supersqualo
Privacy & Sicurezza

Slack/Teams + IA = data exposure: integrazioni e log

Slack AI, Teams Copilot, Notion AI integrato in Slack. Tutta la cronologia chat passa per modelli IA. Compresi messaggi privati, file allegati, decisioni strategiche. Vediamo dove e con quali rischi.

Di Super Squalo·6 min lettura
Nota. Avvertenza: il mondo dell'IA si muove velocissimo. Aggiorno le guide regolarmente ma non sempre in tempo reale. Se vedi un'informazione che ti sembra superata, fammelo sapere così la rivedo.

Mercoledì pomeriggio, riunione direzione. Il responsabile IT entra contento: "abbiamo attivato Microsoft Copilot su tutto il workspace, da domani è disponibile". Tutti applaudono. Tu, che fai il direttore HR, alzi la mano: "anche sui canali risorse umane?". Silenzio nella stanza. Sì, anche su quelli. Inclusa la chat dove la settimana scorsa hai discusso con il legale i licenziamenti del prossimo trimestre.

Te la racconto come va davvero, sotto lo strato di marketing patinato.

Il pasticcio in cui finisci attivando l'IA su Slack o Teams

Slack AI, una volta attivato, accede a tutti i messaggi dei canali in cui è presente, inclusi i messaggi diretti se l'amministratore lo ha consentito. Microsoft Copilot indicizza email, chat, file su SharePoint e OneDrive. Le integrazioni di terze parti (Notion AI, Zapier, plugin custom) ricevono token con permessi ampi.

Tradotto: cronologia completa dei canali pubblici e privati, messaggi diretti fra dipendenti, file caricati (contratti, bilanci, dati clienti), thread HR, legale, finanza, metadati su chi parla con chi e quando, perfino le reazioni emoji. Tutto dentro al motore IA. Il default è permissivo.

Il Garante italiano ha già sanzionato aziende per attivazione di questi tool senza la valutazione d'impatto obbligatoria. Le sanzioni cumulate fra privacy europea e legge IA arrivano fino a 20 milioni di euro. Non sono cifre da prendere a ridere.

Cosa NON puoi fare

Non puoi attivare Slack AI o Copilot su tutto il workspace senza la valutazione d'impatto privacy. È trattamento nuovo, serve base giuridica, serve informativa aggiornata.

Non puoi permettere installazioni libere di app IA dal marketplace di Slack o Teams. Ogni dipendente che installa concede dati che poi non controlli più.

Non puoi ignorare i controlli a distanza dei lavoratori. Riassunti automatici delle attività dei dipendenti, scoring di produttività, classificazione delle conversazioni: rientrano nello Statuto dei Lavoratori. Serve accordo sindacale o autorizzazione dell'Ispettorato.

Non puoi usare bot IA di terze parti senza valutarne le condizioni d'uso, la sede dei dati, i sub-fornitori. Molti girano i dati a server americani.

Non puoi caricare contratti e bilanci in canali generali raggiunti dall'IA. Segreto aziendale a rischio.

Cosa invece si può fare bene

Setup corretto, in cinque mosse pratiche.

Inventario completo delle integrazioni IA attive sul workspace. Te lo fai con l'admin in mezz'ora. Spesso scopri cose che non sapevi nemmeno fossero attive.

Disabilitazione di Slack AI o Copilot nei canali sensibili: HR, legale, finanza, dirigenza. Si fa a livello di amministrazione, non rallenta il resto dell'azienda.

Whitelist delle app autorizzate, blocco delle installazioni libere da parte dei dipendenti. Una telefonata all'IT, dieci minuti di configurazione.

Tenant enterprise con dati in Europa e clausola contrattuale chiara con il fornitore. Non costa di più, basta scegliere bene il piano.

Per analisi avanzate: server IA privato con accesso limitato a canali specifici. La cosa che fa la differenza è il logging: chi ha guardato cosa, quando.

I paletti che non si toccano

Mappatura dei canali con classificazione di sensibilità, valutazione d'impatto privacy prima di attivare l'IA su tutto il workspace, informativa ai dipendenti aggiornata e firmata. Per il monitoraggio della produttività, accordo sindacale: senza, sei fuori legge.

Sistema di prevenzione perdita dati attivo: blocco upload di file riservati su canali esposti all'IA. Audit periodico delle app integrate. Procedura di uscita: quando un dipendente esce, gli togli subito gli accessi IA. Banale, ma il 50% delle aziende non lo fa.

Una cosa che ricordo sempre: Samsung nel 2023 ha vietato ai dipendenti l'uso di ChatGPT dopo che alcuni ingegneri ci avevano incollato codice riservato. La storia l'ha raccontata Bloomberg. Quella stessa dinamica, su Slack o Teams, è ancora più pericolosa: i dati ci sono già, l'IA li legge senza che nessuno se ne accorga.

Una nota personale

Faccio governance IA per aziende italiane, spesso medie, che si trovano Copilot attivato dall'IT senza sapere bene cosa significhi. Niente corsi, niente seminari da quattro ore. Sul gruppo Telegram di Super Squalo (t.me/Squalogruppo) si parla di casi reali e si risponde gratis.

L'attivazione di Copilot, intanto, mettila in pausa. Una settimana di valutazione vale dieci anni di rogne dopo.

Hai un dubbio? Vieni a parlarne.

Gruppo Telegram aperto. Domande, opinioni, casi vissuti. Senza venditori e senza spam. Per consulenza personale o caso aziendale, usa il pulsante consulenza.

Entra nel gruppo TelegramRichiedi consulenza