L’IA è qui per restare e le aziende stanno appena iniziando a capire come sfruttare la sua potenza per guidare il proprio business. Ogni giorno, le aziende si affrettano a integrare l’IA in innumerevoli flussi di lavoro: viene utilizzata per riassumere documenti, automatizzare report, creare analisi predittive e fornire supporto con i chatbot. Questi cambiamenti stanno avvenendo rapidamente e aprendo nuove porte per aziende grandi e piccole, ma stanno anche potenzialmente esponendo i preziosi dati proprietari delle aziende a nuovi rischi.

Quando le aziende rendono le loro informazioni riservate accessibili all’IA, non è sempre chiaro se queste informazioni potrebbero essere riutilizzate o indicizzate da modelli linguistici di grandi dimensioni (LLM) come dati di addestramento. Ci sono anche numerosi esempi di informazioni sensibili esposte inavvertitamente dagli strumenti di IA. Queste non sono semplicemente preoccupazioni per la privacy; sono rischi per la sicurezza che qualsiasi azienda deve considerare prima di utilizzare strumenti di IA sui propri file archiviati.

Come l’IA può mettere a rischio i tuoi file a tua insaputa

L’IA si è evoluta e diffusa a un ritmo esponenziale. Mentre la maggior parte delle persone ha più familiarità con i chatbot, come ChatGPT o Claude, le Big Tech hanno integrato sistemi di IA generativa in grado di ingerire, indicizzare e riassumere contenuti in servizi di fogli di calcolo, documenti ed email. Questa integrazione offre potenti capacità, ma introduce rischi significativi di cui poche persone sono consapevoli.

Secondo un sondaggio sulla sicurezza dell’IA del 2025(nuova finestra), Microsoft Copilot, che è incorporato in strumenti come Excel, Word e SharePoint, ha acceduto a quasi 3 milioni di record sensibili per organizzazione solo nella prima metà dell’anno. Ha anche rilevato che le organizzazioni hanno registrato una media di oltre 3.000 interazioni con Copilot in cui le informazioni aziendali sensibili avrebbero potuto essere esposte. E uno studio di Google ha affermato che il 90% dei lavoratori(nuova finestra) nel settore tecnologico utilizza l’IA per scrivere o modificare codice. Anche se questi numeri fossero gonfiati, le organizzazioni devono includere gli strumenti di IA nella loro identificazione delle minacce.

Questo è un nuovo tipo di rischio per la sicurezza. Questi file non sono stati condivisi esternamente. In effetti, potrebbero non essere stati condivisi affatto. Ma poiché erano archiviati in file a cui Copilot poteva accedere, le informazioni in essi contenute avrebbero potuto essere raccolte senza che gli utenti se ne rendessero conto.

Ciò può avere gravi ramificazioni. La polizia in Svizzera(nuova finestra) (fonte in francese) e l’FBI negli Stati Uniti(nuova finestra) sono già stati scoperti a utilizzare i log di ChatGPT come parte delle loro indagini. Se le aziende Big Tech sono un esempio, puoi aspettarti che le aziende di IA riceveranno presto centinaia di migliaia di richieste di dati dai governi di USA e UE, se non lo stanno già facendo.

L’archiviazione sicura dei dati è incredibilmente difficile quando gli strumenti di IA sono così profondamente incorporati nelle applicazioni che usi ogni giorno. I file archiviati nei drive aziendali diventano ricercabili, riassumibili e, in definitiva, vulnerabili, sfumando i concetti di sicurezza tradizionali di accesso, autorizzazione e supervisione.

E per quanto riguarda Google Workspace e Gemini?

Questi rischi non sono limitati a Microsoft Copilot. Google Workspace sta integrando in modo simile il suo strumento di IA, Gemini, direttamente in Drive, Fogli e Documenti.

Molte aziende probabilmente guarderanno a Google Workspace con l’integrazione di Gemini come una solida impostazione predefinita. Secondo il sito stesso di Google(nuova finestra): “I tuoi dati non vengono esaminati da esseri umani o utilizzati per l’addestramento di modelli di IA generativa al di fuori del tuo dominio senza autorizzazione”.

Tuttavia, le regole utilizzate da Google per acquisire informazioni per addestrare il suo sistema di IA sono delineate in un modo che crea una zona grigia e solleva domande:

  • Google ora utilizza effettivamente le chat dei consumatori e i caricamenti di file per addestrare Gemini per impostazione predefinita, a meno che non si scelga di disattivare l’opzione.
  • Le pagine di supporto di Google Gemini(nuova finestra) avvertono che le informazioni condivise con le sue app Gemini saranno esaminate da esseri umani e potrebbero essere utilizzate come set di dati per addestrare l’IA.
  • Nella sua spiegazione sulla privacy di Gemini, Google avverte gli utenti(nuova finestra) di non condividere informazioni riservate.
  • La documentazione aziendale lascia spazio all’interpretazione con frasi come “senza autorizzazione”.
  • I fornitori di sicurezza hanno segnalato condizioni in cui i dati aziendali potrebbero diventare input di addestramento, specialmente man mano che le funzionalità di IA diventano più strettamente integrate nell’archiviazione di file, nella ricerca e negli strumenti di flusso di lavoro.

Questa mancanza di chiarezza è preoccupante quando Gemini è integrato in Drive, Documenti e Fogli. Non è solo una questione di condivisione errata di file, ma di come questi file diventino inavvertitamente parte dei flussi di lavoro dell’IA. In che modo l’IA ingerirà, indicizzerà, analizzerà e archivierà i prompt o gli output, e quei log saranno ancora sotto il controllo della tua organizzazione?

Anche un sistema ben governato come Google Workspace non è privato ed è closed-source. Tali sistemi possono mitigare molti rischi, ma per le aziende che detengono dati altamente sensibili, il livello di fiducia richiesto potrebbe essere ancora troppo alto.

Come trovare un’IA privata per la tua azienda

Ogni file che carichi o condividi con un sistema abilitato all’IA estende la tua superficie di attacco. Il semplice caricamento di file nell’archiviazione cloud potrebbe esporre quei file all’addestramento dell’IA, a seconda del servizio e del piano. Se quei caricamenti vengono conservati, indicizzati o resi accessibili in modi di cui non sei a conoscenza o che non puoi controllare, il tuo valore proprietario è a rischio.

Prima che la tua azienda scelga uno strumento di IA, dovresti chiedere se puoi garantire che esso o il suo sistema di archiviazione file non conservino o espongano dati critici.

Ecco due richieste concrete che dovresti fare a qualsiasi strumento di IA aziendale:

  • Nessuna conservazione dei dati: il sistema di IA non dovrebbe registrare nei log o archiviare prompt, risposte o caricamenti di file oltre la sessione aziendale a meno che non sia esplicitamente richiesto, e quei log dovrebbero essere sotto il pieno controllo della tua azienda.
  • Nessun addestramento esterno: i dati della tua azienda (inclusi i file archiviati) non devono essere utilizzati per addestrare altri modelli al di fuori del dominio aziendale o condivisi tra i tenant.

Cosa puoi fare ora

Prima di poter scegliere gli strumenti giusti, devi valutare la tua situazione e assicurarti di non esporre già inavvertitamente dati sensibili:

  • Conduci un audit dei rischi dell’archiviazione file e IA: identifica tutti i drive condivisi, le cartelle del team e l’archiviazione cloud in cui si connettono gli strumenti di IA, quindi mappa quali strumenti ingeriscono o indicizzano quei file.
  • Definisci una Policy di governance chiara per l’ingestione di file nell’IA: specifica quali strumenti di IA sono approvati, quali tipi di file sono consentiti, se l’indicizzazione dei file del repository è disattivata, ecc.
  • Richiedi un fornitore/soluzione che offra un’IA privata con controlli rigorosi: scegli un assistente IA che offra “nessun log, nessun addestramento, nessuna condivisione” come base.
  • Monitora e limita la “shadow AI”, ovvero i singoli membri del tuo team che utilizzano l’IA al di fuori del quadro del tuo team di sicurezza, e i caricamenti di file non autorizzati negli strumenti di IA. Imponi ciò tramite prevenzione della perdita di dati e pratiche di gestione delle identità e degli accessi, nonché audit dei log.
  • Scegli un fornitore il cui modello di business non si basi sulla vendita o sull’estrazione di dati. Ciò garantisce che i suoi incentivi siano sempre allineati con il mantenimento della sicurezza dei tuoi dati.

Proton offre la produttività dell’IA senza rischi

Nessuna azienda vuole cedere inconsapevolmente le sue informazioni sensibili. Ecco perché gli strumenti Proton for Business sono costruiti attorno a una potente crittografia che ti mette al controllo di chi può accedere alle tue informazioni.

Proton Drive utilizza la crittografia end-to-end su tutti i tuoi file, quindi nessuno, nemmeno Proton, può accedervi a meno che tu non li condivida. Ciò impedisce che i tuoi file vengano esposti o utilizzati per addestrare l’IA. Proton Drive ti dà anche la possibilità di proteggere con password i link di condivisione o disattivare l’accesso con un solo clic, il che significa che mantieni il controllo.

Abbiamo anche creato Lumo for Business, un assistente IA privato che lavora solo per te, non il contrario. Senza log conservati e con ogni chat e file caricato crittografato, Lumo mantiene le tue conversazioni riservate e i tuoi dati completamente sotto il tuo controllo: mai condivisi, venduti o rubati.

In Proton, costruiamo tutti i nostri prodotti con la privacy by design. Le aziende dovrebbero essere in grado di archiviare file e utilizzare l’IA con fiducia, sapendo che le loro informazioni più sensibili rimangono protette.

A differenza delle Big Tech, Proton non guadagna vendendo i tuoi dati. Siamo supportati esclusivamente dalla nostra community, non dagli inserzionisti, e la nostra base in Europa, favorevole alla privacy, ci offre le protezioni legali per garantire che possiamo mantenere le nostre promesse. Soprattutto, siamo di proprietà della no-profit Proton Foundation, la cui unica missione è promuovere la privacy e la libertà.

Utilizzando Lumo for Business(nuova finestra), puoi godere dei vantaggi di un assistente IA avanzato senza il rischio che i tuoi dati vengano utilizzati in modo improprio.