Dati sensibili che finiscono nei prompt dei chatbot aziendali: è questo il rischio più concreto legato all’uso ormai quotidiano dell’intelligenza artificiale generativa sul posto di lavoro. Bastano pochi secondi per copiare un testo dentro un assistente AI e velocizzare un’attività noiosa, ma in quei pochi secondi possono uscire dal perimetro aziendale nomi di clienti, conversazioni riservate, clausole contrattuali. Tutto questo, spesso, senza che l’impresa sappia davvero cosa è stato condiviso e dove è finito.
L’AI usata per fare prima, ma a quale prezzo
Il fenomeno non riguarda casi isolati. Stando al Report 2025 di LayerX, il 77% dei dipendenti incolla informazioni sensibili dentro ChatGPT o altri chatbot. E la frequenza colpisce: in media ogni lavoratore inserisce testi nelle chat AI 14 volte al giorno, e almeno tre di questi contengono dati che dovrebbero restare protetti. Numeri che raccontano un’abitudine ormai entrata nel ritmo lavorativo, quasi sempre prima che l’azienda abbia messo nero su bianco regole e strumenti di controllo.
Il punto è che dietro questi comportamenti non c’è malizia. “Il dipendente non si sta comportando male, sta solo cercando di raggiungere l’obiettivo più in fretta”, spiega Francesco Alborino, CEO e co-fondatore della startup AIDAPT. Una scorciatoia operativa, in fondo. Solo che mentre il lavoratore guadagna tempo, l’impresa perde di vista informazioni che dovrebbe custodire, tracciare e, all’occorrenza, mostrare a un’autorità.
E qui sta il nocciolo della questione: la responsabilità resta sempre dell’azienda. Se un dato di un cliente entra in un sistema AI senza le giuste garanzie, a risponderne è chi lo gestisce, non il singolo dipendente. Non a caso, l’intelligenza artificiale generativa viene indicata oggi come il primo canale di fuga di dati dalle imprese. È entrata nei flussi di lavoro dal basso, su iniziativa dei singoli, anticipando di gran lunga la nascita di policy interne.
L’AI Act e le soluzioni per restare in regola
Con l’arrivo dell’AI Act, lo scenario normativo si è fatto più rigido. L’Unione Europea ha imposto obblighi di trasparenza e supervisione per i sistemi AI usati nei processi operativi, con sanzioni che possono arrivare fino a 35 milioni di euro. Cifre che fanno riflettere chiunque gestisca dati aziendali. Da qui l’interesse crescente verso soluzioni che lascino alle aziende la piena proprietà delle informazioni, evitando che queste finiscano per addestrare i modelli e dando la possibilità di cancellare i contenuti riservati.
Uno degli aspetti chiave riguarda proprio la gestione del dato lungo tutto il suo ciclo di vita. L’idea è mantenere le informazioni su server collocati dentro l’Unione Europea, senza usarle per allenare i modelli sottostanti. In questo modo si riduce il rischio che contenuti interni possano poi riaffiorare, magari, nelle risposte di un chatbot pubblico accessibile a chiunque.
C’è poi la questione della tracciabilità. Ogni risposta prodotta da un sistema AI dovrebbe essere ricostruibile passo dopo passo, attraverso operazioni registrate una a una. Per chi si occupa di protezione dati, significa poter dimostrare da dove arriva ciascuna informazione e come è stata generata una determinata risposta. AIDAPT, su questo fronte, parla di logiche di guardrail capaci di eliminare al volo i dati sensibili appena inseriti, lasciando agli utenti il controllo su quanto a lungo conservarli.
La piattaforma interviene anche sulla parte più ostica, quella documentale. Il sistema può compilare in automatico fino al 70% dei documenti necessari, incluso il template DPIA pubblicato dall’EDPB, il Comitato europeo per la protezione dei dati. Si tratta di un documento di 31 pagine, una valutazione tecnico-giuridica richiesta a chi adotta sistemi AI ad alto rischio. Un lavoro che oggi può portare via settimane di consulenza legale e che, stando a quanto indicato, può scendere a pochi giorni.