Come Promuovere la Consapevolezza sulla Protezione dei Dati e la Sicurezza delle Informazioni nell’Uso dell’IA nelle aziende e nella PA

Introduzione

Negli ultimi mesi diversi episodi hanno mostrato quanto l’uso non consapevole di strumenti di intelligenza artificiale generativa possa comportare rischi significativi per la protezione dei dati. Un esempio riguarda la funzione di condivisione di ChatGPT, che ha reso accessibili conversazioni attraverso link pubblici successivamente indicizzabili dai motori di ricerca.

Sebbene il problema sia stato corretto, l’incidente ha evidenziato due aspetti cruciali:

1. Quanto sia facile che informazioni riservate vengano esposte involontariamente,
2. La mancanza, in molte organizzazioni, di regole chiare e di una governance adeguata sull’uso delle AI generative.

Per questo motivo, è indispensabile che aziende e Pubbliche Amministrazioni adottino policy interne sull’utilizzo responsabile dell’IA, in modo da fornire ai dipendenti linee guida concrete su cosa è consentito fare e cosa invece rappresenta un rischio per la sicurezza delle informazioni.

Cosa intendiamo per “Consapevolezza”?

Consapevolezza, nell’ambito della sicurezza informatica, significa che ciascun dipendente è in grado di riconoscere i rischi legati al trattamento dei dati e sa quali comportamenti adottare per ridurli. Non si tratta di un’attività occasionale, ma di un processo continuo.

Gli strumenti di IA evolvono con grande rapidità e portano con sé nuove funzionalità che possono introdurre rischi imprevisti. Inoltre, il contesto lavorativo cambia: nuovi progetti, ruoli o dati sensibili richiedono un aggiornamento costante delle competenze. Per questo motivo, la consapevolezza deve essere coltivata nel tempo, con iniziative ricorrenti e adattive che mantengano viva l’attenzione.

Perché la Consapevolezza sull’IA è Diversa (Focus su Dati e Informazioni)

I rischi legati all’IA non rientrano sempre negli schemi tradizionali della sicurezza informatica. Alcuni aspetti distintivi sono:

• Perdita involontaria di dati tramite output: i sistemi di IA possono restituire risposte che contengono dati sensibili inseriti in precedenza.
• Funzioni di condivisione/pubblicazione: strumenti come il “Condividi” possono esporre all’esterno contenuti aziendali senza che l’utente se ne renda conto.
• Gestione complessa dei dati e persistenza: le piattaforme di IA possono archiviare o riutilizzare informazioni in modi non prevedibili dagli utenti.
• Lacune nella governance tradizionale: i programmi di formazione classici spesso non affrontano questi scenari specifici, lasciando i dipendenti privi di riferimenti pratici.

Tutto ciò rafforza la necessità di una policy aziendale sull’uso dell’IA, che chiarisca regole, limiti e responsabilità, garantendo che la tecnologia sia usata in modo coerente con la normativa e con la protezione dei dati.

Come promuovere la Consapevolezza sull’Uso dell’IA

La formazione e la sensibilizzazione non devono essere generiche, ma concrete e orientate ai comportamenti quotidiani. Alcuni approcci efficaci sono:

• Onboarding mirato: fornire già al momento dell’ingresso in azienda regole chiare sull’uso dell’IA e i principali rischi da evitare.
• Formazione basata sui ruoli: creare percorsi differenziati in base alle funzioni aziendali, con esempi pratici aderenti alle attività quotidiane.
• Simulazioni ed esercitazioni: riprodurre scenari realistici (ad esempio l’uso improprio di un prompt) per aumentare la capacità di riconoscere i rischi.
• Promemoria integrati: inserire avvisi e messaggi contestuali nei sistemi aziendali per mantenere alta l’attenzione.
• Aggiornamenti periodici: rinnovare costantemente le campagne di consapevolezza per evitare che le regole diventino “rumore di fondo” e vengano ignorate.

L’obiettivo non è solo informare, ma radicare comportamenti sicuri e diffondere una cultura aziendale orientata alla protezione dei dati.

Concludendo

La consapevolezza sull’uso dell’IA non è un aspetto accessorio, ma un elemento strategico di sicurezza. L’episodio legato alla condivisione di ChatGPT lo dimostra chiaramente: anche piccole disattenzioni possono avere conseguenze rilevanti sulla riservatezza delle informazioni.

Per aziende e Pubbliche Amministrazioni, ciò significa:

• definire una policy di governance sull’uso delle AI generative,
• integrare la consapevolezza nei processi di onboarding,
• utilizzare formazione pratica, simulazioni e promemoria costanti,
• aggiornare i programmi in base all’evoluzione degli strumenti e del contesto.

Nessuna singola azione è sufficiente. Solo un approccio integrato, che unisca regole chiare, formazione continua e una governance strutturata, può garantire un utilizzo sicuro e responsabile dell’intelligenza artificiale.