Home
Automazione & AI Dati & Controllo di gestione Siti web & E-commerce Sviluppo su misura Formazione AI
App Visione Manifesto Magazine Contatti
Accedi Prenota una consulenza
Rischi & Regole · Guida

Shadow AI: i tuoi dipendenti usano già ChatGPT con i dati dei clienti

Mentre discuti "se" adottare l'AI, in azienda la usano già. È il rischio più concreto che hai oggi: ecco cosa rischi e come metterlo in regola in 7 passi.

Di Davide De Filippis 18 giugno 2026 9 min di lettura
Shadow AI: i dati dei clienti finiscono in ChatGPT

Mentre la direzione discute se adottare l'intelligenza artificiale, i dipendenti l'hanno già adottata. Una larga parte dei lavoratori usa strumenti AI non approvati dall'azienda, spesso incollando in ChatGPT o simili elenchi clienti, contratti, numeri di bilancio.

Si chiama shadow AI, ed è il rischio legato all'AI più concreto che la maggior parte delle PMI ha oggi. Non un rischio teorico del futuro: succede questa settimana, nella tua azienda, probabilmente mentre leggi.

Cos'è la shadow AI (e perché è già in casa tua)

Shadow AI è l'uso di strumenti di intelligenza artificiale non autorizzati né configurati dall'azienda. Quasi mai è malafede: le persone vogliono semplicemente fare prima e meglio. Il commerciale che fa riscrivere un'offerta, l'impiegata che fa riassumere un contratto, chi incolla una tabella di clienti per "sistemarla". Tutto comprensibile.

Il problema non è l'AI: è cosa esce dall'azienda quando un dato riservato viene incollato in uno strumento pubblico, su server di cui non sai nulla, con condizioni d'uso che nessuno ha letto.

Cosa rischi davvero: FADP e GDPR

Tre cose, in ordine di concretezza.

  • Resti tu il responsabile. Che il dato lo inserisca un tuo dipendente in uno strumento esterno non cambia nulla: il titolare del trattamento sei tu. La responsabilità non si trasferisce allo strumento.
  • Dati personali fuori controllo. Nomi, contatti, dati di clienti e dipendenti inseriti in strumenti senza una base giuridica e senza un contratto adeguato con il fornitore sono una violazione della protezione dati. Se i dati finiscono su server fuori da Svizzera/UE senza garanzie, il problema si aggrava.
  • Segreti aziendali. Oltre alla privacy: listini, know-how, strategie e bozze riservate che possono finire nei log o, in alcuni casi, nei dati di addestramento.

Sul piano normativo, in Svizzera la legge sulla protezione dei dati si applica già pienamente all'uso dell'AI: resti titolare del trattamento, devi sapere quali strumenti vengono usati e prevedere accordi adeguati. In Italia e nell'UE valgono le regole del GDPR. In tutti i casi, una gestione disinvolta dei dati personali può comportare sanzioni rilevanti e responsabilità per l'azienda. La Svizzera, a differenza dell'UE, non ha una legge generale dedicata all'AI, ma questo non esonera dalla protezione dei dati, già pienamente in vigore.

Questo articolo ha scopo divulgativo e non costituisce consulenza legale: per gli obblighi applicabili al tuo caso conviene sempre una verifica con un consulente.

La regola d'oro

Se non lo manderesti per email a uno sconosciuto, non incollarlo in uno strumento AI pubblico. È una regola che chiunque, in azienda, può ricordare.

Perché vietare non funziona

La reazione istintiva è il divieto: "vietato usare ChatGPT". Raramente funziona. Il divieto secco non elimina la shadow AI, la spinge solo più nell'ombra: la gente usa il telefono personale, di nascosto, e tu perdi anche la poca visibilità che avevi. Per giunta rinunci ai vantaggi reali che l'AI può portare.

La via che funziona è l'opposto: dare un'alternativa sicura, regole chiare e un minimo di formazione. Quando esiste lo strumento buono, quello rischioso smette di servire.

La guida in 7 passi per usare l'AI in sicurezza

Un percorso concreto, alla portata di una PMI, senza bisogno di un reparto legale interno.

  • 1. Mappa cosa si usa già. Chiedi alle persone, senza colpevolizzare, quali strumenti AI usano e per cosa. È un censimento, non un processo. La fotografia, di solito, sorprende.
  • 2. Classifica i dati. Definisci cosa non deve mai uscire (dati di clienti, contratti, dati sensibili) e cosa è libero (testi generici, idee, bozze pubbliche). Una regola semplice batte un regolamento complicato.
  • 3. Offri uno strumento aziendale sicuro. Per esempio Microsoft Copilot dentro il tenant aziendale, o uno strumento con un accordo sul trattamento dei dati e, dove serve, dati che restano in Svizzera o UE. Con l'alternativa giusta, la shadow AI crolla da sola.
  • 4. Scrivi una policy di una pagina. Cosa si può e cosa non si può fare, con esempi concreti ("non incollare elenchi clienti", "ok per riscrivere un testo generico"). Una pagina che le persone leggono, non un trattato che nessuno apre.
  • 5. Configura e limita. Disattiva l'uso dei dati per l'addestramento dove possibile, imposta i permessi, separa gli account personali da quelli aziendali. Gran parte della sicurezza è configurazione.
  • 6. Forma le persone. Un'ora di formazione pratica vale più di dieci divieti: mostra cosa è sicuro e perché. È anche il modo per trasformare l'AI da rischio a vantaggio. (È il senso del nostro servizio di formazione AI.)
  • 7. Aggiorna informativa e registro. Indica nell'informativa privacy gli strumenti AI usati e l'eventuale logica delle decisioni automatizzate, e tieni un registro dei trattamenti aggiornato. È la parte formale, ma ti copre.

Da rischio a vantaggio

Affrontare la shadow AI non è solo difesa. È l'occasione per portare l'AI in azienda nel modo giusto: con uno strumento affidabile, regole chiare e persone che sanno cosa stanno facendo. Chi mette ordine adesso non solo riduce il rischio: parte avanti, perché usa l'AI con fiducia mentre altri la usano di nascosto e male.

Vuoi mettere in sicurezza l'uso dell'AI nella tua azienda? Possiamo aiutarti a fare il censimento, scegliere lo strumento giusto, scrivere la policy e formare il team, partendo da una consulenza.

Prenota una consulenza Il servizio Formazione AI

Domande frequenti

È illegale usare ChatGPT in azienda?

No, non di per sé. Diventa un problema quando ci inserisci dati personali o riservati senza le giuste garanzie: una base giuridica, un contratto adeguato con il fornitore e la consapevolezza di dove finiscono i dati.

La Svizzera ha una legge sull'intelligenza artificiale?

Non una legge orizzontale come l'AI Act europeo: la Svizzera ha scelto un approccio settoriale. Ma la legge sulla protezione dei dati (nLPD/FADP) si applica già pienamente all'uso dell'AI.

Microsoft Copilot è più sicuro di ChatGPT?

Usato nel tenant aziendale, con i dati che restano nel perimetro di Microsoft 365 e senza addestramento sui tuoi dati, offre garanzie che la versione pubblica e gratuita di ChatGPT non dà. Molto dipende dalla configurazione.

Posso semplicemente vietare l'uso dell'AI?

Puoi, ma raramente funziona: il divieto secco spinge l'uso nell'ombra, sui dispositivi personali. Funziona meglio offrire un'alternativa sicura, regole chiare e un po' di formazione.

I dati che inserisco in ChatGPT vengono usati per addestrare il modello?

Dipende dallo strumento e dalle impostazioni. Nelle versioni business ed enterprise spesso no; in quelle gratuite spesso sì, salvo disattivazione esplicita. Va verificato per ogni strumento.

← Torna al Magazine