supersqualo
Privacy & Sicurezza

PA e segreti d'ufficio su IA: art. 326 cp, responsabilità erariale

Sei dipendente PA, dirigente comunale, funzionario regionale, militare. Usare ChatGPT con dati d'ufficio è reato: art. 326 cp, rivelazione segreti d'ufficio. E poi c'è la Corte dei Conti.

Di Super Squalo·6 min lettura
Nota. Una cosa onesta: tengo aggiornate queste guide come posso, ma l'IA cambia talmente in fretta che alcuni dettagli potrebbero essere superati nel giro di pochi mesi. Se hai bisogno di sapere com'è la situazione adesso, scrivimi.

Mercoledì mattina, ufficio comunale. Sei dipendente di un comune, di una regione, di un ministero, dell'Agenzia delle Entrate, di una ASL, oppure militare. Sulla scrivania hai una bozza di delibera da sintetizzare, un decreto da riformulare, una graduatoria di concorso ancora da pubblicare. Apri ChatGPT e ti viene in mente di incollare la delibera per farti sputare un riassunto in tre righe.

Pessima idea. Il codice penale punisce la rivelazione di segreti d'ufficio fino a tre anni di reclusione. La Corte dei Conti può chiederti i danni di tasca tua. E il Garante non scherza.

Il pasticcio in cui finisci se incolli atti su ChatGPT

Carichi una delibera in bozza, una pratica edilizia, una graduatoria, un fascicolo personale di un dipendente, un atto giudiziario su ChatGPT consumer. Fai uscire dal perimetro della pubblica amministrazione dati che non sono tuoi. Sono dell'ente, e talvolta sono coperti da segreto.

Quei dati finiscono su server americani, fuori dal controllo dell'amministrazione, senza alcuna copertura giuridica.

Aggiungi le multe in Italia: OpenAI 15 milioni a dicembre 2024 per come gestiva i dati personali. Le pubbliche amministrazioni possono prendere fino a 20 milioni. E la tua personale responsabilità erariale c'è sempre.

Cosa NON puoi fare

Non puoi usare un account ChatGPT personale con la mail di lavoro o coi dati d'ufficio. Anche solo per "un riassunto rapido". Anche solo "per una volta".

Non puoi caricare allegati di pratiche su servizi IA gratuiti. Quelle pratiche contengono dati di cittadini. Non sono tuoi.

Non puoi trascrivere riunioni di giunta, consigli, sedute con tool di trascrizione cloud non qualificati. Ne escono dichiarazioni, valutazioni, posizioni politiche.

Non puoi installare estensioni IA sul PC d'ufficio senza autorizzazione del responsabile dei sistemi informativi. Quelle estensioni leggono cosa scrivi e cosa apri.

Non puoi far gestire un chatbot dello sportello cittadini da un fornitore che invia i dati fuori dall'Europa. La legge italiana sul cloud per la pubblica amministrazione è chiara.

Cosa rischi davvero

Sul piano penale c'è il reato di rivelazione di segreti. Da sei mesi a tre anni di reclusione, fino a cinque se c'è fine di profitto. È reato d'ufficio, parte da solo.

Sul piano economico c'è la responsabilità erariale. La Corte dei Conti può chiamarti a rispondere personalmente del danno causato all'amministrazione. Se la fuga di dati genera contenziosi, multe del Garante, riprogettazione di sistemi, paghi tu di tasca tua.

Sul piano del lavoro c'è il procedimento disciplinare, che può arrivare al licenziamento. E il dirigente che non vigila risponde a sua volta.

Cosa invece si può fare bene

L'IA in pubblica amministrazione si può usare, ma per bene. Tre cose chiare.

Prima cosa: cloud qualificato dall'agenzia italiana per il digitale, oppure modello open source montato dentro la rete dell'ente. I server stanno in territorio italiano, i dati sono classificati e tracciati. Conti, log, accessi: tutto loggato.

Seconda cosa: account istituzionali con autenticazione a due fattori. Niente account personali con la mail aziendale. Niente account aziendali condivisi tra colleghi.

Terza cosa: regole interne scritte e formazione obbligatoria per tutto il personale. Cosa si può chiedere alla macchina, cosa no, con quali strumenti. Mezz'ora di corso che vale anni di tranquillità.

E un punto operativo: prima di usare un nuovo strumento IA, valutazione di impatto sulla privacy fatta con il responsabile della protezione dei dati. Non è facoltativa.

I paletti che non si toccano

Server in Italia. Account istituzionali, mai personali. Documentazione di chi ha usato cosa, quando, con quali permessi. Mappa dei dati e classificazione delle informazioni: cosa è pubblico, cosa è riservato, cosa è segreto.

E un punto deontologico: tu sei un funzionario pubblico, hai prestato un giuramento. Quei dati non sono materiale tuo da "darsi una mano".

Una nota personale

Io di mestiere monto sistemi IA privati anche per enti italiani. Niente fornitori americani, niente cloud generici, niente promesse a vuoto. Sul gruppo Telegram di Super Squalo (t.me/Squalogruppo) si chiacchiera ogni giorno di queste cose, e si risponde gratis.

La delibera che dovevi sintetizzare, intanto, leggitela. Quattro pagine, ce la fai. ChatGPT lascialo stare, almeno questa volta.

Hai un dubbio? Vieni a parlarne.

Gruppo Telegram aperto. Domande, opinioni, casi vissuti. Senza venditori e senza spam. Per consulenza personale o caso aziendale, usa il pulsante consulenza.

Entra nel gruppo TelegramRichiedi consulenza