Dopo la Legge 132, nei Progetti AI Serve l'Analista Legal Tech

Nei progetti AI la compliance non puo arrivare alla fine. Serve una figura legal tech che lavori con tecnici, architect e analyst fin dall'assessment.

Gaetano Castaldo Gaetano Castaldo
19 May 2026
ai compliance digital-transformation #Legge 132 #AI Act #legal tech #compliance #AI governance #PMI italiane #assessment AI #digital transformation
Team di progetto AI in riunione con una figura legal tech che entra nel confronto tecnico

TL;DR

La Legge 132/2025 non obbliga le aziende ad avere un "analista legal tech" nel team. Pero rende molto piu evidente un punto: nei progetti di intelligenza artificiale la compliance non puo essere un controllo finale.

Se la parte legale entra quando il processo e gia stato disegnato, il dataset scelto, il fornitore selezionato e l'automazione quasi pronta, spesso e troppo tardi. A quel punto la compliance non aiuta a progettare meglio: diventa un freno, una revisione costosa, o nei casi peggiori un rework completo.

Il nuovo paradigma e diverso: mettere nello stesso team competenze tecniche e competenze legal tech fin dall'assessment.

In pratica significa:

  • mappare processi, dati e strumenti AI prima di scegliere la soluzione;
  • capire subito se il caso d'uso tocca privacy, lavoro, clienti, HR, credito, sicurezza o decisioni automatizzate;
  • tradurre il processo aziendale in rischi, obblighi e presidi concreti;
  • progettare architettura, supervisione umana, tracciabilita e documentazione insieme alla soluzione tecnica;
  • ridurre il rischio di scoprire troppo tardi che un progetto AI deve essere cambiato, limitato o fermato.

Noi stiamo gia lavorando in questo modo: assessment tecnico e lettura legal tech nello stesso percorso. Non per burocratizzare l'AI, ma per renderla implementabile senza sorprese.

Il Problema: Progettiamo AI Come Se Fosse Software Normale

Molte aziende stanno affrontando l'intelligenza artificiale con lo stesso schema usato per un normale progetto software.

Si raccolgono i requisiti. Si disegna il processo. Si sceglie il tool. Si sviluppa. Si testa. Poi, verso la fine, qualcuno chiede: "Ma dal punto di vista compliance siamo a posto?".

Con l'AI questo approccio e fragile.

Un progetto AI non e solo una nuova applicazione. Spesso entra dentro dati aziendali, documenti riservati, procedure operative, interazioni con clienti, selezione del personale, supporto decisionale, produzione di contenuti, automazioni su CRM o sistemi interni.

Quindi le domande non sono solo tecniche:

  • quali dati vengono usati?
  • da dove arrivano?
  • chi li puo vedere?
  • il modello prende decisioni o supporta una persona?
  • il cliente sa che sta interagendo con un sistema AI?
  • il dipendente sa quali strumenti puo usare?
  • chi controlla l'output?
  • cosa succede se l'AI sbaglia?
  • quali evidenze restano a disposizione dell'azienda?

Se queste domande emergono solo alla fine, il rischio e creare rework.

E il rework nei progetti AI costa piu del normale, perche non riguarda solo codice o configurazioni. Puo richiedere di cambiare dati, ridisegnare workflow, modificare informative, rivedere ruoli interni, sostituire fornitori, introdurre supervisione umana o limitare funzionalita gia promesse agli utenti.

La compliance, quando arriva tardi, sembra un ostacolo.

Quando arriva all'inizio, diventa architettura.

Perche la Legge 132 Cambia il Contesto Italiano

La Legge 23 settembre 2025, n. 132, pubblicata in Gazzetta Ufficiale il 25 settembre 2025 ed entrata in vigore il 10 ottobre 2025, crea il quadro nazionale italiano in materia di intelligenza artificiale.

Il punto importante, per le aziende, non e leggerla come un elenco di adempimenti isolati. La legge si coordina con il Regolamento UE 2024/1689, cioe l'AI Act, e porta in Italia una direzione chiara: l'AI deve essere adottata in modo corretto, trasparente, responsabile, sicuro e coerente con i diritti fondamentali.

Questo non significa che ogni PMI debba costruire un ufficio legale interno dedicato all'AI.

Significa pero che non basta piu dire: "Abbiamo comprato Copilot", "abbiamo collegato ChatGPT al CRM", "abbiamo fatto un agente con n8n", "abbiamo messo un chatbot sul sito".

La domanda diventa: come hai progettato quell'uso dell'AI?

Hai mappato i dati? Hai distinto uso interno e uso verso clienti? Hai definito chi supervisiona? Hai formato chi usa il sistema? Hai capito se il caso d'uso puo rientrare in un'area ad alto rischio? Hai raccolto evidenze minime del percorso?

L'AI Act Service Desk ricorda che gli obblighi si applicano progressivamente: alcune disposizioni, come AI literacy e pratiche vietate, sono gia applicabili dal 2 febbraio 2025; altre, come trasparenza e gran parte del quadro applicativo, maturano nelle fasi successive.

Il messaggio operativo e semplice: aspettare la fine del progetto per porsi il tema compliance non e piu un modo efficiente di lavorare.

Il Team Tradizionale Non Basta Piu

In un progetto digitale classico il team minimo e spesso composto da:

  • business analyst;
  • solution architect o technical architect;
  • developer o automation specialist;
  • project manager;
  • eventualmente data specialist, security specialist o sistemista.

Questo team puo essere molto competente, ma nei progetti AI rischia di avere un punto cieco: traduce bene il bisogno di business in soluzione tecnica, ma non sempre traduce il processo in implicazioni normative, responsabilita e presidi di conformita.

E qui entra la nuova figura.

Non parlo dell'avvocato chiamato a fine progetto per "mettere un timbro". E non parlo nemmeno del tecnico che si improvvisa esperto legale dopo aver letto due checklist.

Parlo di una figura ibrida: un analista legal tech.

Una persona con competenza legale e compliance, ma abbastanza alfabetizzata sulla tecnologia da capire processi, dati, integrazioni, automazioni, modelli, API, logiche di decisione e punti di controllo.

Non deve scrivere codice.

Deve capire abbastanza il progetto da fare le domande giuste quando quelle domande contano ancora.

Il nuovo team AI compliance-by-design

Cosa Fa Davvero l'Analista Legal Tech

L'analista legal tech non sostituisce il legale, il DPO, il security specialist o l'architect. Lavora con loro.

Il suo valore sta nella traduzione.

Traduce il processo aziendale in rischi. Traduce il rischio in requisiti. Traduce i requisiti in vincoli progettuali. Traduce i vincoli in scelte operative comprensibili anche per tecnici e manager.

In un assessment AI, questa figura aiuta a rispondere a domande che spesso rimangono implicite.

Area Domanda chiave Perche conta
Processo Dove entra l'AI nel flusso reale di lavoro? Per capire se l'AI supporta, automatizza o influenza una decisione.
Dati Quali dati usa il sistema? Per valutare privacy, riservatezza, qualita, minimizzazione e accessi.
Utenti Chi usa o subisce l'output AI? Per distinguere uso interno, uso verso clienti, lavoratori o soggetti terzi.
Rischio Il caso d'uso tocca ambiti sensibili? Per evitare di trattare come semplice automazione un caso piu delicato.
Supervisione Chi controlla l'output e con quale criterio? Per non lasciare responsabilita vaghe o scaricate sullo strumento.
Evidenze Cosa resta documentato? Per dimostrare che l'azienda ha progettato, formato e controllato con metodo.

Queste non sono domande da fare quando il progetto e finito.

Sono domande da fare prima di scegliere l'architettura.

Compliance by Design: Meno Rework, Piu Valore

Il concetto non e nuovo in assoluto. Nel mondo privacy si parla da anni di privacy by design. Nel mondo security si parla di security by design. Nei progetti AI serve lo stesso salto mentale: AI compliance by design.

Non significa appesantire ogni progetto con burocrazia.

Significa mettere la lettura compliance nel punto in cui costa meno: all'inizio.

Durante l'assessment, il team tecnico capisce:

  • sistemi coinvolti;
  • dati disponibili;
  • integrazioni possibili;
  • livelli di automazione;
  • vincoli infrastrutturali;
  • costi e tempi.

In parallelo, l'analista legal tech aiuta a capire:

  • quali dati non dovrebbero entrare nel sistema;
  • quali usi richiedono supervisione umana esplicita;
  • quali output vanno tracciati;
  • quando serve informare utenti, clienti o dipendenti;
  • quali policy interne vanno aggiornate;
  • quali casi d'uso vanno rimandati o ridisegnati.

Il risultato non e un progetto piu lento.

Il risultato e un progetto che parte con meno assunzioni deboli.

E nelle PMI questo fa una differenza enorme, perche spesso non c'e budget per rifare tre volte la stessa cosa. Un errore di impostazione non si traduce solo in giorni persi: puo bruciare fiducia interna, bloccare il management, far percepire l'AI come rischiosa e fermare anche i casi d'uso buoni.

Un Esempio Semplice: Chatbot Interno su Documenti Aziendali

Prendiamo un caso comune: una PMI vuole creare un chatbot interno che risponde su procedure, documenti, manuali, offerte, policy e knowledge base.

Dal punto di vista tecnico sembra lineare:

  1. raccogli documenti;
  2. indicizzi i contenuti;
  3. costruisci un sistema RAG;
  4. colleghi un'interfaccia chat;
  5. fai usare il sistema ai dipendenti.

Ma la parte legal tech fa emergere domande che cambiano il progetto.

Tutti i documenti possono essere indicizzati? Ci sono contratti con clausole riservate? Ci sono dati personali di clienti o dipendenti? Le risposte del chatbot possono essere copiate in comunicazioni esterne? Chi vede cosa? Il sistema distingue commerciale, amministrazione, HR e direzione? Restano log delle domande? Quanto vengono conservati? Chi puo consultarli? I dipendenti sanno che uso e consentito?

Se queste domande arrivano dopo, devi rimettere mano a permessi, dataset, interfaccia, policy e formazione.

Se arrivano prima, il progetto cambia forma in modo naturale:

  • separi i documenti per livello di sensibilita;
  • definisci ruoli e accessi;
  • escludi dati non necessari;
  • chiarisci cosa il chatbot puo e non puo fare;
  • prepari istruzioni d'uso per i team;
  • progetti log e retention con criterio;
  • eviti che uno strumento utile diventi shadow AI formalizzata.

La tecnologia resta la stessa.

Il progetto diventa piu solido.

Perche Vale Anche per le PMI

Qualcuno potrebbe pensare che questo approccio serva solo alle medio-grandi aziende.

Secondo me e il contrario.

Le grandi aziende hanno uffici legali, security, DPO, procurement, compliance, audit interno. Possono permettersi lentezze, ridondanze e revisioni multiple.

Le PMI no.

Una PMI spesso decide in fretta, implementa con team piccoli, usa strumenti gia pronti, collega automazioni con n8n, Make, Zapier, CRM, Google Workspace, Microsoft 365, WhatsApp Business, chatbot e tool generativi.

Questo la rende veloce.

Ma la rende anche piu esposta agli errori di impostazione.

Non serve un "comitato AI" per ogni decisione. Serve un metodo proporzionato.

Per una PMI, il legal tech analyst puo essere coinvolto in modo leggero ma mirato nelle fasi chiave:

  • prima della scelta del caso d'uso;
  • durante la mappatura dati;
  • quando si decide se automatizzare o solo assistere una persona;
  • prima di mettere l'AI davanti a clienti, candidati, dipendenti o fornitori;
  • quando si attivano strumenti AI dentro processi gia regolati.

La compliance non deve rallentare le PMI. Deve evitare che accelerino nella direzione sbagliata.

Il Punto Non e "Fare Meno AI"

Questa e la parte piu importante.

Inserire una figura legal tech nei progetti AI non significa frenare l'innovazione. Significa renderla piu implementabile.

Il problema di molte aziende non e che fanno troppa AI. E che la fanno in modo frammentato:

  • un reparto sperimenta un tool;
  • un altro compra licenze;
  • qualcuno automatizza un flusso;
  • qualcuno copia dati in un chatbot;
  • qualcuno crea prompt operativi;
  • nessuno ha una mappa completa.

Quando poi arriva il tema compliance, la reazione e difensiva: "Allora non possiamo fare niente".

Non e vero.

Si puo fare molto. Ma bisogna distinguere.

Ci sono casi d'uso a basso rischio, perfetti per partire. Ci sono casi d'uso che richiedono policy e formazione. Ci sono casi che richiedono supervisione piu forte. Ci sono casi da rimandare finche non ci sono dati, governance o ruoli adeguati.

Il legal tech analyst aiuta a fare questa distinzione.

Non blocca tutto. Evita di trattare tutto allo stesso modo.

Come Lavoriamo Noi

Nei progetti AI che seguiamo stiamo gia portando questo approccio: competenza tecnica e competenza legal tech nella stessa fase di analisi.

Il punto di partenza non e il tool.

Il punto di partenza e il processo.

Prima capiamo cosa fa l'azienda oggi, dove perde tempo, dove ci sono rischi, quali dati circolano, quali strumenti sono gia usati e quali decisioni vengono prese. Poi valutiamo dove l'AI puo entrare con valore reale.

In questa fase, il contributo legal tech permette di leggere meglio il contesto:

  • non solo "si puo automatizzare?";
  • ma anche "si puo automatizzare in modo sostenibile?";
  • non solo "quanto tempo risparmia?";
  • ma anche "quale responsabilita resta in capo alle persone?";
  • non solo "quale modello usiamo?";
  • ma anche "quali dati e quali evidenze dobbiamo gestire?".

Questo approccio da valore al cliente due volte.

La prima volta perche evita progetti AI scollegati dai processi reali.

La seconda perche riduce il rischio di dover correggere a valle scelte che potevano essere impostate meglio all'inizio.

Non e una garanzia assoluta. Nessun assessment serio dovrebbe prometterla.

E pero un modo piu maturo di progettare AI in Europa, dove innovazione, dati, lavoro, privacy, responsabilita e compliance stanno diventando parti dello stesso problema.

La Nuova Domanda da Fare Prima di un Progetto AI

Fino a ieri la domanda era:

Che strumento AI possiamo usare per automatizzare questo processo?

Oggi la domanda migliore e:

Che team serve per progettare questo processo AI senza creare debito tecnico, organizzativo e compliance?

La differenza sembra sottile, ma cambia tutto.

Nel primo caso parti dallo strumento.

Nel secondo parti dall'azienda.

E quando parti dall'azienda, capisci che un progetto AI ben fatto non e solo modello, prompt, API o automazione. E una combinazione di processo, dati, persone, responsabilita, architettura e regole.

Il team deve riflettere questa realta.

Per questo credo che l'analista legal tech diventera una figura sempre piu normale nei progetti AI, soprattutto in Europa. Non necessariamente come ruolo interno fisso in ogni azienda, ma come competenza da coinvolgere nei momenti decisivi.

Chi la integra presto progetta meglio.

Chi la ignora rischia di scoprire troppo tardi che il problema non era far funzionare l'AI.

Era farla funzionare dentro un'azienda reale.

Checklist: Quando Ti Serve Una Lettura Legal Tech

Se stai valutando un progetto AI, queste domande bastano per capire se il tema va affrontato subito.

Coinvolgi competenza legal tech se il progetto:

  • usa dati personali, dati clienti, dati dipendenti o documenti riservati;
  • entra in processi HR, recruiting, valutazione performance o formazione;
  • produce output usati in offerte, contratti, report, decisioni commerciali o comunicazioni esterne;
  • automatizza parti di customer service, credito, onboarding, reclami o supporto;
  • si collega a CRM, ERP, ticketing, email, document management o sistemi interni;
  • espone l'AI a clienti, candidati, fornitori o utenti finali;
  • richiede log, tracciabilita, audit o spiegazione delle decisioni;
  • viene introdotto in azienda senza una policy AI chiara.

Se hai risposto "si" anche solo a due o tre punti, non significa che il progetto sia rischioso.

Significa che va progettato con metodo.

Domande Frequenti

La Legge 132/2025 obbliga ad avere un analista legal tech?

No. La Legge 132/2025 non crea questa figura e non impone alle aziende di inserirla nei team. Il punto e organizzativo: la cornice italiana sull'AI, insieme all'AI Act, rende piu importante progettare i sistemi AI con attenzione a dati, responsabilita, trasparenza, sicurezza e diritti. L'analista legal tech e una risposta pratica a questa esigenza.

Che differenza c'e tra avvocato, DPO e analista legal tech?

L'avvocato presidia la lettura giuridica e il parere legale. Il DPO presidia la protezione dei dati personali quando previsto o nominato. L'analista legal tech lavora nel progetto: ascolta i processi, capisce abbastanza la tecnologia, traduce rischi e obblighi in requisiti operativi, e aiuta il team tecnico a non scoprire tardi vincoli gia prevedibili.

Serve anche se uso solo ChatGPT, Copilot o Gemini?

Dipende dall'uso. Se una persona usa uno strumento AI per bozze generiche e senza dati sensibili, il rischio e diverso. Se invece l'AI entra in documenti clienti, dati aziendali, HR, offerte, CRM, report o automazioni, serve almeno una mappatura e una policy. Il problema non e il nome del tool. E il processo in cui lo inserisci.

L'analista legal tech rallenta il progetto?

Se entra alla fine, si. Se entra all'inizio, di solito riduce attriti e rework. Il suo compito non e dire "no" a tutto, ma aiutare il team a distinguere cio che si puo fare subito, cio che richiede presidi e cio che va ridisegnato.

Questo approccio vale solo per grandi aziende?

No. Le grandi aziende hanno piu strutture interne, ma anche piu burocrazia. Le PMI hanno meno margine di errore: se sbagliano impostazione, rischiano di perdere tempo, budget e fiducia interna. Per questo un assessment tecnico-legale leggero ma fatto bene puo avere molto valore.

Qual e il primo passo concreto?

Il primo passo e mappare l'AI gia in uso: strumenti, reparti, dati, finalita, persone coinvolte e output prodotti. Da li puoi capire quali casi sono a basso rischio, quali richiedono formazione e policy, e quali meritano una valutazione piu approfondita prima di investire.

Da Dove Partire

Se stai valutando un progetto AI, non partire dalla domanda "che tool compriamo?".

Parti da una domanda piu utile: quali processi vogliamo migliorare, con quali dati, con quali persone, con quali responsabilita e con quali presidi?

Un assessment AI fatto bene deve darti due risposte insieme:

  • dove l'AI puo creare valore misurabile;
  • dove devi mettere regole, supervisione e documentazione per non trasformare quel valore in rischio.

Se vuoi impostare un progetto AI con questo approccio tecnico-legale fin dall'inizio, puoi partire da un confronto operativo.

Prenota un confronto gratuito

Tags

#Legge 132 #AI Act #legal tech #compliance #AI governance #PMI italiane #assessment AI #digital transformation
Gaetano Castaldo
Gaetano Castaldo Sole 24 Ore

Founder & CEO · Castaldo Solutions

Consulente di trasformazione digitale con esperienza enterprise. Aiuto le PMI italiane ad adottare AI, CRM e architetture IT con risultati misurabili in 90 giorni.

Back AI, CRM & automation for SMEs: practical content every week Follow us →

Share

Read also

Related articles you might find interesting

Is Your Company Ready for AI?

Take the free assessment: 5 minutes, 5 areas analyzed, personalized PDF report with concrete recommendations.

Find out how AI-ready you are

Free, no signup required