Checklist rischio AI e privacy

1. Sensibilità dei dati

Valuta quanto sono critiche le informazioni elaborate dal sistema AI.

Nessun dato personale

Dati pubblici o sintetici senza alcun riferimento a individui identificabili.

Dati personali (non sensibili)

Informazioni comuni come nomi, email aziendali o preferenze di navigazione.

Dati sensibili (salute, finanza, minori, ecc.)

Informazioni protette che richiedono tutele massime e conformità rigorosa.

2. Input utente

Il volume e il tipo di dati che gli utenti caricano o scrivono nei prompt.

Solo prompt brevi

Interazioni testuali semplici e limitate a poche righe.

Prompt + documenti/frammenti di testo

Invio di testi estesi o porzioni di documenti per analisi o sintesi.

Upload di file

Caricamento di file interi (PDF, immagini) che possono contenere dati non filtrati.

3. Impatto dell'output

Quanto peso e quali conseguenze hanno i risultati generati dall'AI nel mondo reale.

Solo informativo

L'output è usato solo per consultazione o supporto creativo non critico.

Assiste nelle decisioni

L'output guida scelte umane in ambiti professionali o processi operativi.

Azioni automatizzate (scrive/esegue modifiche)

L'AI esegue modifiche a database, scrive codice o invia comunicazioni in autonomia.

4. Supervisione umana

Il livello di controllo e validazione umana prima che l'output dell'AI venga utilizzato.

Sempre revisionato da umani

Ogni singolo output viene verificato da una persona prima di qualunque utilizzo.

A volte revisionato

Revisione parziale, a campione o limitata solo ad alcuni casi d'uso.

Nessuna revisione / completamente automatizzato

L'AI opera in autonomia senza filtri o approvazioni umane dirette.

5. Controllo accessi

Chi sono i destinatari o gli utenti che interagiscono con le funzionalità AI.

Singolo team

Uso interno limitato a un gruppo ristretto, fidato e formato.

Ruoli/tenant multipli

Uso esteso a diversi reparti aziendali o gruppi di utenti segregati.

Utenti/clienti esterni

L'AI è esposta a utenti finali o clienti fuori dal controllo diretto dell'organizzazione.

6. Esigenze di logging

Il livello di tracciabilità necessario per monitorare le interazioni e garantire la compliance.

Log minimi

È sufficiente monitorare lo stato del sistema e gli errori tecnici generali.

Log standard

Tracciamento di base su chi usa il sistema, quando e con quali volumi.

Richiede audit trail

Registrazione immutabile di ogni singola interazione per fini legali o normativi.

7. Utilizzo del modello

In che modo l'AI interagisce con altri sistemi o esegue compiti tecnici.

Solo chiamate API

Il modello riceve input e restituisce testo, senza interagire con altre risorse.

API + strumenti/agenti

L'AI può invocare strumenti esterni (es. calcolatrici, ricerche) per arricchire l'output.

Agenti che eseguono workflow

L'AI orchestra processi complessi chiamando più funzioni in sequenza autonoma.

8. Conservazione

Per quanto tempo i dati di input e output rimangono memorizzati nei sistemi.

Nessuna conservazione

I dati vengono eliminati immediatamente dopo l'elaborazione della risposta.

Conservazione breve (<= 30 giorni)

Memorizzazione limitata al tempo necessario per la sessione o debug immediato.

Conservazione lunga (> 30 giorni)

Dati archiviati per analisi storiche, miglioramento modelli o obblighi contrattuali.

AI Risk & Privacy Checklist

Misure di sicurezza consigliate