L'AI Act vale anche se uso solo strumenti gratuiti?

"Tanto in azienda non abbiamo licenze AI, le persone usano ChatGPT gratis. Quindi l'AI Act non ci tocca, no?"

Questa è probabilmente la fraintendimento più diffuso che troviamo nei workshop nelle PMI italiane. La risposta è no: l'AI Act vale eccome, anche se non hai pagato una licenza. Anzi, in molti casi usare strumenti gratuiti aumenta il rischio compliance invece di ridurlo.

In questo articolo: perché l'obbligo si applica, perché il "free" non è un riparo, e cosa fare se la tua azienda è in questa situazione.

TL;DR

• L'art. 4 AI Act parla di uso di sistemi AI, non di acquisto di licenze. Se i tuoi dipendenti usano ChatGPT gratis per lavoro, l'azienda è "deployer" e l'obbligo formativo si applica.
• I tool gratuiti non offrono garanzie di privacy aziendale: i dati possono essere usati per training, server fuori UE, nessun contratto B2B.
• Lo "shadow AI" (uso non autorizzato di tool gratuiti dai dipendenti) è il rischio numero uno per le PMI italiane nel 2026.
• Migrare a tool aziendali compliant + formare il personale costa meno di un singolo data breach.

Cosa dice l'art. 4 (riprendiamolo, breve)

L'art. 4 del Regolamento UE 2024/1689 obbliga chi usa sistemi AI a garantire un livello sufficiente di alfabetizzazione al proprio personale. Il regolamento non distingue tra:

• AI a pagamento o gratuita.
• AI sviluppata internamente o di terze parti.
• AI usata massivamente o sporadicamente.

L'unica cosa che conta è: viene usata in azienda? Se sì, l'obbligo formativo scatta.

Perché tutti pensano che il "free" non conti

Il fraintendimento nasce da un confondimento naturale: le aziende sono abituate a pensare che ciò che impatta la compliance siano solo "le cose che hanno un contratto". Software, fornitori, prestatori di servizi, tutti regolati da contratti. L'idea è: "se non c'è contratto, non c'è obbligo".

Per l'AI Act non funziona così. Il regolamento guarda l'uso effettivo: chi sta lavorando con AI, su quali dati, con quali risultati. Il fatto che ChatGPT sia gratuito è irrilevante per il regolatore.

I 3 motivi per cui i tool gratuiti aumentano il rischio

1. Nessun controllo sulla privacy

ChatGPT account gratuito (o Claude account gratuito, o Gemini gratuito, o qualunque tool AI gratuito):

• I prompt e le risposte possono essere usati per training. È nelle Terms of Service.
• Non c'è un Data Processing Agreement (DPA) con la tua azienda.
• I server sono prevalentemente extra-UE.
• Se un dipendente incolla un elenco clienti per "farsi aiutare", quei dati finiscono potenzialmente nel modello.

Risultato: un singolo dipendente può causare un data breach semplicemente facendo il suo lavoro con uno strumento "non costoso".

2. Nessun controllo aziendale

Account personali gratuiti sono invisibili all'IT. Non sai chi li usa, non sai cosa ci mettono dentro, non hai log, non hai audit trail.

In caso di incidente:

• Non puoi dimostrare cosa è stato fatto.
• Non puoi disabilitare l'accesso dell'ex dipendente.
• Non puoi rispondere a un controllo del Garante con dati certi.

Si chiama "shadow AI" e nel 2026 è il rischio numero uno nelle PMI italiane: il 70-80% dei dipendenti usa qualche tool AI gratuito per lavoro, ma quasi nessuna azienda lo sa con precisione.

3. Nessuna policy operativa applicabile

Senza un account aziendale, non puoi:

• Imporre standard di prompt sicuri.
• Bloccare l'incollaggio di dati personali.
• Definire quali tool sono ammessi e quali no.
• Generare report di utilizzo per audit interno.

La policy AI di azienda diventa una raccomandazione, non un controllo. E le raccomandazioni, sotto pressione di lavoro, vengono ignorate.

Cosa succede in caso di controllo

Mettiamo che tra 12 mesi un'autorità di vigilanza venga a controllare la tua azienda (Garante Privacy, AgID, autorità di settore). Le domande tipiche:

1. Quali sistemi AI usate in azienda? — Se rispondi "nessuno", ma l'ispettore parla con i dipendenti e scopre che 15 di loro usano ChatGPT ogni giorno, sei già in pessima posizione.
2. Avete fornito formazione AI Act al personale? — Se non hai attestati individuali, la risposta è "no", indipendentemente dalle buone intenzioni.
3. Avete una policy AI scritta? — Se non c'è, è un'altra carenza documentata.
4. Come gestite i dati personali nelle interazioni AI? — Senza account aziendali con DPA, non hai una risposta solida.

Una sequenza di "no" o "non sappiamo" è un'aggravante seria nella valutazione di responsabilità (vedi anche il primo caso italiano del marzo 2026).

Cosa fare se la tua azienda è in questa situazione

Probabilmente sei in questa situazione, è la più diffusa in Italia. Le 4 azioni in ordine di priorità:

1. Mappa lo shadow AI esistente (1 settimana)

Fai un sondaggio anonimo (no nomi) tra i dipendenti: chi usa quali tool AI per lavoro, con quale frequenza, su che tipo di task. Ti garantisco che i numeri ti sorprenderanno.

Tipico risultato in PMI italiana 50-100 dipendenti:

• 60-80% usa ChatGPT free almeno 1 volta a settimana.
• 30-40% usa ChatGPT free quasi tutti i giorni.
• 5-15% usa Claude gratis o altri tool.
• 2-5% paga di tasca propria un Plus per lavoro.
• 50-70% inserisce ogni tanto dati aziendali identificabili.

2. Formalizza l'uso AI con account aziendali (1 mese)

Sostituisci lo shadow AI con un setup ufficiale:

• Microsoft 365 Copilot se siete su Office (28 €/utente/mese, GDPR-by-design).
• ChatGPT Team o ChatGPT Enterprise per chi ha bisogno di GPT generico (~25 €/utente/mese).
• Claude Pro aziendale come alternativa o complementare.

Concentra le licenze sui dipendenti che ne hanno reale bisogno. Per gli altri vale il "non usare nulla per cose riservate".

3. Pubblica policy AI (1 settimana)

Una pagina, come spiegato qui. Nominale chiaramente: tool ammessi, regole d'oro, dati vietati, contatti per dubbi.

4. Forma il personale con attestato individuale (4-8 settimane)

Percorso e-learning di 3-5 ore con quiz e attestato. Documentato, riassegnabile a nuovi assunti, audit-ready.

Costo totale di questi 4 punti per una PMI di 50 persone: tipicamente 8.000-15.000 € all'anno, a regime. Costo di un singolo data breach causato da shadow AI: decine di migliaia di euro in sanzioni + danni reputazionali.

Il calcolo costa-beneficio è banale.

La mossa che vediamo funzionare meglio

Le PMI che gestiscono meglio questa transizione fanno tutte la stessa cosa: in un'unica giornata lanciano:

1. Mattina: workshop formativo per tutti (compresi i manager) con i casi pratici "cosa si può fare con AI in azienda".
2. Pomeriggio: comunicazione ufficiale dei tool aziendali ammessi + distribuzione policy in 1 pagina.
3. Settimana successiva: invito a fare il corso e-learning AI Act con attestato individuale entro 3 settimane.

Effetto sociale potente: tutti partono insieme, vedono che la cosa è seria, e nessuno si sente "controllato come bambino". La transizione da shadow AI a uso compliant avviene in 4-6 settimane senza traumi.

---

Hai shadow AI in azienda e vuoi metterlo a posto?

L'Assessment Compliance AI Act di IA in Azienda fa esattamente questo: mappiamo i sistemi AI in uso (compreso lo shadow), proponiamo i tool aziendali sostitutivi, scriviamo policy e documentazione, formiamo il personale con attestati individuali.

Scopri Assessment & Compliance · Vedi anche: Articolo 4 AI Act per le PMI