Posizione difensiva, esportabile per il DPO.

Obblighi di trasparenza, by design.

Il Reg. UE 2024/1689 art. 50 entra in vigore il 2 agosto 2026. Gli obblighi di trasparenza si applicano a ogni sistema IA usato in UE: dichiarazione interazione uomo-macchina, marcatura contenuti sintetici, informativa sul riconoscimento biometrico, etichettatura deep fake.

Lemnia è classificato come sistema IA a rischio limitato. Ogni dossier, ogni report e ogni risposta vocale porta un footer di generazione IA. Ogni interrogazione è loggata in un registro elaborazioni firmato BLAKE3, esportabile per il revisore o il giudice. Gli output dei pacchetti strict (sollecito, preventivo, supplier-risk brief) non ammettono hedging; gli output dei pacchetti hedged (dossier cliente, dossier business-knowledge) usano una whitelist per pacchetto di espressioni di cautela.

Superficie di cybersicurezza, pronta per l'ispezione ACN.

• Log accessi

  Ogni login, ogni lettura dossier, ogni esportazione report registrata con timestamp, id dispositivo e attribuzione utente. Esportabile secondo lo schema log-accessi pubblicato dall'Agenzia per la Cybersicurezza Nazionale.

• Gestione patch

  Gli aggiornamenti del motore Lemnia escono firmati (Ed25519). Cadenza: sicurezza critica ≤ 24h, regolare ≤ 14g. Il verifier mostra la catena patch fino al binario su disco.

• Separation of duties

  RBAC tenant-scoped ereditato dai sistemi sorgente. Il ruolo admin è distinto dal ruolo DPO è distinto dal ruolo operatore. Attribuzione delle azioni preservata nel registro firmato.

• BCP / DR

  Backup locale del graph store + blob store schedulato di notte su un volume controllato dal tenant. Artefatti dei restore-test emersi trimestralmente attraverso il report di conformità GDPR + AI Act.

Template pre-firmato, tarato per settore.

Lemnia consegna un template DPIA per niche (schema Garante Provv. 467/2018) pre-compilato con i flussi dati, le finestre di retention, la lista sub-processor e le misure di mitigazione del rischio specifiche del settore: manifattura, distribuzione, servizi, studi professionali, ecommerce.

Il DPO rivede e firma il documento, senza redigerlo da zero. La DPIA firmata entra nella documentazione GDPR Art. 30 dell'azienda, accanto al registro elaborazioni firmato BLAKE3 che Lemnia esporta su richiesta.

BLAKE3 per interrogazione, esportabile con un click.

Ogni interrogazione che Lemnia tratta entra in un log append-only. Ogni voce porta: timestamp, id tenant, id operatore, testo della query (o trascrizione vocale), percorso di retrieval sul grafo, citazioni sorgente, testo di output, hash del modello. L'intera voce è sigillata BLAKE3.

Formati di esportazione: PDF (firmato) per il revisore, JSON-LD (firmato) per il sistema di registrazione del DPO, CSV (firmato) per la revisione in foglio elettronico. Il registro soddisfa i requisiti di record-of-processing dell'art. 30 GDPR e lo standard probatorio suggerito dal Trib. Siracusa 338/2026.

Nessuno vede ciò che non poteva già vedere.

Lemnia indicizza documenti, email, messaggi e record operativi che l'azienda già detiene. Ciascun documento conserva una lista di controllo accessi a livello di documento, rispecchiata dal sistema sorgente che lo possiede: la condivisione file, la casella di posta, il back office ecommerce, la piattaforma di ticketing.

Tale ACL è applicata in fase di retrieval, prima del ranking. Nessun risultato, snippet, citazione o frase di dossier raggiunge un operatore privo del permesso corrispondente nel sistema sorgente. Il grafo di conoscenza aziendale non amplia la portata di alcun individuo: rende accessibile, in un unico punto, soltanto ciò che ogni operatore era già autorizzato a leggere (CST.494).

Il contenuto ingerito è dato, mai istruzione.

Ogni documento indicizzato nella mente operativa è trattato come un potenziale vettore di iniezione. Il contenuto ingerito e recuperato (payload dei connettori, thread email, WhatsApp e Zendesk, testo OCR, contenuto proveniente da sorgenti MCP esterne) resta solo dato e mai un'istruzione che Lemnia esegue.

Il contenuto non fidato è delimitato in fase di retrieval. Il pianificatore agentico cloud non esegue mai direttive presenti nel testo recuperato e gli argomenti delle tool-call non sono mai presi alla lettera dal contenuto dei documenti. Una frase ostile nascosta in un'email di fornitore o in una fattura scansionata non può deviare il sistema (CST.496).

Un diario decisionale auto-circoscritto, mai uno strumento di monitoraggio.

Ogni operatore dispone di un Grafo Decisionale Personale opzionale: un diario locale, circoscritto a sé, delle decisioni che quell'operatore ha registrato. È isolato crittograficamente al suo titolare. Nessuna console del datore di lavoro e nessuna console di sede centrale lo legge.

È soltanto descrittivo. Non alimenta mai punteggi, valutazioni o assegnazione di compiti, ed è escluso da qualunque processo che incida su un lavoratore. L'operatore lo cancella ai sensi dell'art. 17 GDPR a propria discrezione. L'impianto mantiene il perimetro AI Act a rischio limitato ed è compatibile con il divieto di controllo a distanza dei lavoratori dell'art. 4 dello Statuto dei Lavoratori (CST.495).

Vuota by design, salvo il cloud-burst in modalità Pro.

Nelle installazioni di default (T1 standalone, T2 LAN, T3 sovereign on-prem) Lemnia non ha sub-processor. I dati non lasciano mai l'hardware del cliente e la lista sub-processor resta vuota.

Quando il cliente attiva il cloud-burst (modalità Pro, solo ingest + generazione lunga), l'unico sub-processor è il fornitore GPU EU-hosted (attualmente RunPod EU; migrazione a Hetzner SEV-SNP pianificata, CST.91). Ogni batch di cloud-burst richiede consenso esplicito per batch, catturato nel registro firmato.

ISO 27001 e SOC 2 Type II, in corso.

Lemnia s.r.l. ha avviato il processo di certificazione ISO/IEC 27001:2022, con audit Stage-1 schedulato per Q3 2026 e Stage-2 per Q1 2027. La finestra di osservazione SOC 2 Type II si apre nel Q2 2026 con osservazione di 12 mesi e chiusura nel Q1 2027.

Garanzia intermedia: pacchetto Trust Center completo (lista sub-processor, security policies, policy di rotazione chiavi, retention schedule, audit-log sample) disponibile sotto NDA reciproco. Contatto: dpo@lemnia.app.