L’intelligenza artificiale è entrata in modo rapido nei processi di lavoro di molte aziende italiane. In numerosi casi l’adozione non è passata da una strategia strutturata, ma da iniziative spontanee dei dipendenti, che usano chatbot e strumenti generativi per riassumere email, tradurre documenti o accelerare attività quotidiane. Il risultato, però, apre un fronte delicato sul piano della sicurezza e della compliance.
Secondo il Report 2025 di LayerX, il 77% dei lavoratori incolla dati sensibili aziendali dentro ChatGPT o altri chatbot di intelligenza artificiale. Si tratta di una pratica ormai diffusa, che coinvolge contenuti come nomi di clienti, clausole contrattuali, scambi interni e altre informazioni riservate. Sempre secondo il report, ogni dipendente inserisce testi nelle chat AI in media 14 volte al giorno, e almeno tre di questi input contengono dati sensibili.
Il primo canale di fuga dei dati
La conseguenza, per le imprese, è rilevante. In pochi mesi l’intelligenza artificiale generativa si è trasformata in uno dei principali canali di fuga dei dati aziendali. Il punto centrale è che la responsabilità giuridica resta in capo all’azienda: se un’informazione relativa a un cliente finisce in un prompt privo di adeguate garanzie, è l’impresa a doverne rispondere.
Il quadro si intreccia con l’evoluzione normativa europea. L’AI Act ha introdotto requisiti di trasparenza e supervisione per i sistemi di intelligenza artificiale impiegati nei processi operativi, con sanzioni che nei casi più gravi possono arrivare fino a 35 milioni di euro. Per le aziende il tema non riguarda solo la tecnologia, ma anche il controllo dei flussi informativi, la localizzazione dei dati e la possibilità di ricostruire il funzionamento dei sistemi adottati.
Perché le imprese cercano più controllo
In questo scenario cresce l’attenzione verso soluzioni che permettono alle imprese di mantenere la proprietà dei propri dati e di ridurre il rischio che le informazioni inserite vengano usate per addestrare modelli esterni. Il tema riguarda in particolare le realtà che trattano documentazione sensibile, know how interno, dati commerciali o elementi strategici del proprio business.
Su questo fronte si colloca AIDAPT, startup italiana che sviluppa agenti AI personalizzati per le aziende e li integra nei processi interni con un’impostazione orientata alla protezione del dato. L’obiettivo dichiarato è offrire alle imprese strumenti di automazione e supporto operativo senza cedere il controllo delle informazioni.
Il nodo dei dati sensibili nei prompt
“Il dipendente non si sta comportando male, sta solo cercando di raggiungere l’obiettivo più in fretta. Il problema è che spesso, quando incolla in un chatbot un testo da riassumere, sta esportando dati aziendali su server di cui non sa nemmeno la posizione. L’azienda, intanto, non ha alcuna traccia di cosa sia uscito e in molti casi se ne accorge solo quando è troppo tardi”, spiega Francesco Alborino, CEO e co-fondatore di AIDAPT.
Secondo la società, un modello più sicuro deve poggiare su tre elementi. Il primo è la sovranità europea dei dati, con l’intero ciclo di vita delle informazioni ospitato su server nell’Unione Europea e con la garanzia che i dati aziendali non vengano impiegati per addestrare i modelli. Il secondo è la tracciabilità, cioè la possibilità di ricostruire i passaggi che portano a ogni risposta generata dal sistema. Il terzo riguarda la conservazione dei dati, con guardrail che permettono l’eliminazione immediata delle informazioni sensibili e una gestione diretta dei tempi di retention da parte dell’azienda.
Compliance e burocrazia
Uno degli ostacoli più pesanti all’adozione dell’intelligenza artificiale nelle imprese riguarda anche la parte documentale. AIDAPT sostiene di avere integrato nella propria piattaforma una funzione che consente di compilare automaticamente fino al 70% dei documenti richiesti in ambito compliance, compreso il template DPIA pubblicato dall’European Data Protection Board, un documento tecnico-giuridico di 31 pagine che può risultare necessario nei casi di adozione di sistemi AI ad alto rischio.
L’obiettivo è ridurre tempi e complessità di attività che oggi richiedono settimane di lavoro tra uffici legali, responsabili privacy e team tecnici. “Quando abbiamo sviluppato la piattaforma per automatizzare i processi aziendali, non pensavamo che la documentazione fosse ciò che spesso ne frenava l’adozione. Tuttavia, molte SPA con cui abbiamo iniziato a lavorare ci hanno confermato che una solida preparazione sulla parte di compliance era essenziale. Da quel momento ogni nuovo agente che attiviamo nasce con la sua scheda tecnica e la sua valutazione d’impatto già impostate. È quello che permette al manager di portare l’AI dentro l’azienda senza chiedere ogni volta un parere a tre studi legali diversi”, conclude Alborino.
Aiutaci a crescere: lasciaci un like :)