Come usare l'AI in azienda senza rischi

I tuoi dipendenti usano già ChatGPT. Anche se non lo sai. La domanda non è se usarlo, è come usarlo senza farti del male.

ChatGPT free e Plus (il piano personale a $20/mese) usano le conversazioni per addestrare i modelli, per default. Se un tuo dipendente copia un contratto NDA con il cliente Rossi SpA e lo incolla per chiedere un riassunto, quei dati escono dall’azienda e finiscono su infrastruttura americana. Questo tocca il GDPR (trasferimento dati personali a titolare extraeuropeo senza base giuridica), gli NDA con i clienti, e i dati finanziari con protezione rafforzata.

Cosa non mettere mai in un prompt

Prima ancora di comprare strumenti, forma le persone. Lista nera da comunicare a tutto il team:

• Nomi e dati di clienti, fornitori, dipendenti
• Contenuto di contratti, offerte, preventivi
• Codice sorgente proprietario o configurazioni di sistema
• Dati finanziari interni: fatturato, margini, costi
• Credenziali, anche “mascherate”
• Comunicazioni riservate (email CdA, verbali)

Scrivi questa lista in un documento di una pagina e falla firmare a tutti. Non è la soluzione definitiva, ma taglia il 90% dei rischi più ovvi nell’immediato.

Versioni enterprise che rispettano il GDPR

Se vuoi usare AI seriamente, esistono versioni enterprise con garanzie contrattuali reali.

Azure OpenAI Service — modelli GPT-4o e GPT-4 tramite Azure. I tuoi dati non vengono usati per addestrare modelli, hai data residency in Europa (Sweden Central, France Central), e firmi un DPA con Microsoft. Pay-per-token, circa $0,005 per 1K token in input su GPT-4o.

ChatGPT Enterprise — policy esplicita: i prompt non vengono usati per training, dati gestiti con SOC 2 Type II, DPA disponibile. A partire da ~$60/utente/mese su volumi.

Microsoft 365 Copilot — se hai già M365 Business Premium, Copilot rispetta le stesse garanzie del tuo contratto Microsoft: dati nel tenant EU, DPA firmato, zero training sui tuoi dati. Add-on a ~$30/utente/mese.

Gemini for Google Workspace — se usi già Workspace Business/Enterprise, incluso nei piani Business Plus o add-on ~€22/utente/mese, stesse garanzie GDPR del contratto Google Workspace.

La regola pratica: prima di attivare qualsiasi strumento AI aziendale, cerca il Data Processing Agreement e verifica che ci sia data residency europea.

Soluzione locale: dati che non escono mai

Per use case interni sensibili — analisi documenti, assistenza redazione, log review — un LLM locale è la soluzione zero-rischi per definizione.

# Installa Ollama
curl -fsSL https://ollama.com/install.sh | sh

# Scarica un modello (Llama 3.1 8B, ~5GB)
ollama pull llama3.1:8b

# Interfaccia web tipo ChatGPT in locale
docker run -d -p 3000:8080 \
  --add-host=host.docker.internal:host-gateway \
  -v open-webui:/app/backend/data \
  ghcr.io/open-webui/open-webui:main

Accedi su http://192.168.0.X:3000, crei gli utenti interni, hai un ChatGPT privato aziendale. Hardware minimo decente: 16GB RAM per CPU-only (lento ma funziona), GPU con 8GB VRAM per qualcosa di usabile (RTX 3060, usata ~150€).

Policy AI in 30 minuti

Non serve un legale esterno per partire. Basta un documento interno che risponda a cinque domande: quali strumenti sono autorizzati, cosa non si carica mai, chi approva i nuovi strumenti, come si verifica l’output, come si segnala un incidente. Una pagina, firmata da tutti. Falla revisionare dal tuo avvocato in un secondo momento, ma distribuiscila subito.

Cosa fare

• Questa settimana: manda un form anonimo ai dipendenti per scoprire quali strumenti AI usano già — la risposta ti sorprenderà
• Entro 15 giorni: distribuisci la policy AI interna (anche solo la versione 1.0 da una pagina) e verifica che M365 o Google Workspace abbiano il DPA attivo e data residency EU configurata
• Se hai dev nel team: valuta Ollama + Open WebUI su un server interno per tutti i task che toccano codice proprietario o dati clienti