NEWS

 

AI in azienda, il 77% dei lavoratori incolla dati sensibili su ChatGPT

Ogni prompt inserito in un chatbot AI può trasformarsi in una fuga di informazioni aziendali. È questa la conseguenza più immediata dell’adozione ormai diffusa dell’intelligenza artificiale generativa nei flussi di lavoro: strumenti usati per velocizzare attività quotidiane, dalla sintesi di un’email alla traduzione di un contratto, finiscono spesso per ricevere contenuti che non dovrebbero uscire dal controllo dell’impresa. Nomi di clienti, conversazioni riservate e dettagli contrattuali possono essere copiati dentro servizi esterni senza che l’azienda abbia una reale visibilità su ciò che è stato condiviso.

Secondo il Report 2025 di LayerX, il 77% dei dipendenti incolla dati sensibili aziendali su ChatGPT o in altri chatbot di intelligenza artificiale. Sempre secondo le stime riportate, ogni dipendente incolla testi nelle chat AI in media 14 volte al giorno e almeno tre di questi inserimenti contengono informazioni sensibili. Il dato fotografa un’abitudine ormai radicata: l’AI viene usata per lavorare più rapidamente, spesso prima che l’azienda abbia definito regole, strumenti e controlli interni.

Così facendo, il lavoratore non sta agendo in malafede, ma cerca una scorciatoia operativa, mentre l’azienda perde però visibilità su informazioni che dovrebbe proteggere, tracciare e, quando necessario, rendere verificabili davanti a un’autorità.

Per le imprese, però, la responsabilità non cambia: se un dato di un cliente viene inserito in un sistema AI senza adeguate garanzie, a risponderne è comunque l’azienda che lo gestisce. Anche per questo, l’intelligenza artificiale generativa viene indicata come il primo canale di fuga di dati dalle aziende: in molti casi è entrata nei flussi di lavoro su iniziativa dei dipendenti, prima che fossero definite regole e controlli interni.

A rendere il quadro ancora più complesso intervengono le nuove normative europee. L’AI Act dell’Unione Europea introduce infatti obblighi di trasparenza, supervisione e controllo per i sistemi di intelligenza artificiale impiegati nei processi aziendali, prevedendo sanzioni che nei casi più gravi possono arrivare fino a 35 milioni di euro.

In questo scenario, uno degli aspetti indicati riguarda la gestione del dato lungo tutto il suo ciclo di vita: le informazioni dovrebbero restare su server collocati nell’Unione Europea e non essere utilizzate per addestrare i modelli sottostanti, così da ridurre il rischio che contenuti interni possano riemergere nelle risposte di un chatbot pubblico.

Un altro passaggio riguarda la tracciabilità. Ogni risposta generata da un sistema AI deve poter essere ricostruita attraverso una sequenza di operazioni registrate una per una. Per chi si occupa di protezione dei dati, questa possibilità permette di dimostrare da dove arriva ciascuna informazione e come è stata prodotta una determinata risposta. AIDAPT indica inoltre l’uso di logiche di guardrail per eliminare immediatamente i dati sensibili inseriti e una gestione diretta che consente agli utenti di decidere per quanto tempo conservarli.

Fonte: LayerX

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Articoli correlati

Prev Eataly colpita da un attacco informatico, effettuate le notifiche ai sensi della Direttiva NIS2 e del GDPR

Galleria Video

Ansa: presentato alla Camera il libro 'Smetti di farti spiare difendi la tua privacy'

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy sui social

Argomenti in evidenza