Usare l’AI in modo sicuro e responsabile
sicuro e responsabile
Usare l’AI senza conoscerne i rischi è come guidare senza sapere che esiste il codice della strada. In questo modulo costruiamo la consapevolezza che ti serve per proteggere te, i tuoi colleghi e la tua azienda.
- Cosa non inserire mai in un’AI pubblica — dati, segreti, informazioni riservate
- Cosa dice il GDPR sull’uso dell’AI e i tuoi obblighi
- Come riconoscere contenuti generati dall’AI e perché è importante
- Cosa cambia con l’AI Act europeo per le aziende
- Come proporre o rispettare una policy aziendale sull’AI
Quando usi ChatGPT, Gemini o qualsiasi AI pubblica, stai mandando i tuoi testi a un server esterno, gestito da un’azienda privata, che potrebbe usare quei dati per addestrare i propri modelli futuri. È nel contratto — spesso ignorato — che accetti quando ti registri.
Questo non è un problema se stai chiedendo di riscrivere un’email generica o di spiegarti un concetto. Diventa un problema serio se stai inserendo informazioni che non ti appartengono o che la tua azienda non vuole divulgare.
- Dati personali di clienti (nome, CF, email, contratti)
- Codice sorgente proprietario
- Strategie aziendali riservate
- Dati finanziari non pubblici
- Informazioni su dipendenti
- Segreti industriali o formule
- Testi già pubblici (sito, comunicati)
- Dati anonimi o aggregati
- Bozze senza informazioni sensibili
- Domande concettuali e spiegazioni
- Template e prompt generici
- Contenuti creativi non riservati
Alcuni dipendenti Samsung hanno inserito codice sorgente proprietario in ChatGPT per trovare bug. Il codice è potenzialmente diventato parte dei dati di addestramento di OpenAI. L’incidente ha portato Samsung a vietare l’uso di AI generative esterne su tutti i dispositivi aziendali. Il danno reputazionale e il rischio legale erano incalcolabili.
Il GDPR non è stato scritto pensando all’AI generativa. Ma si applica ugualmente: qualsiasi trattamento di dati personali, anche se mediato da uno strumento AI, ricade sotto le sue regole.
In pratica questo significa che se inserisci in un’AI pubblica il nome, l’email o qualsiasi informazione identificativa di una persona — cliente, dipendente, fornitore — stai potenzialmente violando il GDPR, perché stai trasferendo dati personali a un titolare esterno senza base giuridica adeguata.
- Cosa rischi come dipendenteResponsabilità disciplinare e, nei casi gravi, responsabilità civile. La violazione dei dati personali non è una questione solo dell’IT.
- Cosa rischia l’aziendaSanzioni GDPR fino al 4% del fatturato globale annuo, o 20 milioni di euro — il maggiore tra i due. Più il danno reputazionale.
- La soluzione praticaAnonimizza sempre prima di inserire. Sostituisci nomi con “Cliente X”, email con “email@dominio.com”, importi con valori fittizi. Il risultato utile dell’AI non cambia.
Il Garante della Privacy italiano è stato il primo in Europa a bloccare temporaneamente ChatGPT, nel marzo 2023, proprio per presunte violazioni del GDPR sulla raccolta e il trattamento dei dati degli utenti. Il servizio è stato riattivato dopo che OpenAI ha implementato alcune modifiche.
Con la diffusione dell’AI generativa, la capacità di riconoscere un contenuto prodotto da una macchina è diventata una competenza sempre più importante — nel lavoro, nella comunicazione, nella valutazione delle informazioni.
Non esiste un rilevatore infallibile. I tool di detection esistenti (GPTZero, Originality.ai) hanno tassi di errore significativi. Ma alcune caratteristiche ricorrenti nei testi AI possono aiutarti a sviluppare un “senso” critico.
- Struttura perfetta ma piattaI testi AI tendono a essere ben organizzati ma privi di sorprese, aneddoti personali, imperfezioni stilistiche che caratterizzano la scrittura umana.
- Affermazioni generali senza fonteL’AI fa spesso affermazioni plausibili ma non verificabili, presentate con sicurezza assoluta.
- Tono eccessivamente bilanciatoL’AI evita posizioni forti. Se un testo su un tema controverso presenta “entrambi i lati” in modo stranamente equo, potrebbe essere AI.
- Assenza di contesto locale o recenteL’AI non conosce quello che è successo ieri, le dinamiche locali, i dettagli specifici di un settore di nicchia.
L’AI Act è il primo regolamento al mondo che disciplina specificamente l’intelligenza artificiale. Approvato dal Parlamento europeo nel 2024, è entrato progressivamente in vigore e diventerà pienamente applicabile tra il 2025 e il 2026. Non riguarda solo le aziende che sviluppano AI — riguarda anche chi la usa in ambito professionale.
Il principio chiave è la classificazione per rischio: alcune applicazioni AI sono vietate, altre sono ad alto rischio e richiedono conformità specifica (selezione del personale, credito, accesso a servizi pubblici), altre sono a rischio limitato e richiedono solo trasparenza.
L’AI Act classifica come “ad alto rischio” i sistemi AI usati per la selezione del personale. Questo significa che se la tua azienda usa un software AI per scremare i CV, dovrà rispettare requisiti precisi di trasparenza, documentazione e supervisione umana.
Sul fronte delle policy aziendali, molte grandi organizzazioni hanno già definito regole interne sull’uso dell’AI. Se la tua azienda non le ha ancora, considera di proporre un documento semplice che risponda a tre domande: quali strumenti AI sono approvati? Quali dati non si possono inserire? Chi è responsabile della supervisione degli output?
Una multinazionale dell’energy con sede a Milano ha sviluppato una “AI Policy” interna in 3 pagine: lista degli strumenti approvati, regole sui dati, obbligo di revisione umana per ogni output usato in documenti ufficiali. La policy è stata distribuita in una sessione di formazione di 90 minuti a tutti i 2.400 dipendenti. Risultato: adozione responsabile aumentata, incidenti di sicurezza legati all’AI: zero.
- Scrivi una lista di 5 tipi di informazioni che usi regolarmente nel tuo lavoro e chiediti: posso inserirle in un’AI pubblica? Usa la tabella “non inserire / puoi inserire” come guida.
- Verifica se la tua azienda ha già una policy sull’AI. Se sì, leggila. Se no, segnala la mancanza al tuo responsabile o all’IT.
- Individua uno strumento AI approvato (o tollerato) nella tua organizzazione e inizia a usare solo quello per le attività lavorative — tenendo sempre la regola: niente dati sensibili.
- Prepara una risposta di 3 righe da dare a un collega che ti chiede “ma posso mettere i dati dei clienti in ChatGPT?”. Dovresti riuscirci agevolmente dopo questo modulo.