supersqualo
Privacy & Sicurezza

Mistral server UE GDPR-compliant: confronto vs API Mistral cloud

Tu sai che Mistral è francese e quindi UE. Ma sai davvero cosa cambia tra usare la loro API cloud (la «Le Platforme») e installarti Mistral 7B/Large self-hosted? Ti racconto le differenze GDPR vere, dove finiscono i prompt, costi, e quando ha senso davvero il self-hosted.

Di Super Squalo·6 min lettura
Nota. Una avvertenza: il campo dell'IA evolve mese dopo mese. Aggiorno le guide periodicamente, ma alcuni dettagli tecnici possono andare velocemente fuori tempo. Per chiarimenti specifici, contattami.

Martedì mattina, riunione del comitato di direzione in una PMI italiana da ottanta dipendenti. Il tuo CEO ti chiede: "questo Mistral, quello francese, lo possiamo usare? È europeo, va bene per il GDPR". Tu come IT manager hai due risposte possibili. Risposta rapida: dipende. Risposta vera: il logo francese da solo non basta.

Ti racconto la differenza fra usare l'API cloud di Mistral (la loro "piattaforma") e installarsi Mistral sui propri server. Fa una bella distanza, e quasi sempre il cloud non è la scelta seria.

Il pasticcio in cui finisci se pensi "è francese, quindi GDPR a posto"

Mistral è una società francese, sede a Parigi, modelli aperti rilasciati anche in versione gratuita. Tutto vero. Quando però usi la loro API a pagamento — la "piattaforma" — i tuoi prompt finiscono sui server di Mistral. Sono server in Europa, ma non sono i tuoi. E il GDPR non guarda solo il continente, guarda chi è il titolare e chi è il responsabile del trattamento.

Quando mandi a un'API esterna i prompt che contengono dati di clienti, di pazienti, di pratiche, hai automaticamente un responsabile del trattamento. Va nominato per iscritto, va dichiarato nel registro dei trattamenti, va inserito nell'informativa. Se non lo fai, sei punto e a capo. Il Garante italiano negli ultimi anni ha sanzionato aziende proprio per questi pezzi mancanti. Synlab nel 2024 ha pagato 2,5 milioni.

Aggiungi un secondo problema: il GDPR ti obbliga a sapere per quanto tempo i dati restano sui server del fornitore, chi può accedervi, come sono cifrati. Mistral ha la sua privacy policy, è ragionevole, ma non è la stessa cosa che avere il dato dentro casa tua. Sono due livelli di controllo diversi.

Cosa NON puoi fare

Non puoi usare l'API cloud di Mistral con dati di clienti italiani senza nominarli responsabili del trattamento e senza aggiornare l'informativa.

Non puoi dare per scontato che "europeo = sicuro". Europeo è meglio di americano, ma il dato che esce dall'azienda resta dato che esce dall'azienda.

Non puoi usare l'API cloud per dati protetti da segreto professionale (avvocati, medici, commercialisti) sperando che basti la clausola contrattuale. Il segreto è una norma deontologica, e il fornitore esterno non lo conosce.

Non puoi ignorare il tema del backup e del log: chi cancella cosa, quando, e come dimostri di averlo fatto.

Cosa invece si può fare bene

Mistral pubblica i suoi modelli in versione aperta. Vuol dire che li puoi scaricare e installare sui tuoi server. Le versioni più piccole girano anche su un singolo server con una buona scheda video. Le versioni più grandi richiedono più potenza. Siamo comunque nell'ordine di una macchina ben messa, non di un data center.

Il vantaggio è netto: i prompt non escono mai dalla tua azienda. Il dato del cliente, l'email del paziente, la riga della cartella clinica, restano dove devono stare. Niente API esterne da nominare, niente informativa da aggiornare per terze parti, niente trasferimenti da giustificare.

L'API cloud ha senso solo per usi che non vedono dati personali. Vuol dire bozze di articoli generici, traduzioni di testi pubblici, riassunti di documentazione già di dominio pubblico. Per il resto, la regola è una sola: self-hosted.

Quando ha senso il cloud anche con dati interni: solo se il fornitore ti firma un contratto che limita la conservazione, garantisce la cancellazione, accetta audit. Mistral su questo è più collaborativa di altri, ma serve il contratto firmato, non la policy generica.

I paletti che non si toccano

Server in Europa, ma preferibilmente i tuoi. Cifratura in transito e a riposo. Audit log di chi usa il sistema e per cosa. Cancellazione automatica dei prompt dopo l'uso, salvo necessità documentate. Informativa al cliente o al paziente che dichiari l'uso di IA nei trattamenti.

Per chi tratta dati protetti per professione — sanità, legale, contabile — la scelta seria resta una sola: self-hosted. Non perché Mistral sia poco affidabile. È che la responsabilità verso il cliente resta tua, e l'unica strada per dormire tranquilli è non far uscire i dati. Lo si dice da anni, vale per ChatGPT, vale per Mistral, vale per qualsiasi altro fornitore.

Una nota personale

Io di mestiere monto sistemi IA privati per aziende italiane. Mistral self-hosted, modelli aperti, server in Europa, dato che non esce mai. Non vendo corsi, non vendo abbonamenti API, non vendo formule magiche. Se ti gira la testa fra cloud e self-hosted, sul gruppo Telegram di Super Squalo (t.me/Squalogruppo) ne parliamo, e si risponde gratis.

La domanda del CEO al comitato di martedì, intanto, sai come rispondere. Dipende, e quasi sempre la risposta seria è self-hosted.

Hai un dubbio? Vieni a parlarne.

Gruppo Telegram aperto. Domande, opinioni, casi vissuti. Senza venditori e senza spam. Per consulenza personale o caso aziendale, usa il pulsante consulenza.

Entra nel gruppo TelegramRichiedi consulenza