C'è un tipo che lavora al Parlamento Europeo da vent'anni. Si chiama Pierfrancesco Sabbatucci. Il suo ufficio è dentro la DG ITEC — Directorate-General for Innovation and Technological Support — che è, per semplificare brutalmente, l'IT department del Parlamento Europeo. Tranne che non è solo l'IT department. È l'ente che definisce come le istituzioni europee gestiscono i dati, la cybersecurity, e — sempre di più — l'intelligenza artificiale.
David Caggiari, che gestisce GR Work Tech a Bruxelles, lo conosce. E Pier, durante una conversazione recente, ha offerto una cosa semplice ma enorme: far validare il sistema AI di Generations dai compliance expert della DG ITEC. Incontro fissato per il 17 aprile.
Questo articolo è un tentativo di capire perché quella frase — "ti mando i nostri esperti di compliance" — vale più di qualsiasi certificazione che si possa comprare.
La DG ITEC gestisce l'infrastruttura digitale di un'istituzione con 705 deputati, migliaia di funzionari, uffici a Bruxelles, Strasburgo e Lussemburgo, e obblighi di trasparenza e sicurezza che non hanno equivalenti nel settore privato. Ogni email inviata da un deputato, ogni voto registrato in aula, ogni documento classificato — tutto passa per sistemi che DG ITEC progetta, implementa e mantiene.
Pier è Adviser to the Director General. Non è un tecnico di secondo livello: è nella stanza dove si prendono le decisioni strategiche su come il Parlamento Europeo affronta la transizione digitale. Quando nel 2023 è arrivato il dibattito sull'AI Act, la DG ITEC era già lì a lavorare su come implementare politiche coerenti internamente.
Il che porta a un punto interessante: gli esperti di compliance che Pier ha offerto non sono consulenti assunti per fare una checklist. Sono le persone che hanno scritto le checklist.
Generations è una boutique di executive recruitment a Bruxelles. I loro clienti sono multinazionali, istituzioni, organizzazioni internazionali — esattamente il tipo di cliente che, prima di adottare qualsiasi sistema AI per gestire dati di candidati, vuole sapere che qualcuno serio ha guardato dentro e ha detto che è a posto.
Il sistema che hanno costruito — un brain AI on-premise, su server fisico in Belgio, con dati che non escono mai dalla loro infrastruttura — è tecnicamente solido. Ma la solidità tecnica da sola non vince contratti con clienti istituzionali. Quello che vince è la credibilità del validatore.
Un audit da un consulente privato, per quanto competente, ha un peso. Un audit implicitamente endorsato dalla DG ITEC del Parlamento Europeo ha un peso completamente diverso. È la differenza tra un certificato di qualità e il sigillo di chi ha scritto le regole.
Il sistema di Generations è costruito su ABChat — una piattaforma agentica dove il "brain" è un file system strutturato, non un database proprietario. Claude (Anthropic) fornisce l'intelligenza linguistica via API, ma non vede dati persistenti: ogni chiamata è stateless. I dati dei candidati, i profili aziendali, i report di colloquio — tutto sta su hardware fisico in Belgio, accessibile solo via VPN.
Quattro skill sono già in produzione: generazione di candidate presentation post-colloquio, job description nello stile Generations, intake report delle chiamate con i clienti, e network intelligence su 828.000 contatti dalla loro istanza Bullhorn. Ogni output viene revisionato da un recruiter prima di uscire dalla firma.
È un'architettura che risponde alle domande giuste prima ancora che vengano poste. Dove stanno i dati? Su server nostri. Chi li vede? Solo noi. Il modello si addestra sui nostri dati? No. Possiamo spegnerlo? Sì, in cinque minuti. È GDPR compliant? By design, non per policy.
Quando arrivi al meeting del 17 aprile con questa architettura e questi rispondenti, la domanda che resta è: cosa non avete pensato? E quella è esattamente la domanda giusta che gli esperti di DG ITEC faranno.
Bruxelles è un posto particolare. È la capitale europea per definizione, e il tessuto di organizzazioni che ci operano — istituzioni UE, lobbying firms, think tank, organizzazioni internazionali, studi legali specializzati in diritto europeo — ha caratteristiche specifiche. Sono tutti organizzazioni ad alto profilo regolatorio, con un'attenzione ai dati e alla compliance che supera spesso quella del settore privato ordinario.
Per una firma di executive recruitment che opera in questo ambiente, avere una validazione da DG ITEC non è solo una credenziale. È un posizionamento. Significa che puoi sedere al tavolo con HR director di organizzazioni che, prima ancora di chiederti chi cerchi, ti chiedono come gestisci i dati dei candidati.
E la risposta, dopo il 17 aprile, può essere: "il nostro sistema è stato validato dagli esperti di compliance del Parlamento Europeo".
C'è qualcosa che non emerge nelle schede tecniche: Pier ha fatto questa offerta durante una conversazione normale, non durante una presentazione formale. Ha visto il sistema, ha capito cosa faceva, e ha detto essenzialmente: "questo merita attenzione da parte delle persone giuste".
Questo è diverso dal comprare un audit. È qualcuno che ti introduce alla sua rete perché crede che quello che hai costruito sia fatto bene. È una distinzione che conta, soprattutto in un ambiente dove la reputazione si costruisce lentamente e si perde velocemente.
David ha lavorato anni a Bruxelles costruendo questo tipo di relazioni. Pier è il risultato di quel lavoro. E il 17 aprile è il momento in cui quella relazione si trasforma in qualcosa di concreto per il business.
Gli esperti di compliance di DG ITEC guarderanno quattro assi: sicurezza e privacy dei dati, copyright e proprietà intellettuale dei contenuti generati, impatto occupazionale, governance e accountability. Sono esattamente gli assi che il team ha già documentato — non per caso, ma perché sono gli assi che qualsiasi istituzione seria porta in riunione quando si parla di AI.
La domanda più difficile sarà probabilmente sulla catena di responsabilità. Se il sistema genera una candidate presentation con informazioni imprecise, chi risponde? La risposta giusta è: il recruiter che l'ha approvata e inviata al cliente. Il sistema è uno strumento, non un agente autonomo. Questa distinzione, nell'architettura attuale, è strutturale — non c'è modo di bypassare la revisione umana.
L'altro punto caldo sarà Anthropic. Gli esperti chiederanno della catena di trattamento dati con un provider americano. La risposta è nelle API terms di Anthropic (zero retention disponibile, DPA UE disponibile), ma è una conversazione che vale la pena preparare in anticipo con documentazione in mano.
Quello che è successo in questa storia è la versione europea di quello che succede quando una tecnologia smette di essere una curiosità e diventa qualcosa che le istituzioni devono capire. DG ITEC non ha chiamato Generations per fare un audit: ha offerto i suoi esperti perché qualcuno ha costruito qualcosa che meritava attenzione.
Per chi guarda dall'esterno, è una conferma che l'architettura conta. Non hai bisogno del brand più grande o del budget più grosso per accreditarti in questo mercato. Hai bisogno di un sistema che risponda alle domande giuste prima che vengano poste, costruito da persone che capiscono il contesto in cui operi.
Generations ha fatto quello. E adesso il 17 aprile è la verifica.