Salta al contenuto
AImpact
IT EN
Sicurezza AI 5 min di lettura

Come proteggere i dati aziendali se usi ChatGPT o altri AI cloud

Se i tuoi dipendenti usano ChatGPT con dati aziendali, questo è quello che rischi davvero e come proteggerti. Guida pratica per IT manager e responsabili sicurezza.

Pubblicato: 3 giugno 2025

Nel marzo 2023 Samsung ha scoperto che tre dipendenti avevano incollato codice sorgente proprietario e verbali di riunioni riservate in ChatGPT. Il caso è diventato pubblico, Samsung ha temporaneamente vietato l’uso di AI generativa sui dispositivi aziendali.

Quella storia non è un caso isolato. I tuoi dipendenti usano già ChatGPT, Gemini, Copilot per lavorare meglio e più in fretta. Lo fanno con buone intenzioni. E lo fanno con NDA, codice sorgente, dati clienti, bozze di contratti — perché nessuno ha detto loro di non farlo. Si chiama shadow AI e nella maggior parte delle aziende nessuno lo sta monitorando.

Cosa succede davvero ai tuoi dati

La distinzione che conta non è “dati usati per training sì/no” — è “dati che escono dal mio perimetro sì/no”.

ChatGPT Consumer (account gratuiti e Plus personali): per default OpenAI può usare le conversazioni per migliorare i modelli. Si disattiva da Settings → Data controls. Anche con l’opt-out, i dati transitano sui server OpenAI negli USA.

ChatGPT Team ($30/utente/mese): dati non usati per training per default. Transitano comunque su server OpenAI.

ChatGPT Enterprise: OpenAI firma un DPA compatibile GDPR, nessun uso per training. Prezzi custom, solitamente da $60/utente/mese. I dati processano ancora su infrastruttura OpenAI.

Azure OpenAI: i modelli GPT-4o, o1 girano nel tuo tenant Azure. I dati non escono dalla tua infrastruttura, DPA coperto dal contratto Microsoft EA/CSP, controllo via Azure RBAC. Per la maggior parte delle aziende enterprise è la soluzione più sensata.

Ollama on-premise: modelli open source (Llama 3.1, Mistral, Phi-3) su hardware interno. Zero uscita di dati, zero abbonamenti, ottimi per il 70% dei task di testo. Il gap con GPT-4o su ragionamento complesso esiste, ma per riassumere documenti, riscrivere testi e rispondere su knowledge base interna bastano.

Il rischio concreto se usi account Consumer non è che OpenAI voglia rubare i tuoi segreti — è che dati riservati transitino fuori dal perimetro in modi che non puoi auditare, che potrebbero violare NDA, esporre dati GDPR, o creare problemi di IP su brevetti in attesa.

I 3 livelli di soluzione

Livello 1 — Nessuna spesa, impatto immediato: scrivi e comunica una AI Usage Policy. La maggior parte dei dipendenti non sa di fare qualcosa di problematico. Una policy chiara, spiegata in un meeting (non mandata come PDF che nessuno legge), riduce i rischi inconsapevoli dell’80%.

Livello 2 — ChatGPT Team o Azure OpenAI: per team o dipartimenti a rischio alto (legale, sviluppo, HR). ChatGPT Team è semplice da attivare, Azure OpenAI è meglio se sei già sull’ecosistema Microsoft. Setup base su Azure:

az cognitiveservices account create \
  --name "myorg-openai" \
  --resource-group "rg-ai-prod" \
  --kind OpenAI \
  --sku S0 \
  --location "swedencentral"

Il costo Azure è a consumo — per aziende sotto 500 dipendenti spesso risulta più economico di ChatGPT Enterprise.

Livello 3 — Ollama on-premise: per i dati più sensibili o requisiti di data residency stretti.

curl -fsSL https://ollama.com/install.sh | sh
ollama pull llama3.1:70b
OLLAMA_HOST=0.0.0.0:11434 ollama serve

La policy in 3 regole

Non serve un documento di 40 pagine. Servono tre regole che le persone capiscono e ricordano:

  1. Vietato incollare in AI cloud non approvati: dati personali di dipendenti o clienti, credenziali e API key, contenuti coperti da NDA, codice sorgente proprietario
  2. Richiede approvazione IT: usare AI cloud per processi che trattano dati clienti su scala, integrare AI in workflow automatizzati
  3. Libero: usare gli strumenti AI approvati dall’azienda, usare AI per testi e ricerche non riservate, usare modelli locali (Ollama) per qualsiasi dato

Comunicala in un meeting, spiega il perché. Le policy che le persone capiscono vengono rispettate; quelle che arrivano come allegati vengono ignorate.

Cosa fare

  • Monitora i DNS logs per 7 giorni verso chat.openai.com, claude.ai, gemini.google.com, copilot.microsoft.com — misura il fenomeno prima di reagire
  • Verifica se hai un DPA valido con i provider AI che i tuoi dipendenti usano (se non lo sai, la risposta è probabilmente no)
  • Attiva ChatGPT Team o Azure OpenAI per i dipartimenti a più alto rischio e dai alle persone un’alternativa sicura prima di vietare quella non sicura