Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

conformità

AI Generativa in azienda: tra opportunità e rischi normativi

Home Soluzioni aziendali
Partecipa al dibattito
Indirizzo copiato

Il vero punto critico è che solitamente, nei programmi di formazione sull’uso di questi strumenti, manca qualunque riferimento a quali normative sia necessario prendere in considerazione durante il loro utilizzo. Ecco i limiti della formazione attuale e i rischi normativi

Pubblicato il 5 feb 2026
Giancarlo Butti

Auditor, esperto Privacy e Cyber Security, Referente Regolamento DORA e Inclusion del Comitato Scientifico del CLUSIT

Studi legali e AI generativa; AI Generativa in azienda: tra opportunità e rischi normativi

Molte aziende hanno introdotto o stanno introducendo l’utilizzo dell’AI Generativa al loro interno.

Ma spesso tali strumenti sono utilizzati senza sfruttarne al meglio le potenzialità e senza considerare i possibili rischi, anche di conformità, derivanti dal loro utilizzo.

Come l’AI generativa supporta la compliance normativa

Il limite della formazione attuale

Sempre più spesso si utilizzano in azienda strumenti come Copilot (integrato nella suite Office365), ma senza minima idea che sia possibile utilizzarli per creare policy, procedure, contratti, gap analisys normative, due diligence, analisi del rischio, check list di audit eccetera.

Spesso, se lo strumento prescelto è Copilot, la formazione si concentra sul suo uso integrato negli altri applicativi di Microsoft Office e non come strumento stand alone.

Ma il vero punto critico è un altro: quello che solitamente manca nei programmi di formazione sull’uso di questi strumenti è qualunque riferimento a quali normative sia necessario prendere in considerazione durante il loro utilizzo.

I rischi normativi sottovalutati

Con questi strumenti è molto facile, per esempio, violare la normativa privacy quando vengono utilizzati per trattare dati personali, piuttosto che la normativa sul diritto d’autore nel momento in cui si utilizzano come fonti dati opere protette.

Inoltre, alcuni usi di questi strumenti potrebbero configurare una condizione che verrebbe classificata ad alto rischio dall’AI Act, con tutte le relative conseguenze in termini di adempimenti preventivi.

Per quanto riguarda la normativa privacy, se si utilizzano dati personali, si verificano due specifiche fattispecie di possibili violazioni.

La prima è legata all’uso dello strumento stesso. I dati inseriti, come spesso evidenziano gli stessi strumenti in messaggi che compaiono prima del loro uso, potrebbero essere utilizzati per migliorare il modello stesso.

Dunque si ha una comunicazione di dati personali di cui l’interessato non è sicuramente a conoscenza e per i quali probabilmente negherebbe il consenso se si utilizzasse questo tipo di base giuridica.

Oltre a questo aspetto, se si trattano dati personali con un sistema di AI lo si fa probabilmente per profilare i soggetti interessati e quindi, si entra nell’ambito dell’articolo 22 del GDPR, il regolamento dell’Unione Europea sulla protezione dei dati personali, che disciplina in modo rigoroso e limitativo tale aspetto.

È molto facile quindi incorrere in una qualche violazione della normativa privacy come quelle citate. Sarebbe dunque opportuno vietare l’uso di tali strumenti se si devono elaborare dei dati personali.

La violazione del copyright

Per quanto attiene la violazione del diritto di d’autore, nonostante le affermazioni che spesso vengono riportate dai produttori circa il fatto che il contenuto originato è originale, anche ammesso che così fosse, ci si scontra con il possibile uso che dello strumento ne fa l’utente.

Se per esempio un’opera protetta usa come unica fonte dati e chiede di riportare degli estratti puntuali finalizzati, per esempio, a un riscontro fra risposta fornita e fonte originale, si corre qualche rischio.

Qui è anche più difficile dare indicazione su come comportarsi se non quella di
utilizzare l’output prodotto solo al proprio interno e come strumento di supporto.

Il ruolo dell’AI Act

Sebbene il livello di rischio sia attribuito dall’AI Act (in vigore da inizio febbraio 2025) ai “sistemi”, è evidente che l’AI generativa permette all’utente finale di svolgere qualunque compito.

Quindi, se per esempio chiedo a un sistema di AI generativa di valutare le anomalie di comportamento dei dipendenti di un’azienda, basate sui dati delle timbrature, entro immediatamente nell’ambito nell’analisi di un comportamento e tale fattispecie viene classificata, appunto, come ad alto rischio.

Del resto, la possibilità di fare una valutazione con una richiesta banale come “individua i comportamenti anomali basandoti su questi dati” rispetto al dovere definire a monte cosa sia un possibile comportamento anomalo, può costituire un forte incentivo all’uso di tali strumenti.

Quindi, è importante che, prima della introduzione dell’AI generativa in azienda, il personale sia pienamente consapevole di cosa può fare e cosa potrebbe costituire una violazione o un rischio normativo. E questo, non solo con delle affermazioni di principio, ma anche fornendo esempi pratici e puntuali.

È indispensabile che la formazione non si limiti agli aspetti tecnici, ma che evidenzi le potenzialità ed i rischi insiti nell’uso di tali strumenti, che amplificano a dismisura il problema rappresentato dagli EUC e dello shadow IT.

Oltre al rischio legato all’uso dei dati personali va infatti ricordata la necessità di non caricare su questi strumenti informazioni aziendali riservate (problema che può essere risolto solo se si utilizzano versioni “aziendali” di tali strumenti, che riservano spazi dedicati alla singola azienda sul cloud dell’applicazione) e che l’output di un sistema di AI deve essere attentamente verificato prima del suo uso.

Il rischio maggiore per le imprese

Per l’azienda il rischio maggiore è però una perdita di controllo sulla elaborazione estemporanea di dati ed informazioni aziendali e, paradossalmente, questo rischio è maggiore laddove si utilizzano le versioni aziendali di tali strumenti e non ci si pongono quindi, limiti nel tipo di informazioni da processare.

Inoltre, a differenza degli EUC che richiedono quantomeno un minimo di competenze informatiche per creare piccole applicazioni, solitamente in Excel o più raramente con altri strumenti di produttività individuale, l’AI generativa democratizza la libera elaborazione di qualunque informazione, in quanto, anche in assenza di qualunque competenza tecnica, consente di effettuare elaborazioni molto complesse con una richiesta agli strumenti con il linguaggio naturale.

La facilità con cui è possibile svolgere questo tipo di attività rischia, da un lato, di moltiplicare il numero di richieste e, dall’altro, di fare affidamento su risultati difficilmente controllabili, non potendone verificare i risultati con altri strumenti più tradizionali, in mancanza di specifiche competenze.

Singole applicazioni EUC

Prompt che sottendono elaborazione di dati sono, a tutti gli effetti, delle singole applicazioni EUC e dovrebbero pertanto essere censite.

Rispetto agli EUC tradizionali, i sistemi di AI generativa hanno tuttavia un vantaggio. I vari prompt possono essere conservati e quindi la storia del loro uso da parte di un dipendente può essere monitorato per verificare, da un lato, il rispetto delle policy aziendali e, dall’altro, di censire eventuali nuovi trattamenti che si dimostrassero validi ed accettabili, risolvendo in tal modo il tradizione problema che riguarda la difficile governance delle applicazioni EUC.

Una policy per l’uso dell’AI

Ora appare evidente che un’azienda non può oggi operare senza dotarsi di una specifica policy sull’uso degli strumenti di AI generativa.

A parte l’ovvia dichiarazione iniziale circa il possibile uso o, anacronisticamente il divieto di uso di sistemi di AI generativa, la policy dovrà dare indicazioni precise quantomeno su:

  • usi consentiti;
  • usi vietati;
  • utilizzi che comportano una valutazione del rischio;
  • informazioni e dati che è possibile sottomettere agli strumenti di AI al fine di rispettare sia la riservatezza aziendale, sia le normative esistenti (in particolare privacy e diritto d’autore);
  • eventuali procedure aziendali in essere, ad esempio per anonimizzare documenti contenenti dati personali;
  • regole per verificare le risposte fornite dagli strumenti di AI;
  • regole per informare circa il fatto che un determinato risultato è stato ottenuto con un sistema di AI;
  • regole per la condivisione dei risultati ottenuti con sistemi di AI.

Basta poi riportare in un prompt quanto sopra per ottenere una ottima policy aziendale quasi pronta all’uso. Nel rispetto della policy stessa dovrà essere infatti verificata preventivamente da un umano.

La differenza con gli EUC

A differenza di strumenti come gli EUC (End User Computing), che richiedono quantomeno un minimo di competenza in ambito informatico per poter essere utilizzati e che costituiscono comunque da sempre un grosso problema per quanto riguarda la loro governance da parte delle aziende, i sistemi di AI generativa abbattono ulteriormente quello che è il livello di competenza tecnica richiesta per il loro uso.

Oggi chiunque, con una semplice richiesta in linguaggio naturale, può far compiere a strumenti di AI generativa operazioni che un tempo richiedevano lo sviluppo di specifiche applicazioni.

Quindi il rischio che si mettano in atto dei trattamenti di dati personali in contrasto con la normativa, senza che il Titolare venga a conoscenza, sono molto alti.

Analogamente, trattare dati in particolare di quelli che sono i dipendenti, per esempio per analizzare il loro comportamento, si configurano come una situazione ad alto rischio lato AI Act.

La necessità di una policy

Occorre definire una policy sull’uso di questi strumenti che indichi quale sia il loro possibile uso, quali siano i divieti nel loro uso, quali siano le attenzioni che è necessario riporre.

La policy dovrebbe definire:

  • Usi consentiti: quali sono le applicazioni legittime degli strumenti di AI generativa all’interno dell’organizzazione.
  • Attenzioni necessarie: le precauzioni che è necessario porre nell’uso di questi strumenti, fondamentali per evitare violazioni normative.
  • Vincoli e divieti: per esempio in merito al non fornire informazioni che siano riservate per l’azienda piuttosto che non caricare informazioni relative a dati di soggetti identificabili. Se necessario utilizzare questi strumenti per questa finalità, procedere ad una loro preventiva anonimizzazione o quantomeno pseudonimizzazione.
  • Limiti degli strumenti: tutti i limiti derivanti dall’uso di questi strumenti, quindi il fatto che le risposte fornite dagli strumenti di AI generativa possono contenere errori e vanno costantemente verificate, nonché tutti gli altri limiti che sono legati all’utilizzo di strumenti non deterministici.

Una policy chiara e ben strutturata non è un optional

L’introduzione dell’AI Generativa in azienda rappresenta un’opportunità straordinaria, ma solo se accompagnata da una governance adeguata e da una consapevolezza piena dei rischi normativi connessi.

Non basta fornire gli strumenti: è necessario formare adeguatamente il personale non solo sulle potenzialità tecniche, ma soprattutto sui vincoli legali e sulle best practice per un utilizzo conforme e responsabile.

Una policy chiara e ben strutturata non è un optional, ma un elemento indispensabile per evitare che l’innovazione si trasformi in un rischio normativo e sanzionatorio per l’organizzazione.

Bibliografia

G.Butti – AI e audit, ITER 2024;
G.Butti – Compliance 4.0, ITER 2025;
G.Butti – Supply chain: gestire i rischi con strumenti di AI gratuita, ITER 2025.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

B
Giancarlo Butti
Auditor, esperto Privacy e Cyber Security, Referente Regolamento DORA e Inclusion del Comitato Scientifico del CLUSIT

Ha acquisito un master in Gestione aziendale e Sviluppo Organizzativo presso il MIP Politecnico di Milano.

Referente Regolamento DORA e Inclusion del Comitato Scientifico del CLUSIT.

Si occupa di ICT, organizzazione e normativa dai primi anni 80. Auditor, security manager ed esperto di privacy. Affianca all’attività professionale quella di divulgatore, tramite articoli, libri, white paper, manuali tecnici, corsi, seminari, convegni.

Oltre 170 corsi e seminari tenuti presso ISACA/ AIEA, ORACLE/CLUSIT, ITER, Informa Banca, CONVENIA, CETIF, IKN, Università di Milano, CEFRIEL, Ca Foscari, Università degli Studi Suor Orsola Benincasa, ABI…; già docente del percorso professionalizzante ABI – Privacy Expert e Data Protection Officer e master presso diversi atenei.

Ha all’attivo oltre 800 articoli e collaborazioni con oltre 40 testate.

Ha pubblicato 30 fra libri e white paper alcuni dei quali utilizzati come testi universitari; ha partecipato alla redazione di 31 opere collettive nell’ambito di ABI LAB, Oracle/CLUSIT Community for Security, Rapporto CLUSIT.

Socio e già proboviro di ISACA/AIEA, è socio del CLUSIT, di ACFE, di DFA e del BCI e partecipa a numerosi gruppi di lavoro.

Ha inoltre acquisito le certificazioni/qualificazioni (LA BS 7799), (LA ISO IEC 27001:2005/2013/2022), (LA ISO 20000-1), (LA ISO 22301), (LA ISO IEC 42001), CRISC, CDPSE, ISM, DPO, DPO UNI 11697:2017, DPO UNI CEI EN 17740:2024, CBCI, AMBCI.

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Vulnerabilità OpenSSL attacchi MitM

  • l'exploit

    Grave vulnerabilità in OpenSSL: rischio di attacchi Man-in-the-Middle

    12 Feb 2025

    di Dario Fadda

    Condividi
  • Whistleblowing come leva per la voice e la loyalty organizzativa; Luci e ombre nel whistleblowing europeo sull’AI Act: cosa cambia dal 2 agosto 2026

  • il parere Garante privacy

    Luci e ombre nel whistleblowing per le violazioni dell’AI Act: le 4 questioni aperte

    01 Dic 2025

    di Pasquale Mancino

    Condividi
  • Whistleblowing come leva per la voice e la loyalty organizzativa; Luci e ombre nel whistleblowing europeo sull’AI Act: cosa cambia dal 2 agosto 2026

  • lettura critica

    Whistleblowing come leva per la cultura organizzativa aziendale

    10 Nov 2025

    di Pasquale Mancino

    Condividi
  • Chat Control Consiglio UE approvato

  • la riflessione

    La trappola di Chat Control: minori tutelati, cittadini sorvegliati

    28 Nov 2025

    di Tania Orrù

    Condividi
0
Lascia un commento, la tua opinione conta.x