L’AI ci aiuta a lavorare meglio?

Troppo spesso l’ingresso dell’IA nelle organizzazioni viene ridotto a una semplice questione di aggiornamento software o di ottimizzazione dei flussi dati. Una simile lettura sottovaluta la specifica qualità interazionale e la natura “relazionale” di molti sistemi di IA contemporanei: essi non si limitano a eseguire operazioni, ma scrivono e parlano fluentemente, propongono raccomandazioni e classificazioni, spesso producono spiegazioni e danno risposte in forme che possono indurre affidamento (reliance), attribuzione di competenza e delega decisionale (outsourcing). È questa capacità di entrare nei processi cognitivi e organizzativi, più che una presunta somiglianza all’umano, a renderli profondamente diversi dalle tecnologie meramente strumentali.

Che la questione travalichi il solo ambito tecnico-organizzativo è indicato anche dal fatto che l’IA è ormai oggetto di riflessione etica, sociale e antropologica in sedi molto diverse, comprese quelle del magistero religioso. In questa prospettiva può essere richiamata, come segnale del rilievo pubblico del tema, la recente enciclica Magnifica Humanitas di Leone XIV. Il testo contiene una esortazione a curare le relazioni e a “custodire luoghi e tempi in cui la presenza fisica rimane decisiva, in un’epoca che tende a velocizzare e frammentare. La cultura digitale moltiplica le connessioni e offre nuove possibilità di incontro; tuttavia, il cuore umano conserva un bisogno irrinunciabile di prossimità. Il vero progresso nasce sempre da un cuore aperto all’altro, da un’intelligenza disponibile all’ascolto, da una volontà che cerca ciò che unisce più che ciò che separa.” 

L’IA come test di maturità organizzativa

La sfida è integrare la valutazione dei rischi connessi all’IA nella tutela della salute e nella sicurezza sul lavoro, nel benessere organizzativo e nella qualità dei processi decisionali, evitando che l’innovazione tecnologica sia valutata soltanto in termini di efficienza o produttività. La questione non è stabilire se l’IA sia in sé una minaccia o un’opportunità, ma progettare le condizioni tecniche, organizzative e formative affinché il suo impiego sia compatibile con dignità, salute, sicurezza, autonomia professionale e responsabilità. La risposta non risiede soltanto nel codice di programmazione del software, ma nell’intero assetto socio-tecnico che ne orienta lo sviluppo, la validazione, l’integrazione nei processi, il monitoraggio e l’uso responsabile. 

Il Protocollo “Human-First” contro l’Automation Bias e il deskilling

L’automazione spinta a livello di singola decisione genera il rischio di deskilling (erosione delle competenze) e di Automation Bias, la tendenza umana a fidarsi della macchina anche di fronte a errori macroscopici.

Per preservare autonomia e qualità del giudizio non serve un unico protocollo valido per ogni contesto, ma una famiglia di protocolli di interazione uomo-IA, selezionati in base al rischio, al compito, alle competenze dell’operatore, alla validazione del sistema e alle conseguenze dell’errore. Ad esempio, in alcuni contesti ad alto rischio può essere utile prevedere che l’operatore formuli e registri una valutazione preliminare prima di consultare l’output dell’IA, così da rendere più tracciabile il rapporto tra giudizio umano, raccomandazione algoritmica e decisione finale. Questo è il cosiddetto protocollo human-first. In altri contesti possono essere più adeguati protocolli diversi, purché orientati a mantenere ispezionabilità, contestabilità e chiara allocazione delle responsabilità. Mantenere occasioni di giudizio non assistito può essere una misura importante per preservare competenze e capacità critica, ma deve essere integrata con formazione, procedure di tracciabilità, monitoraggio delle prestazioni e possibilità effettiva di sostituire il controllo automatico con quello umano (override).

Rischio algoritmico come minaccia strutturale e il trilemma della governance

L’IA non va trattata come una moda tecnologica passeggera, ma come un fattore strutturale di trasformazione dei processi lavorativi, capace di generare sia benefici sia nuovi profili di rischio che devono essere valutati, documentati e governati. 

Pertanto non può essere gestita come un semplice addendum al Documento di Valutazione dei Rischi (DVR). Quando il datore di lavoro utilizza sistemi di IA ad alto rischio, può assumere il ruolo di deployer ai sensi dell’AI Act, con obblighi specifici di uso conforme, supervisione umana, monitoraggio, tracciabilità e informazione dei lavoratori.

La vera innovazione risiede nel superamento dei silos burocratici: DVR (Sicurezza), DPIA (Privacy) e FRIA (Fundamental Rights Impact Assessment) non devono essere tre percorsi separati, ma le tre facce di un’unica strategia di governance integrata. Devono cioè essere resi interoperabili entro una strategia integrata di governance del rischio, in modo che salute e sicurezza, protezione dei dati, diritti fondamentali, organizzazione del lavoro e responsabilità siano valutati in modo coerente.

Solo questo approccio può mitigare rischi come la Techno-complexity (fatica cognitiva) e il Black-box stress (sfiducia derivante dall’opacità decisionale).

La Legge 132/2025 rafforza questo orientamento: in ambito lavorativo: l’IA deve essere impiegata per migliorare le condizioni di lavoro, tutelare l’integrità psicofisica dei lavoratori e accrescere la qualità delle prestazioni, nel rispetto di sicurezza, affidabilità, trasparenza, dignità umana e riservatezza dei dati personali.

“L’intelligenza artificiale – commenta Cabitza –  non è più soltanto una promessa tecnologica: è ormai un fattore di trasformazione socio-tecnica che ridefinisce processi, ruoli, competenze, responsabilità e profili di rischio nei contesti organizzativi.”

La “Shadow AI” e il pericolo dell’invisibilità organizzativa

La Shadow AI, ossia l’uso non dichiarato o non governato di strumenti di IA da parte dei lavoratori, può generare rischi rilevanti: esposizione indebita di dati, uso di strumenti non validati, opacità dei processi decisionali, perdita di tracciabilità, incertezza sulle responsabilità e incremento del carico cognitivo.

In diversi casi, purtroppo, è stato osservato come l’uso informale di strumenti di IA può aumentare l’ansia da prestazione, soprattutto quando chi lavora sente di dover migliorare produttività e qualità del lavoro attraverso strumenti non riconosciuti, non validati e non supportati dall’organizzazione.

Ciò suggerisce la necessità di istituire un registro aziendale dei sistemi di IA, mappando ciò che è “già in casa” per sottoporlo alla lente socio-tecnica della prevenzione. L’invisibilità tecnologica è, per definizione, l’antitesi della sicurezza.

In occasione di un recente incontro relativo a questi temi e dedicato alla comunità della ricerca e innovazione della Fondazione Bruno Kessler, per approfondire il legame tra AI, governance socio-tecnica e benessere di chi lavora, abbiamo rivolto un paio di domande al prof. Federico Cabitza.  

• Equilibrio tra efficienza e competenza  

Giancarlo Sciascia: In contesti aziendali che puntano alla massima produttività, emerge il trade-off tra decisioni potenzialmente sempre più veloci (e profittevoli nell’immediato) e il rallentamento del processo decisionale per preservare il sapere esperto. Non c’è il rischio che il management consideri svantaggioso temporeggiare e finisca per optare per una delega totale all’algoritmo realizzando un investimento che nel lungo periodo si rivelerà meno redditizio? 

Federico Cabitza: 

Sì, il rischio esiste, ed è uno dei punti più delicati della trasformazione digitale contemporanea. Molte organizzazioni tendono a valutare l’intelligenza artificiale soprattutto in termini di efficienza immediata: riduzione dei tempi, abbattimento dei costi, standardizzazione dei processi, aumento della produttività. Tutti obiettivi legittimi, che non intendo sminuire. Il problema però nasce quando questa logica viene interpretata in modo troppo ristretto, come se il valore di una tecnologia coincidesse soltanto con la velocità con cui permette di prendere decisioni o con il numero di decisioni che consente di automatizzare.

In realtà, in molti contesti ad alta responsabilità,  penso ovviamente alla sanità, ma anche alla sicurezza, alla gestione delle persone, a scelte commerciali strategiche,  il sapere esperto non è un peso. È una risorsa organizzativa, è capitale epistemico. È ciò che permette di riconoscere i casi anomali, interpretare segnali deboli, contestualizzare una raccomandazione algoritmica, capire quando un output formalmente plausibile è invece sostanzialmente pericoloso.

La delega totale all’algoritmo può dunque apparire conveniente nel breve periodo, ma creare fragilità nel medio-lungo periodo. Il rischio non è solo l’errore puntuale della macchina. Il rischio più profondo è la degradazione progressiva della competenza umana e organizzativa (deskilling): se le persone smettono di esercitare giudizio, perdono gradualmente la capacità di valutare, correggere e governare il sistema. A quel punto l’organizzazione diventa più veloce, ma anche più cieca.

Per questo credo che la domanda corretta non sia: “Quanto possiamo automatizzare?”. La domanda corretta è: “Quale combinazione tra capacità umane e capacità algoritmiche genera valore in modo sicuro, sostenibile e governabile?”. Questo è anche il senso del lavoro che stiamo portando avanti nel centro DHWB: produrre evidenze, metodologie e soluzioni prototipali per capire non solo se una tecnologia funziona, ma a quali condizioni può essere adottata senza impoverire le competenze degli operatori sanitari, senza aumentare rischi opachi e senza trasferire responsabilità decisionali a sistemi che non possono assumersi responsabilità in senso proprio.

Quindi sì: rallentare, in certi casi, non è inefficienza. È una forma di investimento nella qualità della decisione, nella resilienza organizzativa e nella sostenibilità dell’innovazione. Il management più maturo non dovrebbe chiedersi soltanto quanto tempo risparmia grazie all’IA, ma anche quali capacità rischia di perdere se la delega viene progettata male. 

• Sull’evoluzione del SPP e la governance integrata 

GS: Lei propone che il Servizio di Prevenzione e Protezione (SPP) diventi un attore strategico della governance dell’IA, uscendo dai “silos” tecnici per dialogare con IT, HR e uffici legali. Quali sono le competenze non-tecniche prioritarie che un/a addetto/a alla sicurezza dovrebbe acquisire oggi per riuscire a tradurre l’opacità di una “black box” algoritmica in fattori di rischio comprensibili e valutabili all’interno del Documento di Valutazione dei Rischi (DVR)?

FC: Credo che il punto di partenza sia riconoscere che la black box non è solo un problema tecnico. È anche un problema organizzativo, cognitivo e decisionale. Naturalmente servono competenze tecniche, o almeno un’alfabetizzazione minima sui sistemi di IA: bisogna sapere che cos’è un modello predittivo, che cos’è un sistema generativo, che cosa significa errore, incertezza, bias, deriva del modello, validazione. Ma per il Servizio di Prevenzione e Protezione questo non basta.

La prima competenza non-tecnica è la capacità di analisi socio-tecnica del lavoro. Un sistema di IA non va valutato come oggetto isolato, ma come parte di un processo: chi lo usa, in quale momento, con quale grado di autonomia, sotto quale pressione temporale, con quali possibilità di contestazione, con quali effetti sulle responsabilità, sulle competenze e sulle relazioni di lavoro. Spesso il rischio non sta nel modello in sé, ma nel modo in cui il modello viene inserito nel processo organizzativo.

La seconda competenza riguarda l’analisi dei fattori umani. Un addetto alla sicurezza deve saper riconoscere fenomeni come automation bias, over-reliance, deskilling, perdita di situation awareness, affaticamento cognitivo, stress da monitoraggio continuo, dipendenza da raccomandazioni automatiche. Sono rischi meno visibili di quelli fisici, ma non per questo meno rilevanti. Se un lavoratore si abitua a non decidere più, o a non poter contestare un output algoritmico, siamo già dentro una trasformazione del rischio professionale.

La terza competenza è la capacità di traduzione interdisciplinare. Lo SPP non deve diventare un reparto di data science, ma deve essere in grado di fare le domande giuste a chi sviluppa, acquista o integra sistemi di IA. Domande del tipo: su quali dati è stato addestrato il sistema? In quali condizioni è stato validato? Che tipo di errore produce? Chi controlla gli aggiornamenti? Come viene gestito il dissenso dell’operatore? Cosa succede se il sistema sbaglia? Esistono log, audit trail, soglie di intervento, procedure di escalation?

La quarta competenza è giuridico-organizzativa. Non nel senso che lo SPP debba sostituirsi al legale, ma nel senso che deve comprendere il nesso tra rischio tecnologico, responsabilità, documentazione, tracciabilità e governance. Nel DVR non possiamo limitarci a scrivere che “è stato introdotto un sistema di IA”. Dobbiamo descrivere come quel sistema modifica l’attività lavorativa, quali rischi introduce o amplifica, quali misure tecniche, organizzative e formative sono state previste, e chi è responsabile del controllo nel tempo.

Infine, serve una competenza metodologica: la capacità di valutare evidenze. Una tecnologia non è sicura perché il fornitore la presenta come innovativa, né perché funziona in una demo. Va valutata nel contesto reale d’uso. Questa è una delle idee centrali della proposta di valore del DHWB: aiutare imprese, istituzioni e in generale decisori e policy maker a comprendere se, come e a quali condizioni una tecnologia digitale o un sistema di IA possa generare valore sanitario, cioè clinico, organizzativo e sociale, in modo sicuro, sostenibile e responsabile.

• Salute digitale e segnali sentinella

GS: La salute non è solo assenza di malattia, ma anche uno stato di benessere fisico, mentale e sociale che l’IA può compromettere attraverso rischi sottili come lo “stress da sorveglianza” o la “perdita di agentività”. Quali sono i principali “segnali sentinella” (analoghi agli infortuni mancati) che il Medico Competente o il Servizio di Prevenzione e Protezione dovrebbero monitorare per intercettare precocemente un degrado del benessere psicologico causato dall’interazione con gli algoritmi?

FC: La nozione di “segnale sentinella” è molto utile, perché ci aiuta a non intervenire solo quando il danno è già manifesto. Nel caso dell’IA nei luoghi di lavoro, molti rischi sono inizialmente sottili: non producono subito un infortunio o un incidente, ma modificano progressivamente il rapporto tra lavoratore, compito, responsabilità e organizzazione.

Un primo segnale è l’aumento del disagio legato alla sorveglianza, nel senso di “surveillance”. Se le persone percepiscono di essere costantemente misurate, classificate, valutate o confrontate da sistemi automatici, possono sviluppare forme di stress specifiche: ipercontrollo di sé, ansia da prestazione, riduzione della spontaneità professionale, paura di essere penalizzati da metriche non pienamente comprensibili. Il punto non è solo la quantità di monitoraggio, ma la sua opacità: essere valutati da criteri che non si capiscono aumenta il senso di vulnerabilità.

Un secondo segnale è la perdita di agentività, che paradossalmente può essere alimentata dalla sorveglianza, ma nel senso di oversight (nell’ AI Act purtroppo è tradotto così), cioè quel tipo di supervisione del comportamento e dell’output dei sistemi IA che molti dipendenti che usano tali sistemi saranno tenuti ad esercitare costantemente. La loss of agency, come si chiama nella letteratura specialistica anglofona, si osserva quando i lavoratori iniziano a dire, esplicitamente o implicitamente: “Lo decide il sistema”, “non posso farci niente”, “non ha senso contestare”, “meglio seguire l’algoritmo anche se non sono convinto”. Questo è un indicatore molto importante, perché suggerisce che la tecnologia non sta solo supportando il lavoro: sta ridefinendo chi ha titolo a giudicare, decidere e assumersi responsabilità.

Un terzo segnale è il deterioramento della qualità del giudizio esperto, il deskilling. Può manifestarsi come riduzione della capacità di argomentare una decisione senza il supporto del sistema, minore propensione a verificare gli output automatici, oppure difficoltà crescente nel gestire casi non standard. Questo è l’equivalente cognitivo del “near miss”: non è ancora un errore conclamato, ma indica che il sistema socio-tecnico sta perdendo resilienza.

Un quarto segnale riguarda il conflitto tra responsabilità formale e controllo reale. Quando un lavoratore resta formalmente responsabile di una decisione, ma nella pratica non ha tempo, informazioni, autorità o competenze per contestare l’output algoritmico, si crea una zona grigia molto pericolosa. È una condizione che può generare stress morale, frustrazione, disimpegno e senso di esposizione ingiusta.

Il Medico Competente e lo SPP dovrebbero quindi monitorare non solo indicatori classici come stress, burnout, assenteismo o turnover, ma anche indicatori più specifici dell’interazione uomo-macchina e dell’ingegneria dei fattori umani: percezione di controllo, comprensibilità dei criteri decisionali, possibilità di contestazione, carico cognitivo, fiducia calibrata nel sistema, qualità della supervisione umana, mantenimento delle competenze. Nel mio gruppo di ricerca in Bicocca abbiamo definito il concetto di appropriate reliance, affidamento appropriato (qui un tool che permette di misurarlo: https://www.entechne.com/metimeter/haiassessment/) , che integrerò anche nelle valutazioni condotte in ambito clinico dal centro DHWB e che spero diventi sempre più comune valutare quando in un contesto organizzativo si usano sistemi a supporto delle decisioni basati su IA.

In sintesi, ogni tecnologia informatica, e in particolare la IA, va trattata come una trasformazione delle pratiche e quindi dell’ambiente di lavoro, non come un semplice software. Per questo la prevenzione deve spostarsi da una logica reattiva a una logica anticipatoria: osservare i segnali deboli, valutare le condizioni reali d’uso, progettare meccanismi di controllo e correggere il processo prima che il disagio individuale o l’errore organizzativo diventino danno.