Il problema: usare ChatGPT in azienda è un rischio #
Ogni giorno, milioni di dipendenti usano ChatGPT per scrivere email, riassumere documenti, generare report. Sembra innocuo. Ma secondo un report del 2025, il 77% dei dipendenti incolla dati aziendali in servizi AI come ChatGPT — e l'82% lo fa con account personali, fuori dal controllo dell’azienda.
Questo fenomeno si chiama shadow AI: l’uso non autorizzato di strumenti di intelligenza artificiale sul posto di lavoro. E il danno può essere enorme.
Il caso Samsung: codice sorgente finito in ChatGPT #
Nel 2023, tre ingegneri Samsung hanno incollato in ChatGPT:
- Codice sorgente proprietario di semiconduttori per cercare un bug
- Codice confidenziale per risolvere problemi di apparecchiature
- Un’intera registrazione di una riunione interna per generare i verbali
Risultato: Samsung ha vietato tutti gli strumenti di AI generativa su dispositivi e reti aziendali. Non sono gli unici: JP Morgan, Goldman Sachs, Apple, Deutsche Bank, Bank of America hanno fatto lo stesso.
GDPR e ChatGPT: cosa rischia la tua azienda #
La multa da 15 milioni all’Italia #
A dicembre 2024, il Garante Privacy italiano ha inflitto a OpenAI una multa di 15 milioni di euro — la prima sanzione significativa al mondo per un’azienda di AI generativa. Le violazioni contestate:
- Nessuna base giuridica per il trattamento dei dati personali usati per addestrare ChatGPT
- Mancata notifica della violazione dei dati del marzo 2023
- Informativa insufficiente: solo in inglese e troppo vaga
- Nessuna verifica dell’età per impedire l’accesso ai minori
Cosa succede quando un dipendente incolla dati in ChatGPT #
Dal punto di vista del GDPR, l’azienda resta responsabile — anche se il dipendente ha agito senza autorizzazione. Incollare dati personali (di clienti, dipendenti, pazienti) in ChatGPT senza una base giuridica costituisce una violazione GDPR da parte del titolare del trattamento.
Le conseguenze possibili:
- Obbligo di notifica al Garante entro 72 ore (art. 33 GDPR)
- Sanzioni fino a 20 milioni di euro o il 4% del fatturato globale
- Danno reputazionale incalcolabile
Il problema del trasferimento dati negli USA #
ChatGPT elabora i dati su infrastruttura statunitense. Il Data Privacy Framework UE-USA è stato confermato nel 2025, ma l’organizzazione NOYB di Max Schrems ha già annunciato un ricorso alla Corte di Giustizia UE. Se il framework viene invalidato — come accadde con il Privacy Shield nel 2020 — ogni trasferimento di dati personali verso OpenAI diventerebbe potenzialmente illegale.
AI Act: i nuovi obblighi per le PMI italiane #
Il Regolamento UE sull’Intelligenza Artificiale (AI Act, Reg. UE 2024/1689) è entrato in vigore il 1 agosto 2024 con un’applicazione graduale:
| Data | Cosa cambia |
|---|---|
| Febbraio 2025 | Divieto pratiche AI inaccettabili + obbligo di AI literacy per tutti |
| Agosto 2025 | Obblighi per modelli AI general-purpose (GPAI) |
| Agosto 2026 | Obblighi completi per sistemi AI ad alto rischio, trasparenza, supervisione umana |
L’obbligo di AI literacy è già in vigore #
Dal 2 febbraio 2025, ogni azienda che usa strumenti AI deve garantire che il proprio personale abbia un “livello sufficiente di alfabetizzazione AI”. Questo vale per tutti — dalla PMI di 5 dipendenti alla multinazionale.
Il rischio non è lo strumento, ma l’uso #
Lo stesso ChatGPT può essere:
- Rischio minimo: per scrivere bozze di email o fare brainstorming
- Alto rischio: per selezionare candidati, valutare il merito creditizio, o prendere decisioni che impattano le persone
Se usi l’AI per decisioni che riguardano persone, scattano obblighi pesanti: valutazione d’impatto, supervisione umana, registrazione nell’apposita banca dati UE.
Sanzioni AI Act #
| Violazione | Sanzione massima |
|---|---|
| Pratiche vietate | 35 milioni di euro o 7% del fatturato |
| Sistemi ad alto rischio | 15 milioni di euro o 3% del fatturato |
| Informazioni errate alle autorità | 7,5 milioni di euro o 1% del fatturato |
Per le PMI, la sanzione è sempre calcolata sull’importo più basso tra cifra fissa e percentuale del fatturato. Ma anche il più basso può essere significativo.
La soluzione: AI privata #
L’AI privata risolve il problema alla radice: i dati non escono mai dal perimetro aziendale.
Invece di inviare dati a server americani, un sistema di AI privata funziona su infrastruttura controllata — europea, on-premise, o nel datacenter del tuo fornitore certificato. I modelli linguistici (LLM) vengono eseguiti localmente, i documenti restano dove sono, e nessun dato finisce nel training di modelli di terze parti.
Cosa cambia con l’AI privata #
| ChatGPT (cloud) | AI privata | |
|---|---|---|
| Dove vanno i dati | Server USA (OpenAI) | Infrastruttura controllata |
| Training sui tuoi dati | Possibile (tier gratuito) | Mai |
| GDPR compliance | Complessa, rischiosa | Nativa |
| AI Act compliance | Responsabilità dell’utente | Integrata nel design |
| Trasferimento extra-UE | Sì | No |
| Controllo accessi | Limitato | Completo |
| Audit trail | Parziale | Completo |
Come funziona PRISMA, lo stack AI privato di HTX #
Noi di HTX abbiamo costruito PRISMA — una piattaforma di AI privata progettata per le aziende italiane che trattano dati sensibili.
Dove opera PRISMA #
PRISMA può operare all’interno del Data Center del BIC Incubatori FVG, l’incubatore certificato della Regione Friuli Venezia Giulia. Infrastruttura dedicata, connettività ridondata, sicurezza fisica e logica. Per i carichi che richiedono potenza superiore, ci appoggiamo a TriesteValley HPC, il cluster di calcolo ad alte prestazioni equipaggiato con GPU NVIDIA.
Cosa fa PRISMA #
- Chat AI aziendale: un assistente AI che risponde solo sulla base dei tuoi documenti interni (RAG — Retrieval Augmented Generation)
- Text-to-SQL (MANTA): fai domande in linguaggio naturale ai tuoi database, ottieni risposte precise senza scrivere codice
- Classificazione AI (KOI): modelli addestrati sui tuoi dati per classificare, categorizzare, decidere — con piena trasparenza e supervisione umana
- Nessun dato esce: tutto resta su infrastruttura europea, sotto il tuo controllo
Perché Trieste #
HTX opera nel polo scientifico di Trieste — la città europea con la più alta densità di ricercatori per abitante (37 ogni 1.000 lavoratori). Ad aprile 2025 è nato qui l’AGORAI Innovation Hub, la partnership tra Generali e Google Cloud per l’AI. Il nostro ecosistema include SISSA, ICTP, Università di Trieste, Fincantieri, illycaffè.
Cosa fare adesso: 5 passi per la tua azienda #
- Fai un audit degli strumenti AI usati dai dipendenti — compresi quelli non autorizzati
- Classifica gli usi per livello di rischio secondo l’AI Act (minimo, limitato, alto)
- Avvia la formazione AI literacy — è già obbligatoria dal febbraio 2025
- Scrivi una policy aziendale sull’uso dell’AI che definisca cosa si può e cosa non si può fare
- Valuta una soluzione di AI privata che mantenga i dati sotto il tuo controllo
Vuoi saperne di più? #
Se vuoi capire come l’AI privata può funzionare nella tua azienda — senza rischi GDPR, senza trasferimenti extra-UE, senza shadow AI — scrivici. Ti rispondiamo entro 24 ore.
Questo articolo è stato scritto dal team di HTX — Human Technology eXcellence. Progettiamo sistemi di intelligenza artificiale privata per sanità e industria, dal nostro datacenter a Trieste.
Domande frequenti #
Perché la mia azienda non può continuare a usare ChatGPT?
Il 77% dei dipendenti incolla dati aziendali in ChatGPT. L'Italia ha già multato OpenAI per 15 milioni. L'AI Act impone nuovi obblighi. Con l'AI privata i dati restano nella tua infrastruttura.
Cosa prevede l'AI Act per le PMI?
L'AI Act, applicabile da agosto 2026, classifica i sistemi AI per rischio. Le PMI con AI che impatta le persone devono rispettare requisiti stringenti. L'AI privata semplifica la conformità.
L'AI privata costa troppo per una PMI?
No. HTX usa modelli open-source ottimizzati. Il caso T&B dimostra ROI 180%. Si parte con un pilota per misurare il valore.
Articoli Correlati #
- AI Act, c’è il codice di condotta per un approccio responsabile e facilitato per le Pmi - Cyber Security 360 - Best Practices, AI, Go
- GitHub - yichuan-w/LEANN: RAG on Everything with LEANN. Enjoy 97% storage savings while running a fast, accurate, and 100% private RAG application on your personal device. - Python, Open Source
- Trends – Artificial Intelligence | BOND - AI