AI generativa e documenti interni in PA e aziende: perché “non classificato” non significa condivisibile

AI generativa e documenti interni: rischi e regole per PA e aziende

Il caso CISA–ChatGPT e i rischi concreti per PA e aziende italiane

 

L’uso di strumenti di intelligenza artificiale generativa nelle pubbliche amministrazioni e nelle aziende italiane pone un tema spesso sottovalutato: la gestione dei documenti ad uso interno. Un recente caso emerso negli Stati Uniti, che ha coinvolto la Cybersecurity and Infrastructure Security Agency (CISA), mostra in modo concreto perché un documento “non classificato” non sia automaticamente condivisibile e perché l’uso di piattaforme AI consumer, come ChatGPT pubblico, possa determinare seri rischi di perdita di controllo delle informazioni.

Secondo quanto riportato da Politico e ripreso dalla stampa italiana, il responsabile ad interim della CISA avrebbe caricato su una versione pubblica di ChatGPT documenti sensibili relativi a contratti governativi. L’episodio sarebbe emerso a seguito dell’attivazione di sistemi automatici di allerta predisposti per intercettare la perdita o la diffusione non autorizzata di informazioni federali.

I documenti in questione non risultavano formalmente classificati, ma includevano materiali contrassegnati come “For Official Use Only”, una dicitura che identifica informazioni destinate a rimanere all’interno dei canali governativi e non alla diffusione pubblica. L’uso di uno strumento di intelligenza artificiale “consumer”, accessibile a un numero elevatissimo di utenti, ha quindi determinato una potenziale fuga di informazioni (data leakage) e una perdita di controllo sul perimetro di circolazione dei contenuti, anche se non “secretati”.

La vicenda assume particolare rilievo perché l’utilizzo di ChatGPT sarebbe stato autorizzato in via eccezionale, mentre l’applicazione risultava ancora bloccata per la maggior parte dei dipendenti del Dipartimento per la Sicurezza Interna. Questo aspetto evidenzia un tema di governance interna: le eccezioni individuali, se non accompagnate da misure tecniche e regole operative coerenti, possono diventare un fattore di amplificazione del rischio.

AI nella PA e nelle aziende: “non classificato” non vuol dire “condivisibile”

Il caso riporta in primo piano un equivoco molto diffuso anche nelle organizzazioni italiane. La mancanza di classificazione formale non rende automaticamente lecita la condivisione esterna di un documento. Anche quando non sono presenti dati personali e il contenuto non è “secretato”, può trattarsi di informazioni riservate per natura, destinate a circolare esclusivamente in ambito interno.

È utile chiarire cosa si intende per “documento classificato”. In senso tecnico, la classificazione presuppone l’attribuzione formale di un livello di segretezza previsto da norme specifiche, tipicamente in contesti governativi o di difesa, con regole stringenti su accesso, conservazione e diffusione. Molte amministrazioni pubbliche e imprese italiane non adottano sistemi di classificazione strutturati o standardizzati. Questo però non significa che i documenti interni siano liberamente utilizzabili o condivisibili.

Esiste infatti un’ampia area di documentazione “non classificata” ma comunque riservata o delicata, come contratti, offerte economiche, capitolati, procedure interne, report tecnici, valutazioni di rischio, audit o piani di sicurezza. Nel caso statunitense, la dicitura “For Official Use Only” svolge proprio questa funzione: segnalare un divieto di diffusione esterna pur in assenza di una classificazione formale. In molte realtà italiane, il concetto è sostanzialmente equivalente ai documenti ad “uso interno” o soggetti a obblighi di riservatezza organizzativa o contrattuale.

Il punto operativo è chiaro. Caricare questo tipo di documentazione su strumenti di AI generativa pubblici comporta una perdita di controllo sull’informazione, difficoltà di cancellazione effettiva e rischio di riutilizzo dei contenuti, con possibili conseguenze sul piano della sicurezza, della governance e delle responsabilità interne.

ChatGPT pubblico e strumenti AI consumer: cosa cambia per riservatezza e controllo

L’utilizzo di piattaforme AI “consumer” implica che il trattamento dei contenuti e le modalità di gestione dipendano dalle condizioni del fornitore del servizio. Questo elemento, spesso sottovalutato, cambia radicalmente il perimetro di rischio rispetto a soluzioni enterprise o dedicate, dove esistono garanzie contrattuali, segregazione degli ambienti, controlli sugli accessi e, in generale, un maggiore presidio sul ciclo di vita di dati e documenti.

Anche in assenza di dati personali, l’uso non governato dell’AI generativa può determinare un’esposizione informativa incompatibile con obblighi di sicurezza, segreto d’ufficio o riservatezza contrattuale. In termini organizzativi, l’AI va trattata come un canale di uscita informativa. Se le regole non sono chiare e applicate, il rischio non è teorico ma operativo.

Indicazioni operative: policy e governance per ridurre la fuga di informazioni

Per ridurre il rischio di fuga di informazioni da strumenti di AI generativa, non è sufficiente vietare genericamente l’uso dell’AI. È necessario governarlo. In particolare:

  • distinguere in modo netto tra strumenti AI consumer e ambienti enterprise o dedicati;
  • includere prompt, allegati e output nelle policy di gestione documentale e di riservatezza;
  • vietare il caricamento di documentazione interna su servizi non contrattualizzati o non autorizzati;
  • prevedere misure tecniche e organizzative coerenti, inclusi controlli, logging e procedure di incident response;
  • formare anche figure apicali e ruoli autorizzati in deroga, spesso i più esposti al rischio.

Il caso CISA dimostra che il problema non riguarda solo la tecnologia, ma soprattutto regole, eccezioni e consapevolezza organizzativa. In questo contesto, “non classificato” non significa “sicuro da condividere”.

FAQ rapide

  • Un documento non classificato può essere caricato su ChatGPT pubblico? In generale no, se è ad uso interno o coperto da obblighi di riservatezza.
  • Che cosa significa “documento classificato” rispetto a “uso interno”? La classificazione è un livello formale di segretezza attribuito secondo regole specifiche. Molti documenti non classificati restano comunque riservati.

 

Cordiali saluti

Lo staff di iSimply

 

Per ulteriori informazioni è possibile contattarci tramite la e-mail info@isimply.it oppure al numero di telefono 0125 1899500

Altre news

Tracking pixel nelle e-mail: cosa prevedono le Linee guida del Garante privacy e cosa fare entro il 29 ottobre 2026

arrow_forward

NIS2: ACN pubblica le modalità di categorizzazione di attività e servizi

arrow_forward

Intelligenza Artificiale: pubblicata la norma UNI 11621-8 sui profili professionali

arrow_forward

NIS2: nuove Determine ACN. Adempimenti nuovi soggetti e accesso alla piattaforma

arrow_forward

Videosorveglianza e sinistri stradali: accesso ai filmati e rischi per i Comuni

arrow_forward