i risultati integreranno naturalmente il testo: l'analisi degli scenari di "semaforo giallo" farà emergere strategie di mitigazione e nuovi guardrail. Il documento si evolve perché cresce la competenza del team, non perché qualcuno ha deciso di allungarlo.

Un invito a iniziare

I principi sono definiti. L'Albero è stato costituito. La policy non fa altro che mettere nero su bianco ciò che avete concordato, dando a tutto il team la sicurezza necessaria per agire.

Iniziate dalle linee rosse. Costruite il semaforo intorno a queste. La prima versione non deve essere onnicomprensiva: deve essere onesta, collaborativa e utile. Il resto crescerà da sé.

La risorsa complementare: "Guida pratica per creare la vostra policy sull'IA" offre il modello completo: domande guida per ciascuna sezione, testi di esempio da adattare e un percorso per lavorarci in gruppo.

Nel prossimo articolo vedremo come gli scenari di "semaforo giallo" della policy siano l'esatto punto di partenza per la valutazione dei rischi. Esploreremo come analizzare a fondo quei casi, valutarne i potenziali impatti negativi e definire i guardrail che andranno ad arricchire le versioni future del documento.

Il tuo feedback è importante

Cosa ne pensi di questo testo? Dedica 30 secondi per condividere il tuo feedback e aiutarci a creare contenuti significativi per la società civile.

Note e Disclaimer

Questo articolo fa parte della serie "La roadmap per un'IA responsabile per le OSC", realizzata nell'ambito del progetto AI for Social Change del Digital Activism Program di TechSoup, con il supporto di Google.org. Tutte le risorse sono pubblicate sotto licenza Creative Commons Attribution 4.0 International.

L'autrice ha utilizzato l'IA per creare questo contenuto. Tuttavia, l'intero articolo è stato ideato, revisionato e verificato dall'autrice e dal team di TechSoup.

Gli strumenti di IA si evolvono rapidamente e, sebbene facciamo il possibile per garantire l'accuratezza dei contenuti, alcuni elementi potrebbero non essere più aggiornati. Se noti informazioni superate, segnalacelo all'indirizzo contact@hive-mind.community.

Informazioni sull'autrice

Ayşegül Güzel è Responsible AI Governance Architect, ossia un'esperta di progettazione di governance per un utilizzo responsabile dell'AI, e aiuta le organizzazioni a trasformare l'ansia da IA in sistemi affidabili e degni di fiducia. La sua carriera unisce ruoli di vertice nel settore sociale - tra cui la fondazione di Zumbara, la più grande rete di banche del tempo al mondo - a una solida esperienza tecnica maturata come auditor IA certificata ed ex data scientist. Accompagna le organizzazioni attraverso percorsi completi di trasformazione della governance dell'IA e conduce audit tecnici sull'intelligenza artificiale. Insegna presso ELISAVA e interviene a livello internazionale su approcci alla tecnologia incentrati sull'uomo. Per saperne di più: https://aysegulguzel.info oppure iscriviti alla sua newsletter AI of Your Choice su https://aysegulguzel.substack.com.