Proteggere i dati sensibili quando in azienda si usa l’AI significa decidere, per ogni tipo di informazione, cosa puo’ entrare in un prompt e cosa no. Serve una classificazione a livelli, strumenti con garanzie contrattuali verificate, regole semplici di minimizzazione e una procedura di incident response. Tutto il resto - filtri tecnici, DLP, logging - viene dopo.
Perche’ il 2026 e’ l’anno in cui questo problema esplode
Il tema non e’ nuovo, ma la scala e’ cambiata. Il Cost of a Data Breach Report 2025 di IBM segnala che il 20% delle violazioni analizzate ha coinvolto shadow AI - strumenti usati dai dipendenti senza autorizzazione - con un costo medio di 4,63 milioni di dollari, circa 670.000 dollari in piu’ rispetto a un breach ordinario. Solo il 17% delle organizzazioni dispone di controlli tecnici in grado di impedire il caricamento di dati riservati su tool AI pubblici; il restante 83% si affida a email di warning, formazione generica o niente. Fonte: IBM Cost of a Data Breach Report 2025.
Nel frattempo il Microsoft Work Trend Index rileva che il 78% dei knowledge worker usa strumenti AI personali portati in azienda da soli (BYOAI), percentuale che sale all’80% nelle PMI. In Italia, il Garante per la protezione dei dati personali ha bloccato con provvedimento d’urgenza del 30 gennaio 2025 il trattamento dei dati effettuato da DeepSeek, contestando policy disponibili solo in inglese, server in Cina senza garanzie ex art. 44 GDPR e assenza di rappresentante UE. Due segnali che puntano nella stessa direzione: l’uso reale dell’AI nelle aziende corre molto piu’ veloce delle regole che lo governano.
Per una PMI italiana la domanda operativa non e’ piu’ “dobbiamo occuparci di privacy AI?”. E’ “quali dati stiamo proteggendo, con quali regole e con quale evidenza?”.
Cosa sono i dati sensibili secondo l’art. 9 GDPR
Quando si parla di “dati sensibili” in azienda si mescolano spesso due concetti distinti. Il GDPR, all’articolo 9, usa l’espressione “categorie particolari di dati personali”: origine razziale o etnica, opinioni politiche, convinzioni religiose, appartenenza sindacale, dati genetici, biometrici, sanitari, dati relativi alla vita sessuale o all’orientamento. Il loro trattamento e’ vietato salvo specifiche condizioni (consenso esplicito, obbligo di legge, finalita’ mediche, tutela di interessi vitali).
Accanto a questi, nella pratica aziendale, ci sono dati che non rientrano nell’art. 9 ma che vanno protetti comunque: segreti commerciali, informazioni finanziarie, piani industriali, dati contrattuali di clienti, codici sorgente proprietari. Non sono “sensibili” in senso tecnico, ma la loro esposizione puo’ produrre danni economici e reputazionali piu’ gravi di un dato personale comune.
Nel contesto AI, la distinzione conta perche’ le due categorie richiedono difese diverse: i dati art. 9 non devono quasi mai entrare in un prompt senza una base giuridica esplicita e un DPA blindato; i dati riservati commerciali possono essere trattati con anonimizzazione, minimizzazione e strumenti aziendali controllati. Per un inquadramento completo del quadro normativo applicabile ai casi d’uso AI, parti dalla guida sui 5 rischi principali del GDPR applicato all’AI.
I rischi reali dell’AI per i dati aziendali
Il rischio principale non e’ il cyberattacco spettacolare. E’ l’esposizione silenziosa, accumulata un prompt alla volta, che emerge solo quando qualcuno chiede conto di dove siano finiti certi dati.
Training sui prompt. Gli account gratuiti di molti strumenti AI prevedono, salvo opt-out, l’uso dei contenuti degli utenti per addestrare e migliorare i modelli. Un elenco clienti incollato in un tool consumer puo’ influenzare indirettamente le risposte future del modello.
Trasferimenti extra-UE non coperti. Se il provider ha server negli Stati Uniti o, come nel caso DeepSeek, in Cina, ogni prompt con dati personali configura un trasferimento transfrontaliero che richiede clausole contrattuali standard o meccanismi equivalenti (art. 44-49 GDPR).
Connettori e agenti mal configurati. Un’integrazione AI che sincronizza cartelle aziendali, email o CRM puo’ indicizzare documenti riservati in un ambiente esterno senza che nessuno se ne accorga. E’ un’esposizione permanente, non un errore puntuale.
Prompt injection e output leakage. Un utente ostile puo’ inserire istruzioni in un documento che l’AI poi elabora, costringendola a rivelare dati di altri utenti o di altre sessioni all’interno dello stesso tenant mal isolato.
Shadow AI individuale. Il dipendente che usa ChatGPT personale per “fare prima” espone dati senza lasciare traccia nei log aziendali. Il fenomeno, come documentato nel pezzo sulla shadow AI e i rischi in azienda, cresce piu’ velocemente di qualsiasi tentativo di vietarlo.
Cosa NON mettere mai in un prompt
Esiste una lista corta e memorizzabile che il team dovrebbe conoscere a memoria. Se un dato rientra in uno di questi tipi, non entra in uno strumento AI senza una procedura dedicata.
- Codici fiscali, partite IVA personali, numeri di documento d’identita’
- Dati sanitari, diagnosi, referti, informazioni su disabilita’
- Credenziali, token API, chiavi private, password, segreti di ambiente
- Elenchi clienti con dati identificativi (nome, email, telefono, importi)
- Contratti integrali con controparti, NDA, lettere legali
- Codice sorgente proprietario coperto da clausole di riservatezza
- Buste paga, dati retributivi nominali, valutazioni di performance
- Informazioni su minori, dati di candidati in fase di selezione
La regola operativa: se hai il dubbio, trattalo come sensibile. Costa molto meno prevenire che rimediare.
Anonimizzazione, pseudonimizzazione e masking: cosa funziona davvero
La difesa piu’ efficace, prima di ogni tecnologia, e’ trasformare il dato in qualcosa che non identifica piu’ nessuno. Tre tecniche, con applicazioni diverse.
Anonimizzazione. Rende il dato irreversibilmente non attribuibile a una persona. In pratica, rimuovi completamente i campi identificativi (nome, email, CF, indirizzo) e anche quelli che combinati potrebbero re-identificare (data di nascita + CAP + genere). Il dato anonimo non e’ piu’ un dato personale e non rientra piu’ nel GDPR.
Pseudonimizzazione. Sostituisce gli identificativi con codici, mantenendo una tabella di mappatura separata. E’ utile per analisi ripetute in cui serve poter ricondurre il risultato alla persona. Il dato pseudonimizzato resta un dato personale ai sensi del GDPR, ma con un livello di rischio piu’ basso.
Masking o placeholder. La tecnica piu’ pratica per l’uso quotidiano dei prompt: sostituisci manualmente nomi, importi e riferimenti con segnaposti (“[CLIENTE]”, “[IMPORTO]”, “[DATA]”). Non e’ una protezione formale ma riduce drasticamente l’esposizione nei casi d’uso ad alta frequenza (email, sintesi verbali, bozze contratti).
Un esempio concreto: una PMI metalmeccanica da 35 dipendenti in provincia di Brescia usa un template di prompt per generare solleciti di pagamento. Il template contiene [CLIENTE], [IMPORTO], [SCADENZA] come placeholder. Il commerciale compila il template in un file locale, poi incolla nel prompt solo il testo con i placeholder gia’ sostituiti. Zero dati personali nel tool AI, stesso risultato operativo.
Tabella: dato, rischio, trattamento consigliato
| Tipo di dato | Rischio AI principale | Trattamento consigliato |
|---|---|---|
| Contenuti pubblici (sito, brochure) | Nessuno | Uso libero con tool approvati |
| Bozze interne senza persone identificabili | Basso | Uso consentito, minimizzazione |
| Listini, strategie, piani industriali | Medio-alto | Solo ambienti aziendali con DPA |
| Elenchi clienti nominativi | Alto | Anonimizzazione obbligatoria |
| Dati art. 9 GDPR (salute, opinioni, biometrici) | Critico | Divieto salvo base giuridica e DPA |
| Credenziali e segreti tecnici | Critico | Divieto assoluto, anche in ambienti enterprise |
| Codice sorgente proprietario | Alto | Solo strumenti con garanzia no-training |
Questa tabella non sostituisce una policy: e’ il riassunto operativo da tenere accanto al monitor. La versione completa, con il mapping ai ruoli aziendali, trovi modello e istruzioni nel template di policy AI aziendale per PMI.
Piani privacy-safe: cosa distingue un account enterprise
Non tutti i piani a pagamento offrono le stesse garanzie. Prima di adottare un tool AI in azienda, verifica quattro elementi contrattuali.
No training sui dati del cliente. Il provider deve dichiarare esplicitamente - nei termini contrattuali, non in un blog post - che i prompt e gli output non verranno usati per addestrare i modelli. Deve valere per default, non su opt-out.
Data residency configurabile. Puoi scegliere la regione in cui risiedono i dati? Per una PMI italiana, la scelta UE e’ quasi sempre obbligata per evitare discussioni su trasferimenti transfrontalieri.
Retention controllata. Per quanto tempo il provider conserva prompt e output? Puoi configurare il periodo? Esiste la modalita’ “zero data retention”? Sono le tre domande da fare al commerciale prima di firmare.
Isolamento del tenant. I tuoi dati possono essere visibili ad altri clienti dello stesso provider? La risposta deve essere “no”, con evidenza tecnica (tenant isolation) e non solo dichiarativa.
Se il provider non sa rispondere in 24 ore a queste quattro domande con documenti scritti, non e’ pronto per la tua azienda. Prima di andare oltre, verifica anche se il caso d’uso richiede una valutazione d’impatto: la DPIA per i sistemi AI nelle PMI spiega quando e’ obbligatoria e come si struttura.
DPA con il vendor AI: cosa deve contenere
Il Data Processing Agreement e’ il contratto che regola il trattamento dei dati personali tra te (titolare) e il provider AI (responsabile). Non e’ un formalismo: e’ l’unico documento che puoi esibire al Garante in caso di verifica.
Un DPA AI solido contiene almeno questi elementi: oggetto e durata del trattamento, tipologia di dati e categorie di interessati, istruzioni documentate del titolare, obbligo di riservatezza del personale del responsabile, misure tecniche e organizzative (crittografia, accessi, pseudonimizzazione), regole sui sub-responsabili (i provider cloud che il vendor usa a sua volta), assistenza al titolare per rispondere ai diritti degli interessati, obbligo di notifica in caso di data breach entro un termine definito, cancellazione o restituzione dei dati al termine del contratto, clausole per i trasferimenti extra-UE (SCC aggiornate al 2021).
Se il vendor ti propone un DPA standard non negoziabile, leggilo per intero prima di firmarlo. Molti contratti standard contengono clausole che consentono usi dei dati “per migliorare il servizio” - formula vaga che puo’ giustificare di tutto. Se una clausola e’ ambigua, chiedi di riscriverla in modo esplicito.
Incident response: cosa fare se i dati sono gia’ usciti
Puo’ succedere. Se la tua azienda usa AI da qualche mese senza policy, e’ probabile che sia gia’ successo. Un dipendente ha caricato un file riservato, un altro ha incollato un elenco clienti in un tool consumer. La sequenza corretta e’ questa.
Contenere. Identifica chi ha inserito cosa, quando, in quale strumento. Revoca l’accesso al tool coinvolto se possibile. Se si tratta di un account aziendale, usa le funzionalita’ di cancellazione della cronologia e richiedi al provider conferma scritta dell’eliminazione.
Valutare l’esposizione. I dati inseriti erano personali ex GDPR? Categorie particolari ex art. 9? Il tool li usa per training? Esiste un DPA? Se la risposta a quest’ultima e’ “no” e i dati erano personali, sei gia’ in una non conformita’ che va documentata.
Documentare. Scrivi un verbale dell’incidente con data, persone coinvolte, dati esposti, strumenti, azione correttiva. In caso di ispezione, una risposta documentata e tempestiva fa la differenza tra un richiamo e una sanzione.
Valutare la notifica. Se i dati includono dati personali e l’analisi del rischio indica probabilita’ elevata di impatto sui diritti degli interessati, il GDPR (art. 33) richiede la notifica al Garante entro 72 ore. In caso di dubbio, consulta il DPO o un consulente privacy.
Correggere il processo. L’incidente e’ un segnale. Chiediti perche’ e’ successo: mancanza di regole, formazione insufficiente, strumenti non adeguati. Intervieni sulla causa, non sul sintomo.
Checklist: audit privacy AI in PMI
Un audit sintetico da eseguire ogni trimestre. Se rispondi “no” a una sola di queste domande, hai un’azione correttiva da pianificare.
- Esiste un inventario scritto degli strumenti AI in uso in azienda, con owner operativo?
- Ogni strumento ha un piano contrattuale compatibile con l’uso aziendale (no free, no personale)?
- Per ogni strumento e’ stato firmato un DPA conforme all’art. 28 GDPR?
- La data residency e’ configurata su UE o sono presenti SCC valide?
- Il team e’ stato formato su classificazione dei dati, minimizzazione e masking?
- Esiste una policy scritta che definisce cosa puo’ entrare nei prompt e cosa no?
- I connettori e le integrazioni attive sono stati mappati e autorizzati?
- Esiste una procedura di incident response con i tempi di notifica al Garante?
- Gli account gratuiti e personali sono esplicitamente vietati per uso aziendale?
- Il registro dei trattamenti (art. 30 GDPR) include i trattamenti AI?
- L’obbligo di AI literacy previsto dall’art. 4 AI Act e’ documentato?
- Esiste un monitoraggio mensile degli usi reali, con revisione degli output?
Se non sai da dove cominciare, parti dall’inventario: senza sapere quali strumenti AI circolano davvero in azienda, nessuna delle altre azioni ha senso.
Un esempio di PMI che ha messo a terra la governance
Uno studio commercialista con 18 professionisti a Verona usa quattro strumenti AI: Copilot integrato in Microsoft 365, un tool di trascrizione per le riunioni con i clienti, un assistente per la redazione di bozze di bilanci e ChatGPT Team per attivita’ generiche. La governance e’ sintetizzata in due pagine.
Prima pagina: inventario con owner, piano contrattuale, tipo di dati ammessi. Il tool di trascrizione e’ limitato al titolare dello studio e alle sue assistenti dirette, con consenso esplicito raccolto dai clienti prima di ogni call. Il tool di redazione bilanci lavora solo su file gia’ anonimizzati (codici cliente al posto delle ragioni sociali). Copilot e’ consentito su tutti i documenti aziendali interni grazie al DPA Microsoft. ChatGPT Team e’ consentito solo per attivita’ generiche (ricerca, bozze, riassunti di contenuti pubblici).
Seconda pagina: checklist di cinque righe che ogni professionista legge prima di iniziare il lavoro. “Questo dato e’ pubblico, interno o sensibile? Il tool che sto per usare e’ approvato per questa classe? Ho applicato il masking ai riferimenti identificativi? Sto registrando il caso d’uso nel registro trattamenti? Se c’e’ un dubbio, chiedo al titolare prima di procedere.”
In sei mesi, zero incidenti, zero conflitti con i clienti, tempo di adozione dell’AI piu’ che raddoppiato. La governance minima ha liberato l’uso, non l’ha frenato.
Domande frequenti
Un account ChatGPT a pagamento mi protegge automaticamente?
No. I piani ChatGPT Plus sono individuali e non offrono le stesse garanzie dei piani Team ed Enterprise. Solo questi ultimi dichiarano esplicitamente che i dati non sono usati per training e offrono controlli di amministrazione, DPA e opzioni di retention. Per uso aziendale, il piano personale Plus e’ inadeguato.
Posso usare ChatGPT per analizzare un elenco clienti?
Solo dopo anonimizzazione. Sostituisci i nomi con codici, rimuovi email e numeri di telefono, elimina importi specifici se riconducibili a singoli clienti. Se hai bisogno di analisi ripetute sugli stessi clienti, usa strumenti integrati nel tuo ambiente (es. Copilot su file Excel in SharePoint) con un DPA gia’ firmato con Microsoft.
Devo notificare al Garante ogni volta che un dipendente incolla un dato in ChatGPT?
No. La notifica ex art. 33 GDPR e’ richiesta solo in caso di data breach con rischio probabile per i diritti degli interessati. L’inserimento sporadico di un dato personale in un tool AI non qualifica automaticamente come breach, ma va valutato caso per caso. Documenta sempre l’episodio nel registro interno.
Quanto costa una violazione del GDPR legata all’uso dell’AI?
Le sanzioni possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuo mondiale (il maggiore dei due). A questo si aggiungono costi indiretti: secondo IBM, il costo medio di un data breach con shadow AI coinvolta ha raggiunto 4,63 milioni di dollari nel 2025. Per una PMI italiana, anche un incidente contenuto puo’ significare da 50.000 a 300.000 euro tra sanzioni, consulenze legali e danno reputazionale.
Come verifico che un provider AI sia conforme al GDPR?
Chiedi quattro documenti: il DPA ex art. 28 GDPR, le clausole contrattuali standard per eventuali trasferimenti extra-UE, la documentazione sulle misure tecniche e organizzative (crittografia, accessi, logging) e l’elenco dei sub-responsabili. Se il provider non li fornisce entro qualche giorno lavorativo, non e’ pronto per un uso aziendale conforme.
L’AI Act cambia gli obblighi privacy rispetto al GDPR?
L’AI Act si aggiunge al GDPR, non lo sostituisce. Introduce obblighi specifici sull’uso dei sistemi AI (AI literacy del personale dal 2 febbraio 2025, governance documentale completa dal 2 agosto 2026), ma il trattamento dei dati personali resta regolato dal GDPR. Per capire quali obblighi AI Act toccano la tua azienda, leggi la sintesi su AI Act e obblighi pratici per le PMI.
La protezione dei dati come vantaggio competitivo
Proteggere i dati sensibili nell’uso dell’AI non e’ un freno all’innovazione. E’ la condizione per cui l’innovazione dura nel tempo. I clienti, i fornitori e i partner si fidano di te perche’ sanno che le loro informazioni sono al sicuro. Perdere quella fiducia costa molto di piu’ di qualsiasi investimento in governance.
La buona notizia: le misure richieste sono proporzionate alla dimensione dell’impresa. Classificazione a quattro livelli, inventario degli strumenti, DPA con i vendor, formazione del team, checklist trimestrale di audit. In una settimana puoi passare da un’esposizione inconsapevole a una protezione documentabile.
Per approfondire con un percorso completo - dalla classificazione alla costruzione di una governance AI sostenibile per la PMI - il libro Intelligenza Artigianale raccoglie template, checklist e casi reali di aziende italiane. Per il quadro istituzionale aggiornato, i riferimenti principali sono il sito del Garante per la protezione dei dati personali e le linee guida dello European Data Protection Board.
