Codice etico del Gruppo LEGIER e di "SANDIC by LEGIER

 
 

Indice dei contenuti

 

Nota: Se la directory automatica appare vuota, fare clic con il tasto destro del mouse su Word → "Aggiorna campo".

 

 
 
 

1. premessa e campo di applicazione

Il presente Codice stabilisce principi, processi e controlli vincolanti per lo sviluppo, l'approvvigionamento, il funzionamento e l'utilizzo dell'IA nel Gruppo LEGIER. Si applica a livello di Gruppo ai dipendenti, ai dirigenti, agli incaricati del trattamento dei contratti, ai fornitori e ai partner.

Integra le linee guida esistenti del Gruppo (protezione dei dati, processi di servizi digitali, governance aziendale, sostenibilità, politica sui diritti umani, dichiarazione sulla schiavitù moderna) e le amplia per includere i requisiti specifici dell'IA.

 

Obiettivo è quello di consentire benefici e innovazioni, rendere gestibili i rischi e tutelare i diritti degli utenti, dei clienti e del pubblico in generale.

 

2. valori di base e principi guida

 

  • Dignità umana e diritti fondamentali al di sopra dell'efficienza economica. L'intelligenza artificiale è al servizio delle persone, mai il contrario.
  • Conformità legale: Conformità con Legge UE sull'AIGDPRDSA e gli standard specifici del settore. Nessun utilizzo di pratiche vietate.
  • Responsabilità e responsabilità: Per ogni sistema di AI viene nominato un proprietario responsabile; le decisioni sono tracciabili e contestabili.
  • Proporzionalità: Equilibrio tra finalità, rischio, intensità dell'intervento e impatto sociale.
  • Trasparenza e spiegabilità: Informazioni, documentazione e canali di comunicazione adeguati su funzionalità, situazioni e limitazioni dei dati.
  • Equità e inclusione: Verifica sistematica dei pregiudizi, protezione dei gruppi vulnerabili, accessibilità e multilinguismo.
  • Sicurezza e resilienza: Security-by-design, defence-in-depth, hardening e monitoraggio continui.
  • Sostenibilità: Efficienza dei modelli e dei data center (energia, PUE/CFE), visione del ciclo di vita dei dati/modelli.
 
 

3. governance e responsabilità (Comitato etico dell'AI, RACI)

 

Comitato etico dell'IA (AIEB): Interdisciplinare (tecnologia, legale/compliance, protezione dei dati, sicurezza, redazione/prodotto, persone). Compiti: Aggiornamento delle politiche, rilascio di approvazioni (soprattutto ad alto rischio), decisione sui conflitti, monitoraggio dei rapporti.

Ruoli: Proprietario del caso d'uso, proprietario del modello, responsabile dei dati, DPO, responsabile della sicurezza, redattore responsabile, proprietario del servizio, responsabile degli acquisti.

Comitati e gateway: Approvazione dell'AIIA prima dell'avvio; comitato consultivo per le modifiche materiali; revisioni annuali della gestione.

Principio RACI: Chiara assegnazione di responsabilità per ogni attività (Responsabili, Responsabili, Consultati, Informati).

 

4. quadro giuridico e di standardizzazione (legge UE sull'AI, GDPR, DSA, diritto d'autore, diritto commerciale)

 
  • Atto UE-AI: Quadro di riferimento basato sul rischio con divieti, obblighi per i sistemi ad alto rischio, documentazione, registrazione, governance, obblighi di trasparenza; applicazione scaglionata dal 2025/2026.
  • GDPR: Basi giuridiche (art. 6/9), diritti degli interessati, privacy by design/default, valutazione d'impatto sulla protezione dei dati (DPIA), trasferimenti da paesi terzi (art. 44 e segg.).
  • DSA: Processi di piattaforma per notifiche, reclami, rapporti di trasparenza, valutazioni del rischio delle grandi piattaforme.
  • Diritti d'autore e diritti connessi / diritti personali: Catene di licenze chiare, diritti di immagine/nome, diritti di domicilio di terzi.
  • Requisiti specifici del settore (ad esempio, diritto aeronautico/marittimo/sanitario) devono essere rispettati.
 

5. classificazione del rischio e valutazione dell'impatto dell'IA (AIIA)

 
 

Classificazione:

  1. Pratiche vietate (non consentite)
  2. Sistemi ad alto rischio (obblighi rigorosi)
  3. Rischio limitato (trasparenza)
  4. Rischio ridotto al minimo

Procedura AIIA: Descrizione Scopo/ambito di applicazione, soggetti interessati, base giuridica, fonti di dati; analisi dei rischi (legali, etici, di sicurezza, di pregiudizio, di impatto ambientale); piano di mitigazione; decisione (approvazione dell'AIEB).

Rivalutazioni: Per le modifiche sostanziali, annualmente per i rischi elevati; documentazione nel registro centrale.

 

6. etica e protezione dei dati (base giuridica, DPIA, cookie, paesi terzi)

 
  • Minimizzazione dei dati e limitazione delle finalità; Preferibile la pseudonimizzazione/anonimizzazione.
  • Trasparenza: Informazioni sulla protezione dei dati, canali di informazione e cancellazione; portabilità; possibilità di opposizione.
  • Cookie/Tracking: Gestione del consenso; revoca; anonimizzazione dell'IP; solo strumenti approvati.
  • Trasferimenti da Paesi terzi: Solo con garanzie adeguate (SCC/adeguatezza); test regolari dei subprocessori.
  • DPIA: Obbligatorio per le lavorazioni ad alto rischio; documentare le misure tecnico-organizzative (TOM).
 
 

7. ciclo di vita del modello e dei dati (ciclo di vita del ML, schede dati, schede modello)

 

Ciclo di vita dei dati: Acquisizione → Curation → Labelling → Quality gates → Versioning → Retention/Deletion.

Ciclo di vita del modello: Definizione del problema → Selezione dell'architettura → Formazione/finalizzazione → Valutazione (offline/online) → Rilascio → Funzionamento → Monitoraggio → Riabilitazione/ritiro.

Schede dati: Origine, rappresentatività, qualità, risultati di bias, restrizioni d'uso.

Schede modello: Scopo, dati di addestramento, parametri di riferimento, metriche, limitazioni, modelli di errore attesi, comportamenti da tenere e da non tenere.

Provenienza e riproducibilità: Hashes, versioni di dati/modelli, verifiche di pipeline.

 

8. trasparenza, spiegabilità e istruzioni per l'utente

 
  • Etichettatura per l'interazione con l'IA e per i contenuti generati dall'IA.
  • Spiegabilità: Utilizzare spiegazioni adatte al caso e di facile comprensione per i non addetti ai lavori (locale/globale).
  • Istruzioni per l'uso: Scopo, principali fattori di influenza, limiti; metodi di feedback e correzione.
 

9. funzioni di supervisione e di "human-in-the-loop".

 
  • Supervisione umana come standard per le decisioni rilevanti (soprattutto quelle ad alto rischio).
  • Principio dei quattro occhi per gli incarichi editorialmente/socialmente sensibili.
  • Funzioni di esclusione/annullamento; percorsi di escalation; documentazione.
 

10. sicurezza, robustezza e red-teaming (prompt injection, jailbreak)

 
  • Modellazione delle minacce (STRIDE + specifica AI): Iniezione di prompt, avvelenamento dei dati di formazione, furto di modelli, perdita di protezione dei dati.
  • Red teaming e test avversari; prevenzione del jailbreak; limitazione della velocità; filtraggio dell'output; scansione segreta.
  • Robustezza: Richieste di fallback, guardrail, piani di rollback; rilasci canari; test del caos per la sicurezza.
 

11. catena di fornitura, diritti umani e lavoro equo (schiavitù moderna, LkSG-analoghi)

 
  • Due diligence sui diritti umani: Analisi dei rischi, codice di condotta dei fornitori, impegni contrattuali, audit, azioni correttive.
  • Schiavitù moderna: Dichiarazione annuale, sensibilizzazione, canali di segnalazione.
  • Norme sul lavoro: Equa retribuzione, orario di lavoro, tutela della salute; protezione degli informatori.
 

12. gestione dei pregiudizi, equità e inclusione (clienti vulnerabili, accessibilità)

 
  • Controlli di bias: Analisi dei set di dati, bilanciamento, vari gruppi di test, metriche di equità; mitigazione documentata.
  • Clienti a rischio: Obiettivi di protezione, canali alternativi, linguaggio chiaro; nessun sfruttamento delle debolezze cognitive.
  • Accessibilità: WCAG-Conformità; multilinguismo; approccio inclusivo.
 

13. IA generativa, prova di origine ed etichettatura (C2PA, filigrana)

 
  • Etichettatura: Etichette/metadati visibili per i contenuti dell'intelligenza artificiale; suggerimenti per le interazioni.
  • Garanzie di origine: C2PA-contesto, firme e filigrane, per quanto tecnicamente possibile.
  • Diritti d'autore/protezione dei servizi: Chiarire le licenze; formare la conformità dei dati; documentare la catena dei diritti.
 

14. contenuti, moderazione e processi DSA (segnalazioni, reclami, trasparenza)

 
  • Canali di segnalazione: Segnalazione degli utenti a bassa soglia; elaborazione prioritaria dei contenuti illegali.
  • Processi di reclamo: Giustificazione trasparente, obiezione, escalation.
  • Rapporti sulla trasparenza: Pubblicazione periodica di cifre e misure chiave rilevanti.
 

15. uso specifico del dominio (notizie, dati, salute, aviazione, yacht, proprietà, pay/trade/trust/coin, automobili)

 
  • Notizie/Editoria: Assistenza alla ricerca, traduzione, moderazione; etichettatura chiara dei contenuti generativi.
  • DATI SCANDALI: Infrastruttura AI/HPC sicura, separazione dei client, HSM/KMS, osservabilità, artefatti di conformità.
  • Salute: Uso basato sull'evidenza, decisione finale umana, nessuna diagnosi non testata.
  • Aviazione/Yacht: Processi di sicurezza, supervisione umana, procedure di emergenza.
  • Proprietà: Modelli di valutazione con controlli di congruità; integrazione ESG.
  • Pagare/Negoziare/Fiducia/Moneta: Prevenzione delle frodi, KYC/AML, sorveglianza del mercato, decisioni spiegabili.
  • Auto: Servizi personalizzati con una rigorosa protezione dei dati.
 

16. terze parti, appalti e gestione del rischio dei fornitori

 
  • Due diligence prima dell'onboarding: Livello di sicurezza/protezione dei dati, ubicazione dei dati, subprocessori, certificati.
  • Contratti: Diritti di audit, clausole di trasparenza e rimedio, metriche SLA/OLA.
  • Monitoraggio: KPI di performance, scambio di risultati/incidenti, piani di uscita.
 

17. funzionamento, osservabilità, piani di emergenza e di riavvio

 
  • Operazione: Osservabilità (log, metriche, tracce), gestione SLO/SLI, pianificazione della capacità.
  • Emergenza: Runbook, test di DR, tempi di ripristino, piani di comunicazione.
  • Gestione della configurazione e dei segreti: Least-privilege, rotazioni, indurimento.
 

18. incidenti e rimedi (etica, protezione dei dati, sicurezza)

 
  • Incidenti etici: Discriminazione indesiderata, disinformazione, origine non chiara: misure immediate e revisione dell'AIEB.
  • Incidenti di protezione dei dati: Processi di segnalazione al DPO/supervisione; informazioni per le parti interessate; analisi delle cause.
  • Incidenti di sicurezza: Procedure del CSIRT, analisi forense, lezioni apprese, misure preventive.
 

19. metriche, KPI e garanzia (interna/esterna)

 
  • KPI obbligatori: 100 copertura % AIIA dei casi d'uso dell'IA produttiva; 95 tasso di formazione %; 0 risultati di audit critici aperti.
  • Metriche di equità: Impatto diseguale, probabilità equiparate (utilizzare il caso specifico).
  • Sostenibilità: Dati energetici/PUE/carbonio dei data centre; efficienza dei modelli.
 

20. formazione, sensibilizzazione e cambiamento culturale

 
  • Formazione obbligatoria (annuale): Etica dell'intelligenza artificiale, protezione dei dati, sicurezza, etica dei media; moduli specifici per gruppi target.
  • Campagne di sensibilizzazione: Guide, sessioni di brown-bag, ore di consultazione; comunità di pratica interne.
  • Cultura: Leadership come modello, cultura dell'errore, ricompensa del comportamento responsabile.
 

21. implementazione e roadmap (0-6 / 6-12 / 12-24 mesi)

 
  • 0-6 mesi: Inventario dei casi d'uso dell'IA; processo AIIA; controlli minimi; ondata di formazione; screening dei fornitori.
  • 6-12 mesi: Avvio del red teaming; primi rapporti di trasparenza; programma energetico; completamento del RACI.
  • 12-24 mesi: Allineamento ISO/IEC-42001; garanzia limitata; miglioramento continuo; preparazione CSRD/ESRS (se applicabile).
 

22. rotoli e matrice RACI

 
  • Proprietario del caso d'uso (A): Scopo, benefici, KPI, budget, rivalutazioni.
  • Modello-Proprietario (R): Dati/Addestramento/Valutazione, Scheda modello, Monitoraggio deriva.
  • DPO (C/A per la protezione dei dati): Base giuridica, DPIA, diritti degli interessati.
  • Responsabile della sicurezza (C): Modellazione delle minacce, red teaming, TOM.
  • Editore responsabile (C): Etica dei media, etichettatura, registro delle correzioni.
  • Proprietario del servizio (R): Operazione, SLO, gestione degli incidenti.
  • Responsabile acquisti (R/C): Terzi, contratti, piani di uscita.
 

23. liste di controllo (AIIA short, data release, go-live gate)

 
  • Controllo rapido dell'AIIA: Scopo? Base giuridica? Parti interessate? Rischi (legali/etici/di sicurezza/di pregiudizio/ambientali)? Mitigazione? Controlli HIL?
  • Rilascio dei dati: Fonte lecita? Riduzione al minimo? Conservazione? Accesso? Paese terzo?
  • Go-Live-Gate: Artefatti completi (schede dati/modelli, log)? I risultati del Red Team sono stati presi in considerazione? Monitoraggio/DR impostati?
 

24. moduli e modelli (scheda modello, scheda dati, rapporto sugli incidenti)

 
  • Modello-Scheda-Template: Scopo, dati, formazione, parametri di riferimento, limiti, rischi, persone responsabili, contatti.
  • Modello di scheda dati: Origine, licenza, qualità, rappresentatività, controlli sulle distorsioni, restrizioni d'uso.
  • Modello di rapporto di incidente: Incidente, effetti, persone colpite, misure immediate, causa principale, rimedio, lezioni apprese.
 

25 Glossario e riferimenti

 

Glossario: Sistema AI, AI generativa, sistema ad alto rischio, AIIA, HIL, C2PA, red teaming, DPIA, RACI, SLO/SLI.

Riferimenti:

 
 

Nota: Il presente Codice AI integra le linee guida LEGIER esistenti, quali, tra le altre: (Protezione dei dati, Servizi digitali, Diritti umani/Catena di fornitura, Corporate Governance, Sostenibilità, Schiavitù moderna). È parte integrante del quadro di conformità del Gruppo LEGIER (LEGIER Beteiligungs mbH).