Immaginate una segretaria amministrativa che deve rispondere rapidamente a un cliente. Copia una mail di tre pagine dentro ChatGPT per chiedere una risposta più elegante. In meno di trenta secondi ha trasferito fuori dall’azienda nomi, importi, coordinate bancarie, contestazioni e dettagli commerciali. Senza rendersene conto.
Secondo il Report 2025 di LayerX, il 77% dei dipendenti inserisce informazioni aziendali sensibili all’interno di ChatGPT o di altri sistemi di intelligenza artificiale generativa. Ancora più impressionante è un altro dato ovvero che ogni lavoratore copia e incolla contenuti nelle chat AI mediamente 14 volte al giorno e almeno tre di tali inserimenti contengono dati sensibili.
Numeri che raccontano una realtà molto diversa da quella immaginata dagli imprenditori.
Per anni le aziende hanno investito milioni di euro in firewall, antivirus, sistemi di autenticazione multifattore, monitoraggio delle reti e cybersecurity.
Poi è arrivato il chatbot. E la porta principale è stata lasciata aperta.
Non perché qualcuno abbia deciso di violare le regole. Non perché esista necessariamente un dipendente infedele. Ma perché è successo qualcosa di molto più umano.
I dipendenti hanno trovato uno strumento che fa risparmiare tempo ed hanno iniziato ad usarlo. Prima delle policy. Prima delle procedure. Prima della formazione. Prima ancora che il datore di lavoro si rendesse conto di ciò che stava accadendo.
È una dinamica che chi si occupa di protezione dei dati e di sicurezza informatica osserva quotidianamente.
Il responsabile commerciale copia una trattativa per chiedere una mail più efficace. Il tecnico chiede supporto su una documentazione progettuale. Il medico prova a sintetizzare una relazione.
L’intenzione è quasi sempre la stessa ovvero lavorare meglio e più velocemente.
Il problema è che, mentre il dipendente vede un assistente digitale, l’azienda potrebbe trovarsi davanti a una potenziale fuga di informazioni.
Per comprendere la portata del fenomeno occorre cambiare prospettiva.
Quando un dipendente inserisce in una chat AI il contenuto di una mail, di un contratto, di una relazione tecnica o di una pratica commerciale, non sta semplicemente utilizzando un software. Sta trasferendo informazioni aziendali verso un sistema esterno.
In molti casi informazioni che contengono dati personali, segreti commerciali, know-how, informazioni strategiche, dettagli finanziari, documentazione riservata o elementi coperti da obblighi di riservatezza.
Ed è qui che emerge il grande equivoco. Molti continuano a considerare l’intelligenza artificiale come una sorta di motore di ricerca evoluto.
Non è così. Un chatbot non è una cartella del computer. Non è un file Word. Non è un’applicazione installata localmente.
È un servizio esterno con cui l’azienda interagisce attraverso i propri dipendenti.
Dal punto di vista della governance dei dati, la differenza è enorme, perché se un documento contenente dati personali viene inserito senza adeguate garanzie, la responsabilità non scompare; rimane in capo all’organizzazione che quei dati avrebbe dovuto proteggere.
È un principio che il GDPR conosce molto bene.
Per anni abbiamo insegnato ai dipendenti a non aprire allegati sospetti, a utilizzare password robuste e a riconoscere le email di phishing. Oggi serve un nuovo livello di alfabetizzazione.
Bisogna imparare a riconoscere quali informazioni possono essere condivise con un sistema AI e quali invece devono rimanere all’interno del perimetro aziendale.
Bisogna comprendere che la velocità non può sostituire la valutazione del rischio.
Bisogna costruire procedure chiare, formazione continua e strumenti adeguati.
L’errore più grave che un’impresa possa commettere non è adottare l’AI troppo presto.
È fingere che l’AI non sia già entrata in azienda, perché nella maggior parte dei casi è già sulla scrivania di qualcuno. Sta già leggendo documenti. Sta già riscrivendo email. Sta già sintetizzando report.
È entrata perché le abbiamo aperto la porta ogni volta che ci è sembrata utile.
E i dati che affidiamo ogni giorno ai sistemi di intelligenza artificiale non raccontano soltanto le nostre attività. Raccontano chi siamo, come lavoriamo e quale valore abbiamo costruito nel tempo. Perderne il controllo significa perdere molto più di un’informazione.
Avv. Simona Maruccio
Giornalista pubblicista, opera da molti anni nel settore della compliance aziendale, del marketing e della comunicazione.