Negli ultimi anni l’intelligenza artificiale è entrata prepotentemente nei flussi di lavoro delle imprese italiane. Questa adozione è spesso avvenuta in modo spontaneo da parte dei lavoratori, per velocizzare alcuni processi. Secondo il Report 2025 di LayerX, il 77% dei dipendenti incolla dati sensibili aziendali dentro ChatGPT o a un altro chatbot di intelligenza artificiale. Un’abitudine ormai consolidata, in cui si chiede all’intelligenza artificiale di riassumere un’email o tradurre un contratto e ne escono nomi di clienti o conversazioni riservate. Inoltre, è stimato che mediamente ogni dipendente incolla testi nelle chat AI in media 14 volte al giorno e almeno tre contengono informazioni sensibili.
È così che in pochi mesi l’intelligenza artificiale generativa è diventata il primo canale di fuga di dati dalle aziende. Il problema vero, per le imprese, è che la responsabilità giuridica di quei dati resta loro: ogni volta che un’informazione di un cliente esce in un prompt senza adeguate garanzie, a risponderne è l’azienda che quel cliente lo ha in carico. Inoltre, l’Unione Europea, con l’AI Act, ha introdotto requisiti di trasparenza e supervisione per i sistemi di intelligenza artificiale utilizzati nei processi operativi, con multe previste fino a 35 milioni di euro.
Per queste ragioni, sempre più imprese italiane hanno a cuore il tema della proprietà del dato, preferendo soluzioni che non permettano di formare un modello AI e che eliminino i dati sensibili. Tra il rischio di fuga di dati sensibili da una parte e compliance normativa sempre più complessa, si concentra anche l’infrastruttura creata da AIDAPT, startup italiana, che personalizza agenti AI per le aziende e li integra nei loro processi, mantenendo la proprietà dei dati.
“Il dipendente non si sta comportando male, sta solo cercando di raggiungere l’obiettivo più in fretta. Il problema è che spesso, quando incolla in un chatbot un testo da riassumere, sta esportando dati aziendali su server di cui non sa nemmeno la posizione. L’azienda, intanto, non ha alcuna traccia di cosa sia uscito e in molti casi se ne accorge solo quando è troppo tardi”, commenta Francesco Alborino, CEO e co-fondatore di AIDAPT.
Ecco come garantire a tutte le realtà di continuare ad avere proprietà unica delle proprie informazioni secondo AIDAPT:
- Sovranità europea dei dati: tutto il ciclo di vita dell’informazione deve restare su server nell’Unione Europea, e i dati inseriti dalle aziende non vengono mai utilizzati per addestrare i modelli sottostanti, eliminando il rischio di ritrovarli un giorno nelle risposte di un chatbot pubblico.
- Tracciabilità: ogni risposta è il risultato di una sequenza di passaggi registrati uno per uno e ricostruibili a posteriori, il presupposto pratico necessario per un responsabile della protezione dei dati in modo da dimostrare a un’autorità da dove arriva ciascuna informazione.
- Conservazione dei dati: tramite logiche di guardrail tutti i dati sensibili inseriti possono essere eliminati immediatamente inoltre, tramite una gestione diretta, gli utenti possono decidere il tempo di conservazione dei dati inseriti. Questa è la chiave per mantenere il proprio know how, ovvero il sapere produttivo di un’impresa, da come struttura i contratti a come si differenzia dai competitor.
In questo processo, la piattaforma di AIDAPT semplifica anche la burocrazia, compilando automaticamente fino al 70% dei documenti richiesti, come ad esempio il template DPIA pubblicato dall’EDPB (Comitato europeo per la protezione dei dati), 31 pagine di valutazione tecnico-giuridica richieste a chi adotta sistemi AI ad alto rischio, riducendo a giorni la produzione di documenti che oggi richiede settimane di lavoro legale.
“Quando abbiamo sviluppato la piattaforma per automatizzare i processi aziendali, non pensavamo che la documentazione fosse ciò che spesso ne frenava l’adozione. Tuttavia, molte SPA con cui abbiamo iniziato a lavorare, ci hanno confermato che una solida preparazione sulla parte di compliance era essenziale. Da quel momento ogni nuovo agente che attiviamo nasce con la sua scheda tecnica e la sua valutazione d’impatto già impostate. È quello che permette al manager di portare l’AI dentro l’azienda senza chiedere ogni volta un parere a tre studi legali diversi”, conclude Alborino.
