L’intelligenza artificiale è ormai entrata nella quotidianità delle imprese italiane. Non soltanto nei grandi progetti di trasformazione digitale, ma anche nelle attività più ordinarie: riassumere un contratto, analizzare un documento, organizzare una riunione, elaborare un’offerta commerciale o supportare il lavoro di un team. È proprio questa diffusione capillare a cambiare radicalmente il modo in cui le aziende devono affrontare il tema della privacy.
Fino a poco tempo fa il dibattito si concentrava quasi esclusivamente su ciò che gli utenti scrivevano nei prompt. Oggi, invece, il vero punto di attenzione è molto più ampio. I nuovi strumenti di AI non si limitano a ricevere informazioni: possono leggere documenti, analizzare schermate, accedere a software aziendali e interagire con ambienti digitali che contengono dati personali, informazioni commerciali e contenuti riservati.
La domanda, quindi, non è più soltanto «Cosa sto inserendo nell’intelligenza artificiale?», ma soprattutto «Quali dati può vedere l’intelligenza artificiale mentre lavora?».
L’AI cresce rapidamente nelle imprese italiane
La diffusione dell’intelligenza artificiale nel tessuto produttivo italiano continua ad accelerare.
Secondo i dati ISTAT, il 16,4% delle imprese italiane con almeno dieci dipendenti utilizza oggi tecnologie di AI, una quota che risulta raddoppiata rispetto all’8,2% registrato nel 2024.
L’adozione non riguarda un’unica tipologia di utilizzo. Tra le aziende che impiegano strumenti di intelligenza artificiale, il 70,8% li utilizza per estrarre informazioni da documenti di testo, mentre il 59,1% ricorre già a soluzioni di AI generativa.
Numeri che raccontano un cambiamento ormai strutturale. Sempre più organizzazioni stanno integrando queste tecnologie nei propri flussi operativi, spesso senza una strategia complessiva che tenga conto delle implicazioni legali e organizzative.
I dati che non possiamo più ignorare
Il rischio non è solo ciò che viene scritto
Secondo Alessandro Vercellotti, avvocato e fondatore di Legal for Digital, studio legale italiano specializzato nel diritto del digitale, l’errore più frequente consiste nel considerare l’intelligenza artificiale esclusivamente come uno strumento di produttività.
«Il problema non è usare l’intelligenza artificiale in azienda, ma introdurla nei processi senza aver prima chiarito cosa può trattare, con quali limiti e sotto la responsabilità di chi».
Molte imprese ritengono che il rischio privacy riguardi soltanto i dati copiati all’interno di un prompt. In realtà, gli strumenti più evoluti possono accedere a informazioni che l’utente non inserisce direttamente.
Una schermata di CRM, un documento condiviso, una casella di posta elettronica, un archivio interno o un gestionale possono contenere nomi, recapiti, dati contrattuali, informazioni sanitarie, note commerciali o dati relativi ai dipendenti.
Se uno strumento di AI interagisce con questi ambienti, il trattamento dei dati può estendersi ben oltre la richiesta iniziale dell’utente.
Quando il perimetro del trattamento cambia
L’evoluzione delle piattaforme di intelligenza artificiale sta modificando profondamente il concetto stesso di trattamento dei dati.
Nella prima fase dell’AI generativa l’attenzione era concentrata sui contenuti digitati nei prompt. Oggi molti strumenti sono progettati per leggere screenshot, consultare documenti, analizzare finestre aperte sul desktop o lavorare direttamente all’interno dei software aziendali.
Questo significa che il rischio non riguarda più esclusivamente le informazioni che un dipendente decide consapevolmente di condividere, ma anche tutti quei dati che il sistema può visualizzare durante l’esecuzione di un’attività.
È un cambiamento che amplia notevolmente il perimetro della responsabilità aziendale e rende necessario un approccio molto più strutturato alla governance dell’AI.
Non basta scegliere un software affidabile
Uno degli equivoci più diffusi è pensare che la scelta di un tool noto o considerato sicuro sia sufficiente a garantire la conformità normativa. Secondo Vercellotti, la questione è molto più articolata.
Ogni trattamento di dati personali effettuato attraverso sistemi di AI deve poggiare su una base giuridica valida, essere coerente con le finalità dichiarate e prevedere rapporti contrattuali adeguati con il fornitore della tecnologia.
In questo contesto assume particolare importanza anche il Data Processing Agreement (DPA), che deve riflettere il reale utilizzo dello strumento e definire con precisione ruoli, responsabilità e modalità di trattamento.
Anche il tipo di licenza utilizzata può fare la differenza. La versione consumer e quella business dello stesso software possono prevedere condizioni completamente diverse in termini di trattamento dei dati, utilizzo dei contenuti caricati e garanzie contrattuali offerte all’azienda.

AI nelle telecomunicazioni: perché la resilienza delle reti sarà la vera sfida del futuro
Il vero problema sono gli utilizzi non governati
Secondo l’esperto, molte imprese sottovalutano un fenomeno sempre più diffuso: l’adozione spontanea dell’intelligenza artificiale da parte dei dipendenti.
Account personali, estensioni del browser, abbonamenti acquistati autonomamente dai singoli team o strumenti sperimentati senza un coordinamento centrale possono introdurre nuovi trattamenti di dati personali completamente fuori dal controllo dell’organizzazione.
In questi casi l’azienda rischia di non sapere quali informazioni vengano elaborate, attraverso quali piattaforme e con quali garanzie.
Il risultato è una distanza crescente tra i processi realmente adottati e la documentazione privacy disponibile, con possibili conseguenze sia sul piano normativo sia su quello della sicurezza informatica.
Governare l’AI prima che diventi un rischio
L’obiettivo non è frenare l’innovazione né limitare l’utilizzo dell’intelligenza artificiale. Al contrario, la sfida consiste nel costruire un modello di adozione consapevole che accompagni la crescita tecnologica con adeguate regole di governance.
Secondo Alessandro Vercellotti, il primo passo è comprendere con precisione quali ambienti digitali gli strumenti possono vedere e trattare: documenti, email, CRM, gestionali, cartelle condivise o database.
Successivamente diventa fondamentale verificare che informative, accordi con i fornitori, basi giuridiche e documentazione interna riflettano realmente il funzionamento dei processi.
Infine, ogni organizzazione dovrebbe dotarsi di una policy aziendale dedicata all’AI e investire nella formazione dei collaboratori, affinché tutti sappiano quali strumenti utilizzare, quali dati evitare di condividere e quali attività richiedano una supervisione specifica.
Come conclude Vercellotti, la domanda che le imprese dovrebbero porsi non è semplicemente se utilizzare l’intelligenza artificiale, ma se abbiano davvero il controllo del suo utilizzo. Perché il rischio non appartiene a un futuro ancora da costruire: è già presente nei processi quotidiani di moltissime aziende e la capacità di governarlo rappresenterà uno dei principali fattori competitivi della trasformazione digitale.

Hi-Tech: Interlyo, l’AI italiana che risponde solo con informazioni verificate
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Redazione Innovami.news
Source link



