← Torna alla home
Home / / L’IA che sapeva troppo: come un chatbot ha sfiorato una multa da 20.000 euro
Copertina

L’IA che sapeva troppo: come un chatbot ha sfiorato una multa da 20.000 euro

18 June 2025 4 min. lettura

Una piccola azienda turistica del Nord Italia decide di innovare i propri servizi digitali.                                                                                                   
 Integra sul proprio sito un chatbot basato su ChatGPT, per rispondere in tempo reale alle richieste dei clienti.                                                                 

Prenotazioni, orari, rimborsi: tutto più veloce e tutto automatizzato. 
Un successo, almeno all’inizio.                                                                          

Pochi giorni dopo, arriva una mail inaspettata. 


 Un cliente scrive:                                                                                                  

“Come trattate i dati delle mie conversazioni con il chatbot?” 

La domanda è semplice. La risposta, molto meno.                                           

 

Nessuna informativa. Nessun controllo sui dati. Nessuna DPIA. 

Il chatbot era stato collegato tramite API di OpenAI. 
 Le conversazioni venivano salvate temporaneamente nel backend. 
 Nessun sistema per anonimizzare le chat. Nessun consenso esplicito richiesto. 

Eppure, alcune risposte generate dal chatbot contenevano: 

  • nomi e cognomi, 

  • indirizzi email, 

  • dati sanitari (ad esempio richieste su allergie o accessibilità).                      

 

Il tutto senza informare gli utenti. 
 Nessuna base giuridica era stata formalizzata. Nessuna valutazione dei rischi effettuata.                                                                                                    

Intervento immediato: audit legale e tecnologie sotto esame 

L’azienda si è rivolta a un team legale esperto in privacy e nuove tecnologie. 
 In pochi giorni sono state adottate misure concrete: 

  • Analisi tecnica del funzionamento del chatbot e delle API. 

  • Redazione di una nuova informativa trasparente, con riferimento all’intelligenza artificiale. 

  • Disattivazione della conservazione automatica delle conversazioni. 

  • Revisione del cookie banner e della gestione del consenso. 

  • Formazione interna sul trattamento dati in ambienti IA.                                 

 

Il chatbot è rimasto attivo, ma in condizioni conformi al GDPR. 

 

Un rischio reale, evitato per tempo 

Grazie a un’azione rapida e mirata, nessuna segnalazione è arrivata al Garante.                                                                                                            

La richiesta dell’utente è stata soddisfatta. 
 L’azienda ha salvaguardato la propria reputazione. 
 E ha potuto continuare a utilizzare la tecnologia, con maggiore consapevolezza.                                                                                                  

Cosa insegna questo caso 

Usare l’intelligenza artificiale, anche tramite fornitori esterni, non esonera l’impresa dalle proprie responsabilità. 
 Il titolare resta responsabile del trattamento (art. 24 GDPR). 
 È obbligatorio informare l’utente (art. 13). 
 E in molti casi, è fortemente consigliata una valutazione d’impatto (DPIA). 

Un chatbot può semplificare il lavoro. 
 Ma senza una verifica legale, può trasformarsi in un rischio. 

 

 A cura degli studenti sotto la Facoltà di Giurisprudenza e Ingegneria Informatica

 

Condividi

Articoli Correlati

12 September 2025 · Casi Studio

Phica.net: il portale della violenza digitale

Leggi l'articolo →

6 September 2025 · Casi Studio

Apple e il Digital Markets Act: il primo test europeo sul potere dei gatekeeper digitali

Leggi l'articolo →

6 August 2025 · Casi Studio

Un algoritmo ha deciso che non era italiana

Leggi l'articolo →