Policy sull’utilizzo degli strumenti di Intelligenza Artificiale Generativa di Athena SCF – Società di Consulenza Finanziaria Indipendente, Versione 1.0 – Data di entrata in vigore: 13/06/2025

Premessa L’intelligenza artificiale generativa (IA) rappresenta un’opportunità strategica per aumentare l’efficienza, la produttività e l’innovazione nei processi aziendali. Tuttavia, il suo utilizzo comporta anche rischi significativi in termini di riservatezza, conformità normativa, diritti dei clienti e reputazione. 

Athena SCF adotta la presente policy per garantire un uso responsabile, sicuro ed etico degli strumenti IA da parte di tutto il personale interno ed esterno.

 

1. Ambito di applicazione
   
   La presente policy si applica a tutti i collaboratori, dipendenti, consulenti e fornitori che operano per conto di Athena SCF e utilizzano strumenti di IA generativa, sia open-source sia proprietari, inclusi ma non limitati a: ChatGPT, Claude, Gemini, Copilot, strumenti text-to-image/video/audio.
   
   

2. Principi generali

    

   Tutela dei dati personali e delle informazioni aziendali riservate
   Athena SCF si impegna a garantire il massimo livello di protezione dei dati personali dei clienti, dei collaboratori e dei partner. Gli strumenti di intelligenza artificiale generativa non devono essere utilizzati per trattare, elaborare o anche solo esporre dati personali, informazioni patrimoniali, documenti fiscali, report riservati o elementi riconducibili all’identità di soggetti terzi. La condivisione, anche parziale o indiretta, di documenti o dati non pubblici rappresenta una violazione grave della presente policy e del Regolamento Generale sulla Protezione dei Dati (GDPR). Tutto il personale è tenuto ad agire secondo il principio di minimizzazione del trattamento e confidenzialità dei dati.

   Supervisione umana costante
   Qualsiasi contenuto generato con l’ausilio di strumenti di IA generativa deve essere analizzato, verificato e validato da una persona qualificata prima di qualsiasi utilizzo interno o esterno. L’IA può fornire suggerimenti, bozze o supporto, ma non sostituire il giudizio umano, specialmente nei processi che coinvolgono la consulenza finanziaria personalizzata, la redazione di documentazione ufficiale o l’interazione con il cliente. L’essere umano rimane responsabile in ultima istanza di ogni decisione e contenuto prodotto.

   Conformità normativa (GDPR, AI Act, Codice Privacy, DDL AI)
   L’utilizzo dell’IA deve rispettare tutte le normative vigenti in materia di protezione dei dati, diritti digitali, trasparenza algoritmica e responsabilità automatizzata. Athena SCF applica i principi del GDPR (liceità, trasparenza, finalità, minimizzazione), le disposizioni del Codice Privacy italiano e anticipa i requisiti del Regolamento europeo sull’Intelligenza Artificiale (AI Act), come la classificazione del rischio, il principio di sicurezza e la tracciabilità dei processi. Qualsiasi utilizzo difforme è considerato una violazione disciplinare.

   Trasparenza nei confronti dei clienti
   Nel caso in cui strumenti di IA generativa siano utilizzati, anche solo parzialmente, per attività di supporto ai contenuti destinati alla clientela (newsletter, articoli, presentazioni, video, immagini), è necessario dichiararlo in modo chiaro e coerente con le linee guida aziendali. Athena SCF promuove una cultura della trasparenza per rafforzare la fiducia dei propri clienti, evitando ambiguità sull’origine dei contenuti e garantendo l’affidabilità delle informazioni trasmesse.

   Responsabilità e tracciabilità
   Ogni utilizzo dell’IA deve essere tracciabile, documentato e riconducibile a un utente identificabile. L’azienda può attivare registri interni dei prompt utilizzati, dei contenuti generati e dei processi decisionali che ne derivano. Questo consente una piena accountability e la possibilità di ricostruire ogni flusso di lavoro in caso di contestazioni, errori o audit. L’adozione di strumenti tecnologici deve essere accompagnata da processi di responsabilizzazione chiara, distribuiti tra reparti tecnici, compliance e legali.
   
   

3. Divieti assoluti

    

   Al fine di garantire la tutela dei dati personali, il rispetto della riservatezza aziendale e la piena conformità normativa, è fatto divieto assoluto a tutti i dipendenti, collaboratori e fornitori di Athena SCF di:

   • Inserire, caricare, incollare o descrivere nei prompt di strumenti di intelligenza artificiale generativa qualsiasi dato personale riferibile a clienti o terze parti, inclusi ma non limitati a:

     • Nome, cognome, codice fiscale, indirizzo, recapiti telefonici o email

     • Coordinate bancarie (es. IBAN), estremi di carte, informazioni di accesso a sistemi

     • Informazioni patrimoniali o reddituali, rendicontazioni finanziarie, investimenti

     • Dati identificativi di familiari o delegati, situazioni successorie o previdenziali

   • Trasmettere o far analizzare mediante IA documentazione riservata o confidenziale relativa ad Athena SCF o ai propri clienti, ivi inclusi:

     • Bilanci, dichiarazioni fiscali, attestazioni patrimoniali

     • Contratti, lettere d’incarico, report di investimento, profili MiFID

     • Analisi, audit, comunicazioni private o interne

   • Caricare o allegare file (es. PDF, Excel, Word, scansioni) che contengano anche in parte informazioni riconducibili a clienti o che siano protetti da obblighi di riservatezza contrattuale o normativa, anche se pseudonimizzati o privi del nome.

   • Descrivere nei prompt scenari, casi studio o richieste che possano permettere l’identificazione indiretta di un cliente specifico attraverso incrocio di dati, anche nel caso in cui non siano presenti riferimenti nominali.

   • Divulgare informazioni aziendali non pubbliche, comprese strategie commerciali, processi decisionali interni, pratiche di compliance, strumenti proprietari, informazioni su collaborazioni, partner, fornitori o clienti di Athena SCF.

   La violazione di uno qualsiasi dei punti sopra esposti sarà considerata infrazione grave e potrà comportare provvedimenti disciplinari, sospensione degli accessi agli strumenti digitali aziendali, segnalazione all’Organismo di Vigilanza interno o comunicazione alle autorità competenti nei casi di rilevanza penale o civilistica.

•  

4. Uso consentito

   L’utilizzo degli strumenti di intelligenza artificiale generativa da parte del personale di Athena SCF è ammesso esclusivamente nei seguenti contesti e alle condizioni riportate:

   • Produzione di contenuti informativi generici e non sensibili, quali ad esempio:

     • Articoli divulgativi su mercati finanziari, asset allocation, educazione finanziaria

     • Testi di newsletter, script video, presentazioni a carattere generale

     • Post e contenuti per blog, canali social o materiali didattici non riferiti a clienti specifici

   • Generazione di idee, spunti creativi, proposte di struttura o linguaggio, da utilizzare come punto di partenza per comunicazioni aziendali. L’output dell’IA in questi casi deve essere sempre rielaborato, integrato e personalizzato prima di qualsiasi pubblicazione o utilizzo operativo.

   • Supporto alla scrittura tecnica, analisi qualitativa o elaborazione linguistica, esclusivamente su contenuti non riservati e previa verifica, controllo e validazione finale da parte di una figura aziendale qualificata. In nessun caso l’output può essere utilizzato in modo automatico o considerato affidabile senza intervento umano.

   • Preparazione di materiali interni (es. riassunti di testi pubblici, check-list operative, brainstorming) destinati esclusivamente all’uso interno, in cui non siano presenti informazioni riferibili a clienti, report finanziari, dati riservati o decisioni strategiche non pubbliche.

   • Attività di formazione, testing o miglioramento delle competenze, purché condotte in ambienti controllati e senza utilizzo di dati aziendali o documentazione reale.

   In ogni caso, non è mai consentita la pubblicazione o la diffusione di contenuti generati da IA senza verifica umana, né l’affidamento decisionale o comunicativo all’IA in autonomia.

    

5. Controllo e validazione degli output
   

   Tutti i contenuti generati tramite strumenti di intelligenza artificiale devono essere sottoposti a verifica e approvazione da parte di personale competente prima di essere utilizzati in qualsiasi forma, sia internamente che esternamente.

   • Nessun output può essere considerato automaticamente corretto, completo o attendibile. Anche in presenza di contenuti formalmente plausibili, l’IA può generare affermazioni inesatte, fuorvianti o distorte (“allucinazioni”), che necessitano di controllo umano rigoroso.

   • La verifica deve essere effettuata da un soggetto in grado di comprendere il contesto, il contenuto e le implicazioni del testo generato, con particolare attenzione a:

     • Errori tecnici, numerici o interpretativi

     • Bias impliciti o contenuti discriminatori

     • Affermazioni non verificabili o non documentate

     • Riferimenti a dati o fatti non coerenti con le fonti ufficiali

   • È fatto obbligo di segnalare tempestivamente al Responsabile della policy o al referente compliance ogni output IA che contenga:

     • Contenuti discriminatori, offensivi o eticamente inappropriati

     • Errori gravi o affermazioni potenzialmente dannose

     • Informazioni che possano ledere l’immagine o la reputazione di Athena SCF, dei clienti o di terzi

     • Qualsiasi contenuto riconducibile a opere coperte da copyright senza autorizzazione

   • La validazione finale deve avvenire prima di qualsiasi pubblicazione, inoltro, archiviazione ufficiale o invio a soggetti esterni. In caso di dubbi sull’attendibilità di un contenuto generato dall’IA, è preferibile non utilizzarlo.

    

6. Diritti d’autore e proprietà intellettuale
   

   Athena SCF adotta una posizione rigorosa in materia di rispetto del diritto d’autore, dei marchi registrati e della proprietà intellettuale di terze parti. L’utilizzo di strumenti di intelligenza artificiale generativa non deve mai violare tali diritti, né direttamente né indirettamente.

   • È vietato utilizzare prompt o istruzioni che richiedano all’IA di generare contenuti “nello stile di” soggetti protetti da copyright, marchi registrati o altri diritti esclusivi (es. “scrivi come [nome autore]”, “crea un’immagine nello stile di [marchio]”, “riproduci una pubblicità simile a [nome brand]”).

   • È obbligatorio utilizzare formulazioni generiche e neutre, come ad esempio “tono tecnico e professionale”, “stile divulgativo e accessibile”, “linguaggio informale adatto ai social media”, evitando ogni riferimento esplicito o implicito a opere coperte da diritti.

   • Non è consentita la riproduzione, anche parziale o ispirata, di testi, immagini, voci o format riconducibili a terze parti, salvo espressa autorizzazione documentata o utilizzo di contenuti con licenza libera (es. Creative Commons).

   • Tutti i contenuti IA destinati alla pubblicazione esterna (articoli, visual, video, materiali commerciali) devono essere preventivamente revisionati dal referente legale o compliance, qualora vi siano dubbi sulla liceità o originalità del materiale.

   • Athena SCF si riserva il diritto di richiedere ai propri collaboratori e fornitori la documentazione dei prompt e delle fonti utilizzate per la generazione dei contenuti in caso di contestazioni o verifiche di compliance.

   La violazione di queste disposizioni può comportare responsabilità civile e penale, oltre a gravi danni reputazionali per l’azienda. La prudenza nell’uso degli strumenti generativi deve essere sempre anteposta alla velocità o alla creatività.
   
   

7. Sicurezza informatica e account
   

   Per garantire la protezione dei dati aziendali, dei flussi operativi e dell’identità digitale di Athena SCF, l’accesso agli strumenti di intelligenza artificiale deve avvenire in condizioni di massima sicurezza.

   • L’utilizzo di piattaforme IA è consentito esclusivamente attraverso account aziendali dedicati, creati e gestiti sotto la supervisione del reparto IT o del responsabile della sicurezza informatica.

   • Tutti gli account devono essere protetti da sistemi di autenticazione a due fattori (2FA) e rispettare i criteri di complessità delle credenziali previsti dalla policy interna (es. password univoche, aggiornamento periodico, divieto di condivisione).

   • È espressamente vietato l’utilizzo di account personali, privati o non tracciabili per qualsiasi attività riconducibile a Athena SCF, anche se relativa a contenuti generici, bozze o sperimentazioni.

   • Non è consentita l’attivazione autonoma di account su piattaforme di IA senza autorizzazione preventiva, né l’uso di versioni gratuite, beta o sperimentali non sottoposte a verifica tecnica e legale da parte della società.

   • In caso di smarrimento delle credenziali, accessi sospetti o violazioni, l’utente deve segnalare immediatamente l’accaduto al referente IT o al responsabile della sicurezza informatica.

   • Athena SCF si riserva il diritto di monitorare l’utilizzo degli strumenti di IA aziendali, tracciarne l’attività e revocare gli accessi in caso di utilizzi non conformi, comportamenti rischiosi o cessazione del rapporto di collaborazione.

    

8. Formazione e aggiornamento
   

   Athena SCF considera la formazione continua sul tema dell’intelligenza artificiale generativa un requisito essenziale per garantire un utilizzo efficace, consapevole e conforme agli standard etici e normativi.

   • Tutto il personale coinvolto nell’uso di strumenti IA riceverà una formazione obbligatoria iniziale, mirata a fornire le basi tecniche, giuridiche ed etiche per l’utilizzo sicuro delle tecnologie generative.

   • Sono previsti aggiornamenti periodici, almeno su base semestrale o in caso di cambi normativi, introdotti mediante sessioni formative mirate, moduli online o materiali di autoapprendimento.

   • I percorsi formativi saranno differenziati per ruolo e funzione, con focus specifici per i reparti comunicazione, consulenza, compliance, IT, marketing e content creation.

   • La formazione comprenderà:

     • Workshop interattivi e casi studio reali

     • Linee guida operative e codici di condotta aggiornati

     • Check-list pratiche per la verifica degli output e dei prompt

     • Simulazioni di scenari critici (es. gestione incidenti, errori, violazioni)

     • Momenti di confronto interni per la condivisione di dubbi e buone pratiche

   • Saranno individuati referenti interni (“ambasciatori IA”) all’interno dei vari team, con il compito di supportare i colleghi, promuovere il rispetto delle regole e fungere da primo punto di contatto per chiarimenti operativi.

   • La partecipazione alla formazione sarà tracciata e registrata, e potrà costituire elemento valutativo in sede di performance review o di verifica dell’idoneità operativa in determinati ambiti.

    

9. Fornitori e partner esterni
   

   L’adozione di strumenti di intelligenza artificiale da parte di soggetti terzi coinvolti nei processi di Athena SCF deve avvenire secondo standard di sicurezza, trasparenza e conformità equivalenti a quelli richiesti internamente.

   • Tutti i partner e fornitori che impiegano IA per conto di Athena SCF, a qualsiasi titolo (es. content creator, agenzie creative, sviluppatori software, collaboratori esterni), devono aderire formalmente alla presente policy o a una policy equivalente, da sottoporre a verifica da parte del referente legale o compliance.

   • Nei contratti e negli accordi di collaborazione saranno inserite clausole specifiche relative a:

     • Riservatezza e protezione dei dati personali

     • Divieto di utilizzo di IA per trattare documenti o informazioni sensibili non esplicitamente autorizzati

     • Obbligo di indicare l’eventuale uso di IA nella produzione di contenuti o output

     • Responsabilità in caso di errori, violazioni o contenuti non conformi generati dall’IA

     • Obbligo di revisione e approvazione preventiva da parte di Athena SCF per contenuti IA destinati alla pubblicazione o alla comunicazione esterna

   • I fornitori dovranno garantire la tracciabilità dei prompt, dei tool utilizzati e dei dati trattati, conservando per almeno 12 mesi la documentazione necessaria a dimostrare la correttezza del processo generativo.

   • Eventuali subappalti o utilizzi indiretti di IA devono essere espressamente autorizzati per iscritto, con la medesima applicazione delle misure di conformità e sicurezza.

   • Athena SCF si riserva il diritto di effettuare audit o verifiche a campione sulle pratiche di utilizzo dell’IA da parte dei fornitori e di sospendere o risolvere il contratto in caso di violazioni rilevanti.

    

10. Gestione degli incidenti
    

    Athena SCF adotta un approccio strutturato e reattivo alla gestione di incidenti legati all’uso dell’intelligenza artificiale, con l’obiettivo di minimizzare i rischi legali, reputazionali e operativi.

    Un incidente può includere, a titolo esemplificativo ma non esaustivo:

    • Violazioni della privacy o diffusione di dati riservati tramite prompt o output IA

    • Pubblicazione accidentale di contenuti errati, discriminatori, fuorvianti o lesivi

    • Uso non autorizzato o fuori policy di account personali o piattaforme non approvate

    • Malfunzionamenti o usi impropri di IA da parte di fornitori esterni

    In caso di incidente, il personale è tenuto a:

    1. Notificare immediatamente l’accaduto al referente interno per la privacy, alla funzione legale o al responsabile della sicurezza informatica, utilizzando i canali aziendali ufficiali (email, modulo incidente, tool segnalazione).

    2. Documentare in modo dettagliato l’evento, includendo:

       • Il prompt inserito (in originale)

       • L’output generato

       • Il contesto di utilizzo (interno, esterno, cliente)

       • Le tempistiche (ora, data, mezzo utilizzato)

       • Eventuali soggetti coinvolti o impattati

    3. Collaborare attivamente con il team interno preposto, fornendo tutte le informazioni utili alla valutazione dell’impatto, alla comunicazione di crisi (se necessaria) e alla messa in atto di misure correttive (rimozione contenuto, aggiornamento policy, informativa agli interessati, segnalazione al Garante).

    Il personale non deve in alcun caso tentare di cancellare, modificare o nascondere l’evento. La trasparenza nella segnalazione è un obbligo aziendale e un elemento fondamentale per la compliance.

    Athena SCF potrà avviare, ove necessario, un’analisi post-incidente (post-mortem) per identificare le cause alla radice, aggiornare le procedure interne e prevenire il ripetersi di episodi simili.

     

     

11. Monitoraggio e aggiornamenti
    

    Athena SCF riconosce la natura dinamica e in costante evoluzione delle tecnologie di intelligenza artificiale, nonché l’importanza di mantenere allineate le proprie procedure interne con i più recenti sviluppi normativi, tecnici ed etici.

    • La presente policy è soggetta a revisione ordinaria con cadenza semestrale, a cura del team compliance in collaborazione con il referente legale, l’area IT e i responsabili dei dipartimenti coinvolti nell’uso degli strumenti IA.

    • Revisioni straordinarie potranno essere attivate in qualsiasi momento, in caso di:

      • Novità normative (es. entrata in vigore dell’AI Act, modifiche al GDPR, nuove disposizioni del Garante)

      • Introduzione o dismissione di strumenti di IA all’interno dei flussi aziendali

      • Incidenti significativi o segnalazioni rilevanti

      • Feedback strutturato da parte degli utenti interni o dei referenti di reparto

    • Ogni nuova versione della policy sarà formalmente approvata, versionata, protocollata e comunicata a tutti i soggetti interessati, con evidenza delle modifiche introdotte e, se necessario, aggiornamento della documentazione formativa e delle procedure operative.

    • Le versioni precedenti saranno archiviate per eventuali esigenze di tracciabilità e audit.

    Athena SCF incoraggia attivamente la segnalazione di criticità, ambiguità o proposte di miglioramento della presente policy da parte di tutti i collaboratori, come parte integrante di una cultura aziendale orientata alla responsabilità e all’innovazione sicura.

    
    

Responsabile della policy: Filippo Angeloni, amministratore Athena SCF, [email protected]