Per molte aziende l’intelligenza artificiale entra nei processi senza fare rumore. Non arriva quasi mai con un grande progetto strategico, con una mappa dei rischi, con una revisione seria delle responsabilità interne o con una domanda scomoda su chi decide davvero quando il sistema produce un risultato. Arriva molto più spesso come funzione aggiuntiva dentro un software già utilizzato, come dashboard più intelligente, come sistema di ranking, come ottimizzazione dei turni, come filtro sui candidati, come suggerimento automatico sulle priorità, come alert su anomalie, performance, ritardi, comportamenti o scostamenti.
All’inizio sembra tutto innocuo. Anzi, sembra efficiente. Il sistema organizza meglio, segnala prima, confronta più velocemente, suggerisce cosa guardare, ordina ciò che prima era disperso. Il problema nasce dopo, quando quella stessa informazione comincia a incidere sulle persone, sui carichi di lavoro, sulle valutazioni, sui richiami, sulle esclusioni, sulle assegnazioni, sulle decisioni operative e, nei casi peggiori, su contestazioni che l’azienda deve poi riuscire a difendere.
Ed è lì che molte imprese scoprono una cosa sgradevole: non basta dire che il software funziona, non basta dire che l’IA era solo di supporto, non basta dire che alla fine ha deciso una persona. Quando nasce una contestazione, il punto non è più l’innovazione. Il punto è la prova.
Il vero rischio dell’IA non è solo normativo. È organizzativo.
Il quadro normativo intorno all’intelligenza artificiale è ormai stratificato. L’AI Act europeo, Regolamento UE 2024/1689, ha introdotto un impianto basato sul rischio e include anche ambiti sensibili come occupazione, gestione dei lavoratori e accesso al lavoro tra le aree che possono ricadere nei sistemi ad alto rischio. In Italia, la Legge 23 settembre 2025, n. 132 ha definito principi nazionali sull’utilizzo dell’intelligenza artificiale, richiamando un uso corretto, trasparente e responsabile in una dimensione antropocentrica. Il Decreto Ministeriale n. 180 del 17 dicembre 2025 ha poi adottato linee guida per l’implementazione dell’IA nel mondo del lavoro.
Ma ridurre tutto a un tema legale sarebbe un errore pericoloso. Perché il problema non nasce solo quando manca un documento privacy, quando l’informativa è scritta male o quando non è stata fatta una valutazione d’impatto. Il problema nasce prima, quando l’azienda non sa descrivere con precisione come lavora davvero il proprio sistema.
Che cosa fa l’algoritmo? Quali dati utilizza? Da quali fonti li prende? Chi li corregge se sono sbagliati? Chi controlla gli output? Chi può disattivarli, contestarli o modificarli? Dove resta traccia della decisione umana? Quanto è reale la supervisione e quanto, invece, è solo una firma finale messa sopra un risultato che nessuno mette più in discussione?
Queste non sono domande da avvocato. Sono domande da azienda ordinata. E proprio per questo molte PMI arrivano impreparate: perché hanno comprato uno strumento, hanno accettato una funzione, hanno introdotto una dashboard, ma non hanno costruito attorno a quella dashboard un processo leggibile.
La dashboard non è una prova. La dashboard è solo l’inizio del problema.
Uno degli errori più diffusi è pensare che il dato generato dal sistema sia automaticamente più solido del giudizio umano. Se lo dice la dashboard, allora sarà vero. Se l’algoritmo assegna un punteggio, allora quel punteggio descrive la realtà. Se il sistema segnala un’anomalia, allora l’anomalia esiste. Se il ranking mette un candidato in fondo alla lista, allora quel candidato era meno adatto.
Questa fiducia cieca è comoda finché nessuno contesta nulla. Ma quando una persona chiede spiegazioni, quando un lavoratore impugna una sanzione, quando un candidato denuncia un’esclusione opaca, quando un reparto sostiene di essere penalizzato da criteri non dichiarati, la dashboard smette di essere uno strumento manageriale e diventa un oggetto da spiegare.
A quel punto l’azienda deve dimostrare che il sistema era usato per una finalità lecita, che i dati erano pertinenti, che il controllo non era sproporzionato, che le persone erano state informate in modo comprensibile, che l’intervento umano non era una finzione e che la decisione finale non era semplicemente una ratifica automatica di ciò che il software aveva già deciso.
Il D.Lgs. 152/1997, all’articolo 1-bis, prevede ulteriori obblighi informativi quando vengono utilizzati sistemi decisionali o di monitoraggio automatizzati. Il GDPR, all’articolo 22, presidia il tema delle decisioni basate unicamente su trattamenti automatizzati quando producono effetti giuridici o incidono in modo analogo significativamente sulla persona. Il Garante Privacy ha più volte richiamato l’attenzione sui rischi legati ad algoritmi non contestabili o discriminatori nel lavoro tramite piattaforma, anche con provvedimenti sanzionatori.
Ma anche qui il punto, per un’impresa, non è imparare a memoria le norme. Il punto è capire che ogni automatismo introdotto senza tracciabilità crea debito organizzativo. Oggi sembra velocizzare. Domani può diventare impossibile da difendere.
Il falso human-in-the-loop: quando la supervisione umana esiste solo sulla carta
Molte aziende pensano di essere al sicuro perché, formalmente, “la decisione finale la prende sempre una persona”. È una frase rassicurante, ma spesso debole. Perché una persona che conferma sempre il suggerimento del sistema, senza criteri chiari, senza tempo reale di valutazione, senza potere effettivo di override, senza motivazione registrata e senza formazione specifica, non sta davvero decidendo. Sta validando.
Ed è qui che l’human-in-the-loop diventa una formula vuota. Una specie di etichetta difensiva appiccicata sopra un processo che, nella sostanza, resta automatico. Se ogni alert diventa un richiamo, se ogni score basso diventa una valutazione negativa, se ogni ranking viene seguito senza riesame, se ogni anomalia viene trasformata in sospetto, allora non esiste una vera supervisione umana. Esiste solo una persona che si assume la responsabilità di un sistema che forse non comprende fino in fondo.
Per Alkemist questo è il punto centrale: un processo non è governato perché qualcuno lo approva alla fine. Un processo è governato quando ogni passaggio rilevante è leggibile, tracciabile, coerente e verificabile. La decisione umana deve lasciare impronta. Deve essere ricostruibile. Deve poter dire perché un output è stato accettato, corretto, ignorato o ribaltato.
Il problema non è usare l’IA. Il problema è usarla dentro processi disordinati.
In un’azienda già ordinata, l’intelligenza artificiale può diventare uno strumento potente, perché si innesta su responsabilità chiare, dati coerenti, flussi documentati e decisioni già strutturate. In un’azienda disordinata, invece, l’IA rischia di rendere più veloce il disordine. Non lo risolve. Lo accelera.
Se il dato di partenza è sporco, l’output sarà elegante ma fragile. Se i ruoli non sono chiari, il sistema aumenterà l’ambiguità. Se le decisioni oggi vengono prese a voce, domani verranno prese “perché lo dice il sistema”, ma senza che nessuno sappia spiegare davvero che cosa il sistema abbia fatto. Se le informazioni sono sparse tra fogli Excel, gestionali separati, chat, email e procedure non scritte, l’IA non costruirà coerenza dal nulla. Al massimo produrrà una nuova superficie tecnologica sopra una base organizzativa instabile.
È per questo che il tema della prova è così importante. Perché la prova non si costruisce quando arriva il contenzioso. La prova si costruisce prima, nel modo in cui l’azienda lavora ogni giorno. Nei log. Nei permessi. Nei flussi di approvazione. Nelle motivazioni. Nelle modifiche registrate. Nella distinzione tra suggerimento automatico e decisione umana. Nella possibilità di ricostruire chi ha visto cosa, quando, con quale dato e con quale esito.
La compliance vera non è un fascicolo. È coerenza tra sistema e realtà operativa.
Molte imprese affrontano questi temi come se bastasse produrre documenti: una policy, un’informativa, una procedura, una dichiarazione del fornitore, magari una valutazione scritta una volta e mai più riletta. Ma la compliance che regge davvero non è quella che descrive un mondo ideale. È quella che corrisponde al modo in cui l’azienda lavora davvero.
Se l’informativa dice che il sistema non viene usato per valutazioni individuali, ma i responsabili lo usano ogni settimana per confrontare le persone, c’è una frattura. Se la procedura dice che l’intervento umano è obbligatorio, ma nessuno registra l’esito della revisione, c’è una frattura. Se il vendor promette spiegabilità, ma internamente nessuno sa spiegare quali indicatori compongono uno score, c’è una frattura. Se la DPIA, l’analisi dei controlli a distanza, l’informativa al lavoratore e la prassi quotidiana non si parlano, l’azienda non ha un sistema. Ha pezzi separati che sembrano ordinati solo finché nessuno li mette alla prova.
Ed è proprio qui che molte organizzazioni scoprono il costo reale della frammentazione. Non quando acquistano il software. Non quando attivano la funzione. Non quando il vendor presenta la demo. Lo scoprono quando devono ricostruire una decisione e nessuno sa più dove sia il dato originale, quale regola sia stata applicata, chi abbia validato l’output e perché una persona sia stata trattata in un certo modo.
Prima dell’IA serve una domanda scomoda: siamo in grado di dimostrare come decidiamo?
La domanda che ogni azienda dovrebbe farsi prima di introdurre sistemi intelligenti nei processi non è “quanto tempo ci farà risparmiare?”. Quella è una domanda facile, spesso usata per vendere tecnologia. La domanda più seria è un’altra: se domani qualcuno contestasse una decisione presa anche grazie a questo sistema, saremmo in grado di ricostruirla?
Saremmo in grado di mostrare i dati utilizzati? Saremmo in grado di dimostrare che erano corretti e pertinenti? Saremmo in grado di spiegare il ruolo dell’algoritmo senza nasconderci dietro parole generiche? Saremmo in grado di provare che una persona ha valutato davvero l’output? Saremmo in grado di distinguere un suggerimento da una decisione? Saremmo in grado di dimostrare che due persone in situazioni simili sono state trattate in modo coerente?
Se la risposta è no, il problema non è l’IA. Il problema è l’azienda. L’IA lo ha solo reso più evidente.
Perché un’impresa coerente non è quella che evita la tecnologia per paura del rischio. È quella che introduce tecnologia dentro processi leggibili, dove il dato non è un’opinione, la responsabilità non è dispersa, la decisione non è opaca e la prova non deve essere inventata dopo. La vera efficienza non è fare più velocemente qualcosa che non sai spiegare. La vera efficienza è poter dimostrare, anche mesi dopo, perché una decisione è stata presa, da chi, con quali informazioni e con quale controllo.
L’intelligenza artificiale può aiutare moltissimo le aziende. Ma dentro un’organizzazione incoerente può diventare l’ennesimo strato di opacità, l’ennesimo sistema che produce output senza responsabilità chiare, l’ennesima scorciatoia che sembra controllo e invece costruisce fragilità.
Alla fine, il punto è brutale: se per difendere una decisione devi sperare che nessuno ti chieda come ci sei arrivato, non hai un processo. Hai un rischio.