Copertina articolo: 𝗣𝗿𝗼𝗽𝗿𝗶𝗲𝘁𝗮̀ 𝗱𝗲𝗶 𝗱𝗮𝘁𝗶: 𝘀𝗶𝗰𝘂𝗿𝗲𝘇𝘇𝗮 𝗲 𝘃𝗮𝗻𝘁𝗮𝗴𝗴𝗶𝗼 𝗰𝗼𝗺𝗽𝗲𝘁𝗶𝘁𝗶𝘃𝗼

𝗣𝗿𝗼𝗽𝗿𝗶𝗲𝘁𝗮̀ 𝗱𝗲𝗶 𝗱𝗮𝘁𝗶: 𝘀𝗶𝗰𝘂𝗿𝗲𝘇𝘇𝗮 𝗲 𝘃𝗮𝗻𝘁𝗮𝗴𝗴𝗶𝗼 𝗰𝗼𝗺𝗽𝗲𝘁𝗶𝘁𝗶𝘃𝗼

di Pasquale Sicignano · 25 maggio 2026

ggi parlare di dati non significa parlare solo di tecnologia. Significa parlare di controllo, fiducia, sicurezza e vantaggio competitivo.

Ogni organizzazione produce e utilizza dati ogni giorno: informazioni sui clienti, processi interni, documenti riservati, report, strategie commerciali, codice sorgente, modelli decisionali, basi dati, contenuti generati dai dipendenti e informazioni condivise con partner o fornitori.

Questo patrimonio, se ben governato, diventa una leva di valore. Se invece viene condiviso senza controllo, può trasformarsi in un rischio concreto.

La proprietà dei dati non riguarda soltanto “dove” il dato viene conservato. Riguarda soprattutto chi può usarlo, per quali finalità, con quali limiti e con quali responsabilità.

Nel caso dei dati personali, ad esempio, il GDPR distingue tra soggetto interessato, titolare e responsabile del trattamento. Il titolare stabilisce finalità e mezzi del trattamento; il responsabile agisce per conto del titolare. Questo ci ricorda un principio importante: avere accesso a un dato non significa automaticamente poterlo utilizzare liberamente. [1]

Lo stesso vale per i dati aziendali non personali. Un’azienda può possedere un’informazione, ma deve comunque stabilire regole chiare su accessi, condivisione, conservazione, riutilizzo e protezione.

Il tema diventa ancora più delicato con cloud, AI generativa, API, piattaforme collaborative e fornitori esterni. I confini aziendali sono sempre più aperti. I dati non restano più solo dentro un server interno: viaggiano tra ambienti, strumenti, ecosistemi e soggetti diversi.

E qui nasce la vera domanda strategica: sappiamo davvero dove finiscono i nostri dati?

Il dato come asset competitivo

Non tutti i dati hanno lo stesso valore.

Alcuni possono essere condivisi per migliorare servizi, collaborare con partner, generare innovazione o alimentare nuovi modelli di business. Altri, invece, rappresentano un elemento distintivo dell’impresa e devono essere protetti con maggiore attenzione.

Pensiamo a una strategia commerciale, a un database clienti, a un algoritmo proprietario, a una roadmap di prodotto, a un modello di pricing, a un documento di gara o a un dataset usato per addestrare un sistema di intelligenza artificiale.

In apparenza, condividere un file o caricarlo su una piattaforma esterna può sembrare un gesto operativo. In realtà, può voler dire trasferire all’esterno una parte del modo in cui l’azienda pensa, decide e compete.

Il vantaggio competitivo nasce spesso proprio da questo: non solo dal dato in sé, ma dalla capacità di raccoglierlo, interpretarlo, proteggerlo e trasformarlo in decisioni migliori.

Se informazioni proprietarie vengono cedute senza criterio, quel vantaggio si riduce. Un concorrente, un fornitore o un attore malevolo potrebbe ricostruire logiche commerciali, processi interni, priorità strategiche o vulnerabilità operative.

Il rischio non è solo la riservatezza

Quando si parla di sicurezza dei dati, si pensa spesso alla riservatezza: evitare che un’informazione venga letta da chi non dovrebbe.

Ma oggi non basta più.

Un dato può essere copiato, ma può anche essere modificato. Può essere usato fuori contesto. Può essere combinato con altre informazioni. Può diventare la base per frodi, attacchi informatici, manipolazioni documentali o decisioni sbagliate.

Per questo, oltre alla confidenzialità, diventano centrali anche integrità e autenticità.

L’integrità riguarda la certezza che il dato non sia stato alterato.
L’autenticità riguarda la certezza della sua origine.

In un’organizzazione sempre più guidata da automazione e AI, questi aspetti diventano fondamentali. Se un sistema prende decisioni su dati incompleti, manipolati o non tracciabili, anche il risultato finale sarà fragile.

L’AI Act europeo si muove proprio in questa direzione: non guarda l’intelligenza artificiale solo come tecnologia, ma come sistema da governare in base al rischio, con particolare attenzione alla qualità, alla tracciabilità e alla gestione dei dati nei sistemi ad alto impatto. [2]

Tre casi reali da cui imparare

Un primo caso utile è quello di Samsung. Nel 2023, secondo diverse ricostruzioni, alcuni dipendenti inserirono informazioni interne e sensibili in strumenti di AI generativa, tra cui codice sorgente e contenuti di meeting. Samsung decise poi di limitare temporaneamente l’uso di questi strumenti sui dispositivi aziendali. [3]

La lezione è chiara: il problema non è l’AI in sé, ma l’assenza di regole chiare. Se le persone non sanno quali dati possono usare, dove possono inserirli e con quali strumenti, cercheranno comunque la soluzione più rapida. E la soluzione più rapida non sempre è quella più sicura.

Un secondo caso è Waymo contro Uber, una delle dispute più note sul tema dei segreti industriali. La controversia riguardava presunte informazioni riservate legate alla tecnologia per la guida autonoma. Il caso si concluse nel 2018 con un accordo da circa 245 milioni di dollari in azioni Uber e con l’impegno a non utilizzare informazioni proprietarie di Waymo. [4]

Qui emerge un punto importante: la proprietà dei dati e delle informazioni non è solo un tema legale. Può incidere direttamente su reputazione, valore economico, tempi di sviluppo e posizionamento competitivo.

Un terzo esempio riguarda MOVEit, piattaforma di file transfer colpita nel 2023 da una vulnerabilità sfruttata dal gruppo ransomware CL0P. Secondo CISA, la vulnerabilità CVE-2023-34362 fu sfruttata per compromettere sistemi e sottrarre dati da numerose organizzazioni. [5]

Questo caso mostra che il rischio non nasce solo dentro l’azienda. Può arrivare anche dalla supply chain digitale: software terzi, fornitori, piattaforme di scambio file, ambienti cloud e strumenti apparentemente “di supporto”.

Governare i dati senza bloccare l’innovazione

La risposta non può essere chiudere tutto. Sarebbe irrealistico e controproducente.

Le aziende hanno bisogno di collaborare, usare cloud, integrare sistemi, sperimentare l’AI, condividere dati con partner e costruire ecosistemi digitali.

La vera sfida è condividere bene.

Questo significa classificare i dati, distinguendo tra dati pubblici, interni, riservati, confidenziali e strategici. Significa definire chi è responsabile dei principali domini informativi. Significa limitare gli accessi secondo il principio del minimo privilegio. Significa usare accordi contrattuali chiari quando i dati vengono condivisi con terzi.

Significa anche formare le persone con esempi concreti, non solo con policy lunghe e astratte.

Dire “non caricare dati aziendali su strumenti non autorizzati” è utile, ma non basta. Bisogna spiegare cosa si intende per dato aziendale: codice, offerte commerciali, documenti interni, screenshot, verbali, liste clienti, report, architetture, credenziali, dataset e informazioni di progetto.

In questo senso, framework come il NIST Cybersecurity Framework 2.0 aiutano a leggere la cybersecurity non solo come un tema tecnico, ma come parte della governance e della gestione del rischio aziendale. [6]

Quando condividere e quando fermarsi

La condivisione dei dati è utile quando genera valore chiaro, avviene per finalità definite, dentro un perimetro controllato e con misure di protezione adeguate.

Può essere corretta per attività di ricerca, innovazione, benchmarking, manutenzione predittiva, interoperabilità, sviluppo di servizi o collaborazione tra organizzazioni.

Ma ci sono dati che richiedono un livello diverso di cautela: segreti industriali, strategie commerciali, codice critico, dati clienti, modelli proprietari, documenti di gara, roadmap non pubbliche, architetture di sicurezza e dataset che rappresentano un vantaggio competitivo.

Una domanda semplice può aiutare:

Se questa informazione finisse nelle mani sbagliate, potrebbe danneggiare clienti, reputazione, compliance, continuità operativa o posizione competitiva dell’azienda?

Se la risposta è sì, quella condivisione va limitata, protetta, contrattualizzata o evitata.

Conclusione

La proprietà dei dati non è più un tema da lasciare solo all’IT, al legal o alla compliance.

È una questione strategica.

Governare i dati significa sapere quali informazioni generano valore, chi ne è responsabile, dove circolano, chi può accedervi e quali rischi emergono quando vengono condivise.

Nel mercato attuale, i dati sono una delle basi della competitività. Proteggerli non significa rallentare l’innovazione. Significa creare le condizioni per innovare senza perdere controllo.



Fonti

[1] Commissione Europea, spiegazione del GDPR, principi del trattamento e ruoli di titolare/responsabile.
[2] Commissione Europea, AI Act e approccio basato sul rischio per sistemi di intelligenza artificiale.
[3] TechCrunch, caso Samsung e limitazione dell’uso di strumenti di AI generativa dopo la condivisione di dati interni sensibili.
[4] Reuters, accordo Waymo-Uber da circa 245 milioni di dollari nella controversia sui segreti industriali.
[5] CISA, advisory su CL0P, MOVEit Transfer e vulnerabilità CVE-2023-34362.
[6] NIST Cybersecurity Framework 2.0, funzione “Govern” e integrazione della cybersecurity nella gestione del rischio aziendale.
[7] Commissione Europea, Data Act: applicabile dal 12 settembre 2025 e pensato per chiarire accesso e uso dei dati nell’economia digitale europea.

Resta aggiornato su AI, governance e trasformazione digitale

📬 Esploriamo insieme AI e trasformazione digitale Condivido: - Riflessioni e articoli su governance e innovazione - Case study raccontati dal punto di vista pratico - Eventi e occasioni di confronto (online e offline) - Risorse utili che scopro lungo il cammino Una mail quando ho qualcosa di interessante da condividere. Niente vendite, solo contenuti.

Riceverai un'email per confermare la tua iscrizione.

← Torna agli articoli