Il problema: usare ChatGPT in azienda e’ un rischio #
Ogni giorno, milioni di dipendenti usano ChatGPT per scrivere email, riassumere documenti, generare report. Sembra innocuo. Ma secondo un report del 2025, il 77% dei dipendenti incolla dati aziendali in servizi AI come ChatGPT — e l'82% lo fa con account personali, fuori dal controllo dell’azienda.
Questo fenomeno si chiama shadow AI: l’uso non autorizzato di strumenti di intelligenza artificiale sul posto di lavoro. E il danno puo’ essere enorme.
Il caso Samsung: codice sorgente finito in ChatGPT #
Nel 2023, tre ingegneri Samsung hanno incollato in ChatGPT:
- Codice sorgente proprietario di semiconduttori per cercare un bug
- Codice confidenziale per risolvere problemi di apparecchiature
- Un’intera registrazione di una riunione interna per generare i verbali
Risultato: Samsung ha vietato tutti gli strumenti di AI generativa su dispositivi e reti aziendali. Non sono gli unici: JP Morgan, Goldman Sachs, Apple, Deutsche Bank, Bank of America hanno fatto lo stesso.
GDPR e ChatGPT: cosa rischia la tua azienda #
La multa da 15 milioni all’Italia #
A dicembre 2024, il Garante Privacy italiano ha inflitto a OpenAI una multa di 15 milioni di euro — la prima sanzione significativa al mondo per un’azienda di AI generativa. Le violazioni contestate:
- Nessuna base giuridica per il trattamento dei dati personali usati per addestrare ChatGPT
- Mancata notifica della violazione dei dati del marzo 2023
- Informativa insufficiente: solo in inglese e troppo vaga
- Nessuna verifica dell’eta’ per impedire l’accesso ai minori
Cosa succede quando un dipendente incolla dati in ChatGPT #
Dal punto di vista del GDPR, l’azienda resta responsabile — anche se il dipendente ha agito senza autorizzazione. Incollare dati personali (di clienti, dipendenti, pazienti) in ChatGPT senza una base giuridica costituisce una violazione GDPR da parte del titolare del trattamento.
Le conseguenze possibili:
- Obbligo di notifica al Garante entro 72 ore (art. 33 GDPR)
- Sanzioni fino a 20 milioni di euro o il 4% del fatturato globale
- Danno reputazionale incalcolabile
Il problema del trasferimento dati negli USA #
ChatGPT elabora i dati su infrastruttura statunitense. Il Data Privacy Framework UE-USA e’ stato confermato nel 2025, ma l’organizzazione NOYB di Max Schrems ha gia’ annunciato un ricorso alla Corte di Giustizia UE. Se il framework viene invalidato — come accadde con il Privacy Shield nel 2020 — ogni trasferimento di dati personali verso OpenAI diventerebbe potenzialmente illegale.
AI Act: i nuovi obblighi per le PMI italiane #
Il Regolamento UE sull’Intelligenza Artificiale (AI Act, Reg. UE 2024/1689) e’ entrato in vigore il 1 agosto 2024 con un’applicazione graduale:
| Data | Cosa cambia |
|---|---|
| Febbraio 2025 | Divieto pratiche AI inaccettabili + obbligo di AI literacy per tutti |
| Agosto 2025 | Obblighi per modelli AI general-purpose (GPAI) |
| Agosto 2026 | Obblighi completi per sistemi AI ad alto rischio, trasparenza, supervisione umana |
L’obbligo di AI literacy e’ gia’ in vigore #
Dal 2 febbraio 2025, ogni azienda che usa strumenti AI deve garantire che il proprio personale abbia un “livello sufficiente di alfabetizzazione AI”. Questo vale per tutti — dalla PMI di 5 dipendenti alla multinazionale.
Il rischio non e’ lo strumento, ma l’uso #
Lo stesso ChatGPT puo’ essere:
- Rischio minimo: per scrivere bozze di email o fare brainstorming
- Alto rischio: per selezionare candidati, valutare il merito creditizio, o prendere decisioni che impattano le persone
Se usi l’AI per decisioni che riguardano persone, scattano obblighi pesanti: valutazione d’impatto, supervisione umana, registrazione nell’apposita banca dati UE.
Sanzioni AI Act #
| Violazione | Sanzione massima |
|---|---|
| Pratiche vietate | 35 milioni di euro o 7% del fatturato |
| Sistemi ad alto rischio | 15 milioni di euro o 3% del fatturato |
| Informazioni errate alle autorita' | 7,5 milioni di euro o 1% del fatturato |
Per le PMI, la sanzione e’ sempre calcolata sull’importo piu’ basso tra cifra fissa e percentuale del fatturato. Ma anche il piu’ basso puo’ essere significativo.
La soluzione: AI privata #
L’AI privata risolve il problema alla radice: i dati non escono mai dal perimetro aziendale.
Invece di inviare dati a server americani, un sistema di AI privata funziona su infrastruttura controllata — europea, on-premise, o nel datacenter del tuo fornitore certificato. I modelli linguistici (LLM) vengono eseguiti localmente, i documenti restano dove sono, e nessun dato finisce nel training di modelli di terze parti.
Cosa cambia con l’AI privata #
| ChatGPT (cloud) | AI privata | |
|---|---|---|
| Dove vanno i dati | Server USA (OpenAI) | Infrastruttura controllata |
| Training sui tuoi dati | Possibile (tier gratuito) | Mai |
| GDPR compliance | Complessa, rischiosa | Nativa |
| AI Act compliance | Responsabilita’ dell’utente | Integrata nel design |
| Trasferimento extra-UE | Si' | No |
| Controllo accessi | Limitato | Completo |
| Audit trail | Parziale | Completo |
Come funziona PRISMA, lo stack AI privato di HTX #
Noi di HTX abbiamo costruito PRISMA — una piattaforma di AI privata progettata per le aziende italiane che trattano dati sensibili.
Dove opera PRISMA #
PRISMA puo’ operare all’interno del Data Center del BIC Incubatori FVG, l’incubatore certificato della Regione Friuli Venezia Giulia. Infrastruttura dedicata, connettivita’ ridondata, sicurezza fisica e logica. Per i carichi che richiedono potenza superiore, ci appoggiamo a TriesteValley HPC, il cluster di calcolo ad alte prestazioni equipaggiato con GPU NVIDIA.
Cosa fa PRISMA #
- Chat AI aziendale: un assistente AI che risponde solo sulla base dei tuoi documenti interni (RAG — Retrieval Augmented Generation)
- Text-to-SQL (MANTA): fai domande in linguaggio naturale ai tuoi database, ottieni risposte precise senza scrivere codice
- Classificazione AI (KOI): modelli addestrati sui tuoi dati per classificare, categorizzare, decidere — con piena trasparenza e supervisione umana
- Nessun dato esce: tutto resta su infrastruttura europea, sotto il tuo controllo
Perche’ Trieste #
HTX opera nel polo scientifico di Trieste — la citta’ europea con la piu’ alta densita’ di ricercatori per abitante (37 ogni 1.000 lavoratori). Ad aprile 2025 e’ nato qui l’AGORAI Innovation Hub, la partnership tra Generali e Google Cloud per l’AI. Il nostro ecosistema include SISSA, ICTP, Universita’ di Trieste, Fincantieri, illycaffe'.
Cosa fare adesso: 5 passi per la tua azienda #
- Fai un audit degli strumenti AI usati dai dipendenti — compresi quelli non autorizzati
- Classifica gli usi per livello di rischio secondo l’AI Act (minimo, limitato, alto)
- Avvia la formazione AI literacy — e’ gia’ obbligatoria dal febbraio 2025
- Scrivi una policy aziendale sull’uso dell’AI che definisca cosa si puo’ e cosa non si puo’ fare
- Valuta una soluzione di AI privata che mantenga i dati sotto il tuo controllo
Vuoi saperne di piu'? #
Se vuoi capire come l’AI privata puo’ funzionare nella tua azienda — senza rischi GDPR, senza trasferimenti extra-UE, senza shadow AI — scrivici. Ti rispondiamo entro 24 ore.
Questo articolo e’ stato scritto dal team di HTX — Human Technology eXcellence. Progettiamo sistemi di intelligenza artificiale privata per sanita’ e industria, dal nostro datacenter a Trieste.