L'AI in azienda si giudica
da come tratta i dati.
Nei sistemi AI ibridi AEDIX la sicurezza segue quattro regole fisse: i dati restano su infrastruttura europea e non addestrano modelli di terze parti, ogni azione critica passa da approvazione umana, ogni sistema è classificato secondo l'AI Act, e la documentazione GDPR viene consegnata prima del go-live — non promessa dopo. Questa pagina risponde alle domande che farebbe il tuo legale.
Le quattro garanzie.
I tuoi dati restano tuoi
- Nessun dato aziendale viene usato per addestrare modelli AI di terze parti
- Server e infrastruttura in Unione Europea
- Esportazione completa dei dati in formato standard, in qualsiasi momento
- Cancellazione garantita alla chiusura del contratto
Supervisione umana by design
- Ogni azione critica (invii, prezzi, impegni contrattuali) richiede approvazione umana
- Log completo di ogni interazione AI: chi, cosa, quando
- Possibilità di intervento e correzione in ogni punto del flusso
- Escalation automatica a un operatore nei casi ambigui
Conformità AI Act
- Classificazione del rischio documentata per ogni sistema che implementiamo
- Trasparenza verso gli utenti: l'AI si dichiara sempre come tale
- Registro dei sistemi AI pronto per audit e clienti enterprise
- Documentazione di conformità fornita, non promessa
GDPR operativo
- Base giuridica definita per ogni trattamento con AI
- DPA (Data Processing Agreement) con ogni fornitore della filiera
- Supporto alla DPIA per i trattamenti ad alto rischio
- Informative privacy aggiornate per l'uso di sistemi AI
Dove vanno i dati quando l'AI lavora?
La risposta breve: entrano cifrati, vengono elaborati su infrastruttura EU con accessi minimi, e ogni passaggio è tracciato nel log. La risposta completa, passo per passo:
Il dato entra
Una richiesta cliente, un documento, un'email. Il sistema la riceve su canali cifrati (TLS) e la registra nel log: origine, orario, contenuto.
Il software la contestualizza
Il gestionale recupera solo i dati necessari — storico cliente, listino, disponibilità — secondo il principio di minimizzazione. Nessun accesso superfluo.
L'AI elabora
Il modello genera la risposta o il documento sui dati reali. L'elaborazione avviene su infrastruttura EU; i dati non vengono usati per addestrare modelli di terze parti.
La persona approva
Se l'azione è critica — un prezzo, un impegno, un invio — passa dal punto di approvazione umana. Tutto tracciato: chi ha approvato, cosa, quando.
Come classifichiamo i sistemi secondo l'AI Act?
Il Regolamento UE 2024/1689 classifica i sistemi AI in quattro livelli di rischio, con obblighi crescenti. Ogni sistema che progettiamo viene classificato in fase di progettazione — e la classificazione entra nella documentazione che ricevi.
Social scoring, manipolazione — vietati dall'AI Act
Non progettiamo né integriamo sistemi in questa categoria. Mai.
HR/selezione, credito, accesso a servizi essenziali
Se un caso d'uso ricade qui, lo diciamo prima e applichiamo gli obblighi completi: risk management, documentazione tecnica, supervisione rafforzata.
Chatbot, agenti conversazionali, contenuti generati
La categoria tipica dei nostri agenti: trasparenza obbligatoria (l'AI si dichiara), registro dei sistemi, documentazione fornita per il tuo registro interno.
Automazioni interne, classificazione documenti, analisi
Nessun obbligo specifico oltre ai principi generali — che applichiamo comunque: log, minimizzazione, supervisione.
Infrastruttura EU
Dati ospitati su data center europei, cifrati at-rest e in-transit.
Auditabilità
Ogni decisione AI è tracciata e ricostruibile — per te e per un eventuale auditor.
Documentazione
Contratti, DPA e dichiarazioni di conformità consegnati prima del go-live.
Accessi minimi
Ogni componente accede solo ai dati necessari alla sua funzione. Nessun accesso superfluo.
Le domande che ci fanno i legali.
I nostri dati vengono usati per addestrare i modelli AI?
No. I dati della tua azienda alimentano esclusivamente il tuo sistema — knowledge base, contesto delle risposte, automazioni. Non vengono usati per addestrare modelli di terze parti, né condivisi tra clienti. È un impegno contrattuale definito nel DPA, non una dichiarazione commerciale.
Dove vengono elaborati i dati aziendali?
Su infrastruttura in Unione Europea, cifrata at-rest e in-transit. Quando un caso d'uso richiede modelli con elaborazione extra-UE, lo dichiariamo esplicitamente in fase di progettazione e adottiamo le garanzie previste dal GDPR: clausole contrattuali standard (SCC) e valutazioni di trasferimento documentate.
Chi è responsabile se l'AI sbaglia?
Il sistema è progettato perché l'errore non arrivi al cliente: le azioni critiche passano da approvazione umana e ogni interazione è tracciata. Contrattualmente, ruoli e responsabilità (titolare/responsabile del trattamento per il GDPR, deployer per l'AI Act) sono definiti nero su bianco, non lasciati all'interpretazione.
Cosa succede ai dati se interrompiamo il contratto?
Ricevi l'esportazione completa dei tuoi dati in formato standard e i dati vengono cancellati dai nostri sistemi entro i termini contrattuali. Nessun lock-in: è un impegno contrattuale, non una promessa commerciale.
I sistemi AEDIX sono conformi all'AI Act?
Ogni sistema che implementiamo viene classificato per livello di rischio secondo il Regolamento UE 2024/1689, con gli obblighi di trasparenza e supervisione umana applicati by design. Forniamo la documentazione necessaria per il tuo registro dei sistemi AI — quella che i tuoi clienti enterprise ti chiederanno.
Cos'è la supervisione umana by design?
È il principio per cui ogni azione critica del sistema AI — inviare un preventivo, confermare un prezzo, assumere un impegno verso un cliente — richiede l'approvazione esplicita di una persona prima di essere eseguita. L'AI prepara, la persona decide. È uno dei requisiti dell'AI Act per i sistemi che interagiscono con le persone, e nei sistemi AEDIX è parte dell'architettura, non un'opzione.
Serve la DPIA per usare un sistema AI in azienda?
Dipende dal trattamento. La DPIA (valutazione d'impatto sulla protezione dei dati) è obbligatoria per i trattamenti ad alto rischio: profilazione estesa, decisioni automatizzate con effetti significativi, dati particolari su larga scala. Per i casi d'uso tipici — risposta clienti, preventivi, gestione documenti — generalmente non è richiesta, ma va valutato caso per caso. In fase di progettazione facciamo questa valutazione con te e, se serve, supportiamo la stesura della DPIA.
Come gestite gli accessi ai dati all'interno del sistema?
Con il principio del minimo privilegio: ogni componente del sistema — agente AI, automazione, integrazione — accede solo ai dati strettamente necessari alla sua funzione. Gli accessi sono tracciati nei log e riesaminabili. Un agente che risponde ai clienti non ha accesso ai dati economici interni; un'automazione documentale non legge le conversazioni commerciali.
Serve la documentazione per il tuo legale?
DPA, classificazione AI Act, dettagli sull'infrastruttura: te li forniamo prima della firma, non dopo.
Richiedi la documentazione