supersqualo
Privacy & Sicurezza

Email IA-assistite (Superhuman, Notion AI): chi legge davvero?

Superhuman, Notion AI, Shortwave, Spike. Email scritte e riassunte dall'IA in 2 secondi. Ma quei plugin leggono tutta la tua casella, mittenti, contenuti, allegati. E i segreti aziendali finiscono dove?

Di Super Squalo·6 min lettura
Nota. Premessa onesta: tengo le guide aggiornate quando ho tempo, ma l'IA cambia in modo così rapido che è impossibile garantire ogni dettaglio sempre attuale. Se qualcosa qui ti sembra strano o vecchio, scrivimi.

Lunedì mattina, ufficio. Hai installato Superhuman due settimane fa, e ti ha cambiato la vita: la posta arriva ordinata, l'IA ti scrive le risposte in due secondi, gli allegati vengono riassunti. Comodo. Solo che nessuno in azienda si è chiesto a chi hai dato l'accesso completo alla casella, dove finiscono le email dei clienti, e cosa succede ai contratti in allegato. Sei imprenditore o manager? Stai esponendo segreti aziendali, dati clienti e comunicazioni riservate a un fornitore terzo che non hai mai valutato.

Vediamo cosa rischi davvero e come si fa per davvero.

Il pasticcio in cui finisci se autorizzi senza leggere

Quando autorizzi un tool IA email (Superhuman AI, Notion AI per Gmail, Shortwave, Spike, Spark, estensioni Chrome che riassumono inbox), gli concedi permessi completi. Leggere, modificare, inviare, gestire etichette. Il fornitore accede a tutti i tuoi messaggi, li processa sui propri server (spesso americani), genera output e in alcuni casi conserva copia per migliorare il servizio.

Cosa entra nel tritacarne. Tutte le email ricevute e inviate. Tutti gli allegati: contratti, fatture, dati personali. Rubrica completa. Metadati su chi scrive a chi e quando. Bozze in corso. La tua casella diventa un libro aperto per il fornitore.

Casi recenti: aziende sanzionate in Europa per uso di plugin che mandavano dati a fornitori non valutati. 50mila-500mila euro per le PMI, milioni per le grandi. OpenAI 15 milioni dal Garante a dicembre 2024. La materia è viva.

Cosa NON puoi fare

Non puoi installare estensioni Chrome IA sconosciute che chiedono accesso completo a Gmail. Tre quarti di queste estensioni hanno scopi opachi.

Non puoi connettere Notion AI o un plugin generico ChatGPT alla casella aziendale senza una valutazione formale. Il fatto che "lo usano tutti" non è una valutazione.

Non puoi usare Superhuman e simili con email che contengono dati di clienti senza una valutazione d'impatto. Sei titolare del trattamento per i dati dei tuoi clienti, e se un fornitore terzo li legge devi avere una base solida.

Non puoi inoltrare email aziendali a una casella personale per "farle riassumere" su un servizio gratuito. È il modo più rapido per far uscire dati dal perimetro aziendale.

Non puoi permettere ai dipendenti di installare plugin IA sui PC aziendali senza approvazione IT. Il caso Samsung 2023 è partito proprio così: dipendenti che incollavano codice su ChatGPT per farsi aiutare, e l'azienda l'ha scoperto a danno fatto.

Cosa invece si può fare bene

Setup serio per email IA: tenant Microsoft 365 o Google Workspace aziendale con il modulo IA enterprise (i dati restano nel tenant aziendale, contrattualmente). Oppure: server email aziendale più modello IA aperto in ambiente privato europeo. Oppure ancora: plugin che processa email lato client, senza inviarle al fornitore.

In ogni caso: contratto di trattamento firmato col fornitore, lista dei subprocessori controllata, ambito OAuth ridotto al minimo, audit log accessi documentato. Se il tuo fornitore non ti dà il contratto chiaro o non ti dice chi sono i suoi subprocessori, il problema è lui, non tu.

Dal lato organizzativo. Politica IT scritta sugli strumenti IA email autorizzati. Lista degli strumenti installabili. Valutazione d'impatto per ogni nuovo strumento prima dell'adozione. Formazione vera ai dipendenti su "cosa puoi installare e cosa no". Audit periodico delle integrazioni OAuth attive sul tenant: ogni sei mesi rivedi chi ha accesso a cosa.

I paletti che non si toccano

Il segreto aziendale e industriale non si tutela da solo. Le tue email contengono trattative, prezzi, formule, codici, accordi di non divulgazione. Se esponi tutto questo a un fornitore terzo senza un contratto adeguato, perdi la tutela prevista dalla legge sui segreti industriali. Non è un dettaglio: è la fondamenta del valore della tua azienda.

Per i professionisti (avvocati, commercialisti, medici, notai) c'è anche il segreto professionale: esporre email di cliente a IA terze viola i codici deontologici e ti porta sanzioni dell'ordine. La Cassazione 28985 del 2019 sulla responsabilità professionale è un buon promemoria.

Trasferimento dati fuori Europa: anche se il fornitore dichiara "privacy first", controlla nel contratto dove sono i server e con quali subprocessori. Spesso scopri che il fornitore manda i dati a OpenAI o Anthropic in America. Senza adeguato livello di protezione, è violazione delle regole europee.

Una nota personale

Io di mestiere monto sistemi email IA in ambiente privato per aziende e professionisti italiani. Sul gruppo Telegram di Super Squalo (t.me/Squalogruppo) si parla di queste cose ogni giorno, e si risponde gratis. Se hai un dubbio su un'integrazione OAuth attiva o su un plugin che ti hanno installato l'anno scorso e nessuno ricorda perché, è il posto dove chiederlo.

Le email aziendali sono il tesoro nascosto della tua impresa. Tienilo nel tuo perimetro.

Hai un dubbio? Vieni a parlarne.

Gruppo Telegram aperto. Domande, opinioni, casi vissuti. Senza venditori e senza spam. Per consulenza personale o caso aziendale, usa il pulsante consulenza.

Entra nel gruppo TelegramRichiedi consulenza