Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

L'esperimento

L’uso dell’AI Generativa come supporto alla conformità normativa

Home Norme e adeguamenti
Partecipa al dibattito
Indirizzo copiato

Implementare, gestire e verificare la conformità normativa, con impatti sul sistema informativo e sulla sicurezza, può essere molto oneroso. Un aiuto per lo svolgimento delle attività può derivare dall’uso degli strumenti di AI generativa che, anche nella loro versione gratuita, consentono l’esecuzione di operazioni complesse

Pubblicato il 15 giu 2026
Aggiungi tra i preferiti su Google
Giancarlo Butti

Auditor, esperto Privacy e Cyber Security, Referente Regolamento DORA e Inclusion del Comitato Scientifico del CLUSIT

ispezioni nis2; Classificare ciò che conta: come mappare attività e servizi per la conformità alla NIS 2; L’uso dell’AI Generativa come supporto alla conformità normativa
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Le possibili applicazioni dell’AI generativa nell’analisi, implementazione, gestione e verifica dei sempre più numerosi regolamenti e normative che impattano i sistemi informativi e la loro sicurezza sono protagoniste di tre pubblicazioni realizzate con tecniche diverse, in quanto continua è la sperimentazione e l’evoluzione degli strumenti utilizzati.

L’utilizzo di tutti i modelli di AI è nella loro versione gratuita, per consentire ai lettori di sperimentare direttamente e da subito le indicazioni fornite nei testi.

Ecco le considerazioni in merito all’uso di tali strumenti, frutto della lunga esperienza maturata nelle sessioni formative, indirizzate in particolare ai componenti delle strutture di controllo.

Strumenti disponibili: i modelli di AI e la conformità normativa

Sono disponibili sul mercato un numero considerevole di modelli di AI generativa sia di uso generalistico che specialistico.

Per le applicazioni che sono di interesse per questo articolo ci si limita a considerare le applicazioni di natura generalistica, capaci in particolare di elaborare e generare contenuti testuali.

Per quanto riguarda la generazione di contenuti sotto forma di altri media quali immagini, video, audio, presentazioni, se ne farà cenno unicamente parlando della preparazione di materiale formativo, un tema che, nel mondo della sicurezza ICT, riveste un ruolo particolarmente importante, tanto da essere richiamato in numerose normative (GDPR, DORA, NIS2).

Il parco degli strumenti

Il numero di prodotti disponibili è in costante crescita. Questo permette agli utenti di poter usufruire di un parco di modelli veramente considerevole e utilizzare per le proprie finalità gli strumenti più adatti.

La maggior parte di questi strumenti viene offerta con una serie di funzionalità e potenzialità che variano in funzione del proprio piano di abbonamento, ma tutti dispongono anche di un piano gratuito, che consente già di svolgere un rilevante numero di attività.

Quello che può variare fra un piano gratuito ed un piano a pagamento (di norma un canone mensile che è molto simile per i vari prodotti), sono la complessità delle funzioni disponibili, e il numero di azioni che è possibile compiere nel corso di una giornata.

Limiti di utilizzo: come bypassarli

In particolare, i limiti di utilizzo giornaliero sono molto variabili da prodotto e prodotto e in alcuni casi, come per i prodotti di Google o per i modelli made in Cina, difficilmente si consuma l’intero credito disponibile e questo può costituire un criterio di scelta non irrilevante nel privilegiare un prodotto rispetto ad un altro.

Un facile sistema per aggirare i limiti imposti dai produttori consiste nell’attivare più di un account.

Considerando che tutti gli strumenti consentono l’accesso utilizzando, per esempio, un account Google, è sufficiente creare qualche account per Google per poter accedere ad altrettante istanze dei vari strumenti nel corso della giornata.

Questa soluzione non consente di mantenere memoria delle chat attivate sulle altre istanze, e questo è sicuramente un limite. Ma con un po’ di esperienza è possibile superare anche questa limitazione.

Per quanto di nostro interesse, le funzionalità utilizzate nei vari strumenti sono le medesime. Quindi non si prenderanno in considerazione le peculiarità dei singoli strumenti salvo casi particolari, dove risaltano caratteristiche che portano a privilegiare un particolare strumento rispetto ad altri.

Tutti gli strumenti si presentano in linea di massima con la stessa impostazione. Questo è un ulteriore elemento particolarmente importante per l’utente, che è da subito operativo, qualunque sia lo strumento che sta utilizzando.

La selezione fra diversi modelli di AI

La modalità di interazione con gli strumenti è basata su una chat, dove l’utente inserisce le proprie richieste. Solitamente queste si scrivono o si dettano, in quanto di norma sono presenti funzionalità di riconoscimento vocale e di sintesi vocale.

Alcuni strumenti consentono di selezionare fra diversi modelli di AI, in funzione del tipo di esigenza dell’utente, o di attivare modalità di analisi più o meno approfondita per rispondere alle richieste dell’utente.

Per elaborare la propria risposta gli strumenti si basano su una serie di fonti informative che sono costituite da:

  • base dati utilizzata per addestrare il modello;
  • i modelli sono infatti in grado di dare risposte anche senza effettuare alcuna ulteriore ricerca online;
  • fonti fornite dall’utente, sotto forma di documenti (o più in generale di file di vario tipo) o di collegamenti a siti internet;
  • ricerca online.

Punti deboli e di forza

La ricerca online è quella che ovviamente costituisce uno dei punti deboli ed al contempo di forza di questi strumenti.

Punto di forza in quanto consente agli strumenti di accedere ad informazioni sempre aggiornate, superando i limiti della propria base di conoscenza.

Costituisce al tempo stesso un vistoso limite, in quanto a differenza delle altre due tipologie di fonti dati, che si presuppone siano attendibili e verificate, le informazioni presenti online sono molto spesso di scarsa qualità o non attendibili.

La attività che coinvolgono la conformità normativa

Per questo motivo è opportuno svolgere la maggior parte delle attività che coinvolgono la conformità normativa, quali:

  • l’analisi di una nuova legge o regolamento;
  • la predisposizione di policy e procedure;
  • una gap analysis rispetto a normative preesistenti.

Con strumenti che si basino esclusivamente sui documenti e sulle fonti fornite dall’utente.

Al riguardo, lo strumento utilizzato per lo svolgimento della quasi totalità delle attività descritte in questo articolo è NoteBooK LM, uno dei modelli di AI realizzato da Google, che ha un approccio e caratteristiche radicalmente diverso rispetto a tutti gli altri prodotti elencati nella sottostante tabella, compreso un altro modello di AI di Google e cioè Gemini.

L’esperimento con l’AI generativa anche in versione gratuita

Secondo la mia esperienza, NoteBook LM è l’unico prodotto in grado di analizzare effettivamente un documento di grandi dimensioni, senza degradare la qualità dell’analisi dalle prime pagine alle ultime.

Non solo, è l’unico strumento in grado di analizzare contemporaneamente molti documenti.

La filosofia di NoteBook LM è infatti quella di permettere all’utente di creare degli spazi (notebook) nei quali può consolidare fino a 50 documenti per volta.

La versione gratuita consente di creare fino a 50 di questi spazi.

Per la redazione dei miei libri o per preparare i miei corsi ho creato uno spazio dedicato all’insieme di norme che compongono la normativa DORA, uno per la NIS2, uno per il GDPR e così via per le altre normative. E ho effettuato un rilevante numero di operazioni su ogni singolo spazio.

Le AI più usate nella conformità normativa

Per effettuare una GAP analysis normativa fra DORA e la previgente normativa di EBA in tema di sicurezza dei sistemi informativi, è stato sufficiente caricare anche quella normativa nello spazio dedicato a DORA e chiedere al modello di effettuare questa comparazione, chiedendo al modello di individuare i requisiti aggiunti da DORA, quelli eliminati, quelli variati eccetera.

Una operazione svolta del sistema in pochi minuti e che manualmente avrebbe comportato giorni di lavoro considerando che la normativa DORA è composta da una dozzina di regolamenti delegati ed esecutivi che si affiancano al regolamento principale.

NoteBook LM

Il livello di confidenza del risultato è molto alto, considerando il fatto che il modello si è basato sull’analisi solo sui documenti ufficiali delle normative.

Proprio per questa sua caratteristica, ho utilizzato NoteBook LM per generare tutte le policy e le procedure richieste da DORA, con la certezza quasi assoluta, che il loro contenuto fosse privo di errori o allucinazioni, termine quest’ultimo che verrà chiarito in un successivo paragrafo dedicato ai limiti degli strumenti di AI generativa.

Perplexity

Altro strumento che si distingue dagli altri è Perplexity. Si tratta di un motore di ricerca molto avanzato, che consente di individuare decine di fonti informative e di dare risposte desunte dalle fonti individuate e non un semplice un elenco delle stesse.

Purtroppo la versione gratuita dello strumento è nettamente inferiore come
prestazioni alla versione a pagamento e quindi può essere utilizzata essenzialmente per avere delle informazioni di alto livello su qualunque argomento.

Claude di Antrophic

Di notevole interesse, nell’ambito delle attività che interessano questo articolo, vi è Claude di Antrophic.

È uno strumento che utilizzo quando è necessario produrre documentazione rilevante, sia per contenuti, sia per dimensioni.

L’approccio seguito in questo caso è completamente diverso rispetto a quello con NoteBook LM.

Se per quest’ultimo l’aspetto privilegiato è la certezza della aderenza dell’output prodotto dallo strumento rispetto alle fonti fornite, nel caso di Claude l’obiettivo è avere indicazioni e idee il più possibile variegate.

Se, ad esempio, l’obiettivo è creare una procedura per la gestione degli asset ICT (requisito previsto da DORA), i risultati ottenibili con NoteBook LM e Claude sono completamente diversi.

Claude può generare al riguardo una procedura di 40 pagine, perfettamente impaginata e a colori in Word, comprensiva di tabella RACI, check list, tabelle eccetera.

Un risultato notevole, che lo distingue per i risultati ottenuti con lo stesso prompt, con gli altri modelli e che suggerisce usi avanzati di questa sua capacità, che vanno al di là di un uso diretto dell’output prodotto.

Il confronto con gli altri strumenti

Anche utilizzando il medesimo prompt, la risposta fornita da NoteBook LM sarebbe molto più contenuta.

La ricchezza dei contenuti degli output generati da Claude, permette di valutare delle opzioni e delle idee ben al di là delle aspettative comuni.

Si evidenzia quindi che, al di là della apparente similitudine fra gli strumenti, alcuni sono molto più performanti su compiti specifici.

È quindi opportuno sperimentare contemporaneamente l’uso di più strumenti per valutare quale sia il più adatto per uno specifico compito, pur nei limiti che verranno precisati nei paragrafi successivi.

L’output prodotto da Claude, soffre ovviamente delle limitazioni prima anticipate in merito sia alla sua reale correttezza, sia alla sua eventuale conformità ad una normativa specifica e quindi, richiede una attenta valutazione da parte dell’utente.

Questa è una regola di carattere generale e molti degli strumenti citati evidenziano con un disclaimer che quanto da loro prodotto può contenere errori.

Per questo motivo sarebbe opportuno utilizzare questi strumenti solo su tematiche sulle quali si è esperti, in modo tale da poter valutare direttamente il risultato prodotto dal modello utilizzato per produrlo.

In caso contrario, l’investimento richiesto per la verifica dell’output potrebbe vanificare i vantaggi derivanti dell’uso di questi strumenti.

Lo strumento per autovalutare l’output dell’AI per la conformità normativa

È ovviamente possibile utilizzare uno strumento per autovalutare l’output che esso stesso ha generato o, come nel caso dell’esempio sopra riportato, far valutare la conformità della procedura di gestione degli asset ICT generata da Claude, a NoteBook LM, che la confronterà con i requisiti previsti dalla normativa DORA.

Paradigmi legati all’uso dell’AI generativa

Le considerazioni che traggo nei prossimi paragrafi sono frutto di carattere strettamente personale, che derivano dalla mia esperienza e sperimentazione nell’uso di questi strumenti nella stesura dei miei libri.

Al riguardo, la scrittura di un libro è un’attività molto impegnativa, che richiede una ricerca e una sperimentazione molto approfondita, che va al di là del semplice uso quotidiano da parte di un utente “convenzionale” di questi strumenti, e questo consente di acquisire una notevole esperienza.

L’esperienza personale è un indicatore inaffidabile

Il primo paradigma, forse il più controintuitivo, è che l’esperienza personale nell’uso di un singolo strumento è di scarso valore ai fini della sua valutazione complessiva.

Questi strumenti evolvono con una rapidità impressionante: ciò che oggi uno strumento fa male, domani, nel senso letterale del termine, potrebbe farlo in modo eccellente.

La competizione tra i principali attori del settore è straordinariamente intensa, e ogni aggiornamento può modificare significativamente le prestazioni di un modello.
Ne consegue che classificare gli strumenti in base a un’esperienza passata, anche recente, può essere fuorviante.

Le potenzialità dei vari strumenti devono essere ritestate periodicamente. Questo vale in particolare per strumenti le cui funzionalità di base sono analoghe, come ChatGPT, Copilot, Gemini, Claude.

La caratterizzazione degli strumenti specialistici

È invece più stabile la caratterizzazione degli strumenti specialistici, come NoteBook LM o Perplexity, in particolare se vengono utilizzati proprio per le loro caratteristiche principali.

Al riguardo è anche particolarmente importante una formazione continua e, al riguardo, sono disponibili decine di canali Youtube assolutamente gratuiti, con aggiornamenti praticamente quotidiani.

Per quanto bene si conoscano le funzionalità di uno strumento, pur con i limiti sopra descritti, è importante avvantaggiarsi dell’esperienza di altri nel loro uso.

Questo implica che per poter utilizzare al meglio questi strumenti è necessario investire in una formazione continua, che richiede essenzialmente tempo.

Tuttavia, i vantaggi in termini di risparmio di tempo nella propria normale operatività, derivanti dall’uso di tali strumenti, giustifica largamente questo investimento.

Non è necessario saperli utilizzare per poterli usare

Il secondo paradigma è, se possibile, ancora più contro deduttivo, e può apparire in contrasto con quanto sopra riportato.

Di fatto, a differenza di qualunque altra applicazione informatica precedente, non è necessario imparare a usare questi strumenti nel senso tradizionale del termine. È importante capire che questi strumenti fanno quello che si chiede loro di fare ed è possibile chiedere a loro di fare qualunque cosa.

Si è già evidenziato come la comunicazione con questi strumenti avviene mediante una chat dove l’utente, digita le proprie richieste.

La qualità del risultato è molto condizionata da come la richiesta (prompt) viene formulata.

Al riguardo sono stati scritte centinaia di pagine e sono disponibili numerosi corsi.

I prompt migliori per formulare una richiesta

Gli strumenti possono servire a generare i prompt migliori per formulare una richiesta.

In altre parole è possibile chiedere a Gemini di generare un prompt per ottenere la miglior risposta da Gemini su un determinato argomento.

A un livello intermedio è possibile chiedere ad uno strumento come deve essere realizzato un prompt ideale per ottenere qualcosa (quindi avere istruzioni su come scriverlo). O per generare un’applicazione che crei prompt (tutti gli strumenti sono in grado di generare applicazioni perfettamente funzionanti per fare ogni cosa).

Il prompt ideale secondo l’AI generativa per la conformità normativa

Nella Tabella sottostante, ci sono i consigli che uno degli strumenti sopra citati ha fornito in merito alla creazione di un prompt ideale.

ComponenteIndicazione
OggettoSpecifico e delimitato, evitare richieste troppo generiche
ContestoObiettivo d’uso, target della risposta, ruolo del richiedente
Livello di approfondimentoSuperficiale / tecnico / comparato / operativo
StileFormale, divulgativo, accademico, specificare il registro atteso
StrutturaRichiedere sezioni definite, titoli, indice
FontiNormative, tecniche, linee guida, indicare le fonti preferite
FormattazioneTabelle, elenchi, paragrafi brevi, specificare il formato dell’output
Materiale di partenzaSe disponibile, allegare documenti rilevanti o citare testi di riferimento

Anthropic metteva a disposizione gratuitamente il generatore di prompt, fino a quando non ha cambiato la propria policy e l’uso dello strumento è diventato subordinato al pagamento di un canone.

Con lo strumento di Gemini, fornendogli come esempio un prompt generato in precedenza con lo strumento di Anthropic, ho generato circa quaranta procedure e moduli finalizzati alla implementazione dell’AI ACT.

Gemini ha generato i prompt, mentre Claude le procedure.

Grazie alla memoria che in genere questi strumenti hanno all’interno di una singola chat, dopo i primi prompt nei quali chiedevo a Gemini di generare un prompt per implementare i requisiti normativi di uno specifico articolo dell’AI ACT, descrivendo ciò che desideravo e rimandano al prompt base allegato.

Successivamente, è bastato inserire come prompt il solo numero dell’articolo, senza più allegare nulla.

Il prompt del secondo esempio

Utilizzando il prompt del secondo esempio, e quindi digitando il sole nome dell’articolo, ho generato 40 procedure operative per l’implementazione dell’AI ACT molto dettagliate, con tanto di esempi e di check list.

Un impegno minimo da parte mia quindi, che si è limitato ad effettuare dei copia/incolla dall’AI ACT a Gemini e da Gemini a Claude.

Considerando il tempo tecnico di elaborazione (pochi secondi per Gemini, qualche minuto per Claude) in mezza giornata ho prodotto qualche centinaio di pagine di documenti dedicati alla implementazione dell’AI ACT.

La qualità e il grado di confidenza normativa

Successivamente ho caricato tutti questi documenti in un notebook di NoteBook LM, quello dedicato all’AI ACT, nel quale sono presenti l’AI ACT stesso, la normativa italiana e le linee guida attualmente disponibili e ho chiesto a NoteBooK LM di verificare la conformità dei documenti generati da Claude sulla base dei miei prompt.

Il risultato è stato che tutti i documenti sono stati valutati pienamente conformi alla normativa:

Analisi di NoteBook LM sui documenti generati da Claude

La documentazione si presenta come un framework di gestione della conformità di altissimo profilo, progettato per tradurre i precetti del Regolamento (UE) 2024/1689 (AI Act) e della Legge Italiana 132/2025 in protocolli operativi auditabili.

Di seguito riporto la tabella di sintesi della conformità per i principali file Word analizzati, seguita da un’analisi di dettaglio.

File /
Documento		Stato
conformità		Punti di forzaPossibili miglioramenti
Art. 9: Risk
Assessment		ConformeApproccio iterativo lungo l’intero ciclo di
vita; inclusione di rischi specifici come data
poisoning e model stealing.		Integrare maggiori esempi di “uso
improprio ragionevolmente
prevedibile” specifici per settore.
Articolo 10: Data
Governance		ConformeGestione rigorosa dei dataset e dei bias;
recepimento della deroga Art. 10(5) per il
trattamento di dati sensibili finalizzato alla correzione dei bias.		Dettagliare maggiormente i protocolli di verifica per l’uso di
dati sintetici nel trail.

Considerando che l’AI ACT interessa praticamente tutte le organizzazioni, riprodurre questa esperienza può essere di grande aiuto per tutti.

In modo del tutto analogo si può interagire con lo strumento per risolvere qualunque problema legato al suo uso, a cominciare dal chiedere allo strumento stesso in cosa ci può aiutare in merito ad un tema specifico.

L’utente non deve quindi più preoccuparsi di chiedersi come usare al meglio un modello di AI, come può utilizzarlo, cosa può ottenere: è sufficiente porre tutte queste domande allo strumento stesso.

Terzo paradigma: la risposta è sempre personalizzabile

La customizzazione dell’output è il terzo paradigma.

È importante capire che la logica descritta nel paragrafo precedente si può applicare in qualunque momento.

Per esempio, se si desidera capire come uno strumento è giunto a formulare una risposta, è sufficiente chiederlo. Analogamente, quali fonti ha utilizzato, come fare per controllare la risposta che ha dato.

Lavorando con le normative è importante poter abbinare qualunque risposta al corrispondente requisito normativo. Anche in questo caso è sufficiente chiedere allo strumento di indicare nella risposta quali siano i requisiti normativi (comprensivi di articolo, comma, lettera ed eventualmente testo del requisito) su cui si basano i singoli item della risposta.

Questo è anche un modo per poter riscontrare immediatamente la conformità della risposta fornita dallo strumento. Gli esempi possibili sono infiniti.

Se si comprende e persegue questo tipo di approccio all’uso di questi strumenti, non si avrà più alcun problema ed alcun limite al loro utilizzo.

Di fatto, questa caratteristica rende questi strumenti accessibili a un pubblico straordinariamente ampio, in quanto non è richiesta alcuna specifica competenza.

Applicazione interattiva per la valutazione dei rischi di fornitura

Un responsabile della compliance che non ha mai scritto una riga di codice, può chiedere a ChatGPT di creare un’applicazione interattiva per la valutazione dei rischi di fornitura, e ottenere in pochi secondi un file HTML funzionante.

Un auditor può chiedere a NoteBook LM di analizzare il testo di DORA e di estrarne tutti gli obblighi applicabili a una banca di medie dimensioni, specificando che la risposta deve essere organizzata per area tematica e che per ogni obbligo deve essere indicata la disposizione normativa di riferimento.

Anche la formattazione della risposta è totalmente personalizzabile. Quindi è possibile chiedere di creare una tabella, invece di organizzare il testo in sessioni specifiche, come ben evidenziato nel prompt dell’esempio 3.

Limiti degli strumenti: cosa tenere sotto controllo. Le allucinazioni

Il limite più noto e discusso degli strumenti di AI generativa è quello delle allucinazioni.

Gli strumenti sono programmati per fornire una risposta in ogni circostanza e quindi, se non sono in grado di rispondere correttamente, inventano letteralmente un contenuto.

Non è facile distinguere un contenuto corretto da un’allucinazione, motivo per cui è importante utilizzare questi strumenti con tematiche su cui si è esperti o che siano facilmente controllabili senza un eccessivo dispendio di tempo.

L’uso dei sistemi di AI generativa non può sostituire competenze che non si hanno o per facili scorciatoie. È un rischio molto elevato da evitare.

Le tecniche per verificare la risposta di un sistema di AI sono molteplici, a cominciare dal chiedere allo strumento stesso che ha generato la risposta di controllarla, o facendola controllare ad un altro strumento di AI.

È anche per questo motivo che è importante usare contemporaneamente più strumenti.

Si può avere un controllo incrociato e si può sottomettere la stessa richiesta ed esattamente lo stesso prompt a strumenti diversi, verificando, possibilmente in automatico, la coerenza delle risposte.

Anche questa verifica però non offre una certezza assoluta a causa di quanto accennato nei paragrafi precedenti.

Se la fonte utilizzata dagli strumenti è la medesima e tale fonte contiene informazioni sbagliate, si avranno risposte coerenti, ma errate.

Come già indicato, in talune circostanze è possibile fare inserire direttamente nella risposta elementi utili per un suo controllo.

Per esempio far inserire il pezzo della normativa da cui lo strumento ha desunto un determinato requisito normativo, in modo tale da avere un riscontro immediato.

È inutile dire che è anche possibile chiedere direttamente agli strumenti di dare suggerimenti su come effettuare un controllo sulla loro risposta.

Dati personali e informazioni riservate

Caricare on line informazioni riservate o dati personali su strumenti che spesso indicano chiaramente che tali informazioni possono essere utilizzate per addestrare il modello pone dei limiti su alcuni possibili usi degli stessi.

Nel contesto di questo articolo in realtà tali circostanze possono essere evitate in molti casi.

Per esempio, effettuare una gap analysis fra due normative o individuare quali siano i requisiti tecnici previsti da una normativa non comporta alcuna elaborazione di queste tipologie di informazioni.

Analogamente la produzione di policy, procedure, check list e buone pratiche è esente da tali fattispecie e può essere comunque molto personalizzata sulla singola realtà aziendale, descrivendo adeguatamente il contesto nel quale dovranno essere calate.

Si sconsiglia però di prendere una procedura aziendale e verificarne la sua conformità con una normativa caricandola online.

In realtà anche in questo caso, se si attuano alcuni accorgimenti per eliminare gli elementi che possano ricondurla ad una determinata organizzazione, si può operare con una certa tranquillità se non ci si dimentica di non utilizzare un account aziendale per svolgere l’operazione.

Altrimenti, l’abbinamento procedura/organizzazione potrà essere fatto non mediante un’analisi del contenuto, ma in base al soggetto che l’ha sottomessa.

Il rischio di caricare dati personali

Caricare dati personali può essere invece molto rischioso, in quanto le possibili violazioni della normativa privacy sono numerose.

L’utilizzo di strumenti di AI nell’ambito del trattamento di dati personali, porta nella maggior parte dei casi ad una profilazione, trattamento che richiede specifiche cautele e che ha impatti anche in ambito AI ACT.

Inoltre, è necessario verificare se questo specifico trattamento era indicato nella informativa rilasciata agli interessati, se sono state fatte le relative analisi dei rischi e l’eventuale DPIA e tutti gli altri adempimenti che precedono qualunque trattamento di dati personali.

Si pone infine il problema della collocazione del datacenter che ospita il modello.
Molti dei prodotti più performanti sono infatti cinesi o statunitensi ed il loro uso comporta un trasferimento di dati personali al di fuori dell’UE.

Quindi se è possibile, è opportuno anonimizzare i dati personali; in caso contrario è consigliabile desistere dal proseguire.

Esistono soluzione ad entrambi i problemi e sono basate su:

  • abbonamenti aziendali che riservano uno spazio cloud riservato per il singolo cliente; in questo caso si risolve il problema della riservatezza, ma si deve comunque prestare attenzione alla collocazione dei data center se si desiderano usare dati personali;
  • uso di modelli off line; tutti i produttori di modelli rendono infatti disponibili decine di modelli di AI generativa gratuiti, che possono essere scaricati ed utilizzati in locale. Tali modelli sono caratterizzati da una esigenza di risorse hardware molto variabili e possono essere di uso generalistico e specializzato. In questo caso l’organizzazione che intende utilizzare questa soluzione deve semplicemente valutare quanto vuole investire in risorse hardware e scaricare il modello più adatto.

Possibili applicazioni

In questo paragrafo si descrivono possibili usi dell’AI generativa nell’ambito delle attività di implementazione, gestione e verifica di una normativa che impatta su un sistema informativo o sulla sicurezza dello stesso.

Gli esempi nelle tabelle riassuntive elencano i contenuti dei libri che hanno sviluppato queste tematiche.

Le normative utilizzate come esempi nei testi sono principalmente il GDPR,
DORA e la NIS2. La scelta di queste normative risiede nella loro rappresentatività:

  • il GDPR si applica a qualunque organizzazione,
  • le due normative gemelle DORA e NIS2 regolamentano in modo diretto e simile gli aspetti di sicurezza di un vasto numero di settori,
  • in modo analogo, regolamentano indirettamente, un numero ancor più vasto di aziende che sono fornitrici di organizzazioni soggette a DORA o alla NIS2.

Il perimetro dei soggetti interessati è quindi molto significativo.

Uso degli strumenti di AI generativa nelle attività di adeguamento ad una normativa.
Uso degli strumenti di AI generativa nelle attività di gestione del rischio della supply chain.

Uso degli strumenti di AI generativa nelle attività di audit:

Preparazione dell’audit– Descrivi come deve svolgersi una attività di audit interno nell’ambito
della business continuity
– Come può essere eseguito un audit sulla continuità operativa
– Descrivi un processo ideale per la gestione della business continuity
– Quali sono le fonti che hai utilizzato per descrivere il processo
– Come eseguire al meglio una business impact analysis
– Quali sono i controlli che devo effettuare su una BIA per verificare se è
conforme ai requisiti previsti dalla normativa di Banca d’Italia
– Quali sono i controlli che devo mettere in atto per verificare se un piano
di continuità operativa sia conforme alle normative EBA e quali sono le normative EBA da prendere in considerazione
– Crea una checklist per svolgere una verifica in ambito business continuity
– Puoi ampliare la checklist ad almeno 100 quesiti
– Crea una checklist di almeno 100 quesiti per un audit sulla business
continuity dove nella prima colonna metti il numero della domanda, nella seconda la domanda, oltre ad altre 5 colonne vuote
– Per ogni domanda della checklist precedente predispone 5 risposte che
indicano diversi livelli di maturità e compila le colonne della tabella che
prima erano vuote
– Genera il codice CSV della precedente tabella
– Crea una checklist per un audit report sulla business continuity basato sulla ISO 22301 per un’azienda manifatturiera di medie dimensioni.
Esecuzione di un audit– Dopo aver individuato i ruoli che in un’azienda sono coinvolti nel processo di gestione della business continuity, genera una serie di domane finalizzate ad intervistare ognuno di loro
– Puoi fare la stessa cosa considerando figure più operative rispetto a quelle elencate in precedenza
– Comportati come un auditor e fammi delle domande considerando che sono il business continuity manager
– Puoi dare un peso alle varie domande e giustificare la tua scelta
– Come deve essere effettuata una verifica sulla conformità di una informativa privacy
– Verifica se la seguente informativa privacy è conforme
Fase di reportistica– Imposta lo schema di un audit report
– Genera lo schema di un audit report relativo alla business continuity

Gestione della supply chain: un modello di exit plan

Grazie all’uso di questi strumenti è stato possibile realizzare idee e soluzioni altrimenti difficili da sviluppare, come, nel caso della gestione della supply chain, di un modello di exit plan molto articolato.

Su questo tema non esiste molta letteratura. Quindi aver a disposizione una base di partenza, rappresentata da un documento di oltre quaranta pagine sviluppato con Claude, può essere di grande aiuto per qualunque organizzazione.

Oltre allo sviluppo di policy, procedure, check list, con un aumento della produttività stimabile in migliaia di punti percentuali, uno degli usi sicuramente più interessanti di questi strumenti è sicuramente quello della comparazione fra normative.

Il primo passo per la loro implementazione è individuare quelle che sono le differenze fra una nuova normativa e quelle precedentemente in uso.

Svolgere una gap analysis di questo tipo è un’attività molto impegnativa, in particolare se le normative coinvolte sono più di una.

L’analisi varia in funzione inoltre del fatto che la nuova normativa si affianchi o sostituisca la normativa precedente.

Nel caso di sostituzione le verifiche da effettuare riguardano tre aspetti:

  • identificazione dei requisiti aggiuntivi,
  • dei requisiti non più presenti nella nuova normativa,
  • di quelli presenti in entrambe le normative, ma variati.

Un confronto molto lungo in quanto lo stesso tema può essere affrontato dalle due normative in contesti completamente diversi e con un livello di profondità che può variare di molto. Spesso è difficile capire se effettivamente si sono intercettate tutte le variazioni.

Gli strumenti di AI possono, anche in questo caso, effettuare questa analisi in pochi minuti. Si ha una buona confidenza circa l’esito del confronto. In particolare, se si ha l’accortezza di confezionare la risposta, facendola arricchire con tutti gli elementi che consentano un immediato riscontro della stessa.

Per esempio, chiedendo allo strumento di AI di generare una tabella dove indicare il requisito e il testo della nuova e/o della vecchia normativa in cui è citato, si può avere un riscontro visivo immediato e valutare la qualità della risposta.

Gli aspetti normativi

L’uso degli strumenti di AI generativa non è privo di rischi normativi, in quanto la materia è regolamentata in particolare dall’AI ACT e dal GDPR. E comporta dei rischi di violazione di altre normative, come per esempio quella sul diritto di autore.

AI ACT e GDPR sono normative gemelle. Infatti in contesti diversi, tutelano i diritti e le libertà delle persone fisiche.

Richiedono, inoltre, alcuni adempimenti molto simili. Allorquando si trattano dati personali, possono
sommare alcuni adempimenti.

Il contesto delle attività di audit

Un trattamento di dati personali può avvenire nell’ambito delle attività di audit.
In tale contesto, potrebbero avvenire dei trattamenti che qualificano l’uso di un semplice strumento come ChatGPT come ad alto rischio per l’AI ACT.

Sebbene l’AI ACT attribuisca i livelli di rischio ad un sistema AI, nel caso di sistemi di AI capaci di svolgere molteplici attività, il tipo di attività svolta determina il livello di rischio.

Un sistema nato per analizzare il comportamento dei lavoratori è ad alto rischio. Quindi se uso ChatGPT per analizzare il comportamento dei dipendenti (per esempio individuare anomalie nelle timbrature), è logico considerare che questo uso sia ad alto rischio. Con tutte le conseguenze del caso.

Quindi è assolutamente indispensabile che un’organizzazione:

  • regolamenti con una precisa policy l’uso degli strumenti di AI generativa,
  • i limiti d’uso, i rischi,
  • i divieti in merito al caricamento di dati riservati o personali su piattaforme on line e molto altro.

L’aspetto interessante è che una policy di questo tipo può essere generata in pochi minuti con uno qualunque degli strumenti di AI citati, senza un grosso impegno da parte dell’organizzazione. Essa dovrà solo definire quali regole di massima vuole darsi.

È del tutto anacronistico vietare l’uso di strumenti di questo tipo. Altrimenti si rischia di andare fuori mercato in poco tempo, in quanto sicuramente le organizzazioni concorrenti li stanno utilizzando.

Quindi è necessario investire in formazione. Ma questo è anche un obbligo normativo previsto dall’AI ACT.

Aumento di produttività

L’uso degli strumenti di AI generativa, anche nella loro versione gratuita, può essere di grande aiuto nella implementazione, gestione e verifica delle normative che impattano sui sistemi informativi o sulla loro sicurezza. Tutto ciò, a patto che se ne conoscano i limiti e che ne sia regolamentato l’uso tramite policy rigorose ed una adeguata formazione.

Inoltre, l’aumento di produttività che può derivare dal loro uso è veramente notevole se utilizzati in modo “intelligente”.

Quale sia il modo migliore per utilizzarli, può essere chiesto direttamente agli strumenti stessi.

Bibliografia

G. Butti – IA e audit, ITER 2024;
Giancarlo Butti – Compliance 4.0, ITER 2025;
G.Butti – Supply chain: gestire i rischi con strumenti di IA gratuita, ITER 2025.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

B
Giancarlo Butti
Auditor, esperto Privacy e Cyber Security, Referente Regolamento DORA e Inclusion del Comitato Scientifico del CLUSIT

Ha acquisito un master in Gestione aziendale e Sviluppo Organizzativo presso il MIP Politecnico di Milano.

Referente Regolamento DORA e Inclusion del Comitato Scientifico del CLUSIT.

Si occupa di ICT, organizzazione e normativa dai primi anni 80. Auditor, security manager ed esperto di privacy. Affianca all’attività professionale quella di divulgatore, tramite articoli, libri, white paper, manuali tecnici, corsi, seminari, convegni.

Oltre 170 corsi e seminari tenuti presso ISACA/ AIEA, ORACLE/CLUSIT, ITER, Informa Banca, CONVENIA, CETIF, IKN, Università di Milano, CEFRIEL, Ca Foscari, Università degli Studi Suor Orsola Benincasa, ABI…; già docente del percorso professionalizzante ABI – Privacy Expert e Data Protection Officer e master presso diversi atenei.

Ha all’attivo oltre 800 articoli e collaborazioni con oltre 40 testate.

Ha pubblicato 30 fra libri e white paper alcuni dei quali utilizzati come testi universitari; ha partecipato alla redazione di 31 opere collettive nell’ambito di ABI LAB, Oracle/CLUSIT Community for Security, Rapporto CLUSIT.

Socio e già proboviro di ISACA/AIEA, è socio del CLUSIT, di ACFE, di DFA e del BCI e partecipa a numerosi gruppi di lavoro.

Ha inoltre acquisito le certificazioni/qualificazioni (LA BS 7799), (LA ISO IEC 27001:2005/2013/2022), (LA ISO 20000-1), (LA ISO 22301), (LA ISO IEC 42001), CRISC, CDPSE, ISM, DPO, DPO UNI 11697:2017, DPO UNI CEI EN 17740:2024, CBCI, AMBCI.

Leggi anche:

Partecipa alla community

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • CryptPad e il paradigma zero-knowledge: un binomio vincente - La fiducia come capitale: la conformità al Gdpr e alla NIS 2 diventa un vantaggio competitivo

  • responsabilità proattiva

    La fiducia come capitale: la conformità a GDPR e NIS 2 diventa un vantaggio competitivo

    31 Ott 2025

    di Giuseppe Alverone

    Condividi
  • Whistleblowing come leva per la voice e la loyalty organizzativa; Luci e ombre nel whistleblowing europeo sull’AI Act: cosa cambia dal 2 agosto 2026; Whistleblowing e cessazione del rapporto di lavoro: ecco cosa accade quando non lavora più chi segnala o è segnalato

  • lettura critica

    Whistleblowing come leva per la cultura organizzativa aziendale

    10 Nov 2025

    di Pasquale Mancino

    Condividi
  • Chat Control Consiglio UE approvato; Chat Control scaduto: o prevale il diritto o comandano le piattaforme

  • la riflessione

    La trappola di Chat Control: minori tutelati, cittadini sorvegliati

    28 Nov 2025

    di Tania Orrù

    Condividi
  • NIS2 Enisa sicurezza supply chain; Il valore umano del TPRM: quando la fiducia nella supply chain è messa alla prova; Vendor risk management: i 3 pilastri di un TPRM efficace e dinamico; Vendor assessment nell’era del TPRM continuo: perché il questionario non basta più

  • fornitori e requisiti

    Vendor assessment nell’era del TPRM continuo: perché il questionario non basta più

    02 Mar 2026

    di Jim Biniyaz

    Condividi
0
Lascia un commento, la tua opinione conta.x