A febbraio 2026 il Parlamento europeo ha disabilitato le funzionalità di intelligenza artificiale “integrate” (cioè quelle incorporate nei dispositivi e in alcune applicazioni di produttività) sui device di lavoro usati da eurodeputati e staff, citando timori legati a cybersicurezza e protezione dei dati.

Per una PMI potrebbe sembrare una notizia lontana. In realtà è un caso scuola di governance: quando l’AI arriva “di default” su pc, tablet e smartphone aziendali, il rischio non è solo usare male uno strumento. Il rischio è perdere controllo su dati e processi senza accorgersene.

Che cosa preoccupa davvero: il dato che “esce” dal perimetro

Secondo le ricostruzioni, il punto critico è che alcune funzioni AI, pur apparendo come semplici assistenti (riassunti, scrittura, suggerimenti), possono appoggiarsi a servizi cloud e inviare contenuti fuori dal dispositivo, anche per operazioni che potrebbero essere gestite localmente. Finché non è chiaro quali dati vengano trasferiti, in che misura e con quali garanzie, la scelta più prudente è spegnere tutto e valutare.

Per una PMI, lo stesso rischio si presenta in modo pratico e quotidiano: qualcuno chiede un riassunto di una mail, incolla un testo di un contratto o una bozza di offerta, oppure attiva un “assistente” del sistema operativo. In pochi secondi, informazioni interne possono finire in un trattamento esterno al controllo dell’organizzazione, con impatti su riservatezza, segreto commerciale, obblighi contrattuali e compliance privacy.

Perché questo tema è “compliance”, non solo IT

Quando l’AI entra nel lavoro, spesso lo fa in modo trasversale: commerciale, HR, legale, operation, direzione. La compliance diventa centrale perché:

  • cambia la classificazione del rischio: non è più solo “malware o phishing”, ma anche esposizione involontaria di contenuti;
  • cambiano i flussi di trattamento: testi e metadati possono essere trasferiti a fornitori terzi;
  • cambiano ruoli e responsabilità: chi decide l’attivazione di una funzione AI, chi la configura, chi monitora, chi forma gli utenti.

Nelle notizie sul Parlamento europeo ricorre proprio questo messaggio: l’adozione rapida e diffusa di feature AI sui dispositivi rende difficile avere subito piena chiarezza sulla portata dei dati condivisi con i provider, e quindi aumenta l’esigenza di controllo preventivo.

Cosa può fare una PMI, in modo concreto, senza “spegnere tutto”

Non tutte le PMI devono arrivare al blocco totale. Ma quasi tutte dovrebbero introdurre un minimo di governo, prima che l’AI diventi un “ombra” non gestita. Un percorso pratico, orientato alla compliance, può essere questo:

  • inventario delle funzionalità AI presenti su device e suite di produttività, distinguendo tra “integrate” e “app esterne”;
  • classificazione dei dati che potrebbero essere inseriti o elaborati (es. dati clienti, dati dipendenti, dati bancari, dati sanitari, segreti industriali);
  • regole d’uso semplici e operative, con esempi di “cosa non va mai incollato” e “cosa è ammesso”;
  • configurazioni tecniche dove possibile: disattivazione delle feature non necessarie, limitazione permessi, policy MDM sui dispositivi;
  • verifica fornitori: dove avviene il trattamento, quali misure di sicurezza, quali log, quali opzioni di controllo e auditing;
  • valutazione d’impatto o assessment mirato quando l’AI tocca dati personali in modo non banale o su larga scala (specie se l’output incide su decisioni o profilazioni).

La lezione più utile del caso Parlamento europeo

La scelta del Parlamento europeo non è un manifesto “contro l’AI”. È un promemoria: quando non hai certezza sul comportamento di una funzione e sui dati che trasferisce, la compliance matura preferisce fermare, misurare, governare e poi eventualmente riattivare in modo selettivo.