# IA in azienda: cosa portiamo via dalla serata FER Ginevra

- Publication : 06/03/2026
- Temps de lecture : 7 min de lecture
- Auteur : Guillaume

Siamo stati fortunati a partecipare a una serata organizzata dalla **FER Ginevra** (Federazione delle Imprese Romande) in collaborazione con **The Good Token Society**, su un tema che ci tocca direttamente: *l'IA in azienda — comprendere, decidere, inquadrare*.

Due panel, una sala ben piena, relatori provenienti dal mondo tecnico, legale e istituzionale. Ecco cosa c'è da ricordare.

## I dati: dove vanno, cosa diventano

Questo è il punto di partenza imprescindibile. Quando un collaboratore pone una domanda a uno strumento di IA, i suoi dati vanno a un data center — spesso all'estero — per essere elaborati e tornano sotto forma di risposta. Semplice in apparenza. Ma le vere domande sono altrove:

- Sotto quale giurisdizione si trova questo data center?
- I dati vengono conservati, riutilizzati, utilizzati per addestrare il modello?
- Chi ha accesso e a quali condizioni legali?

Un punto spesso trascurato: anche se i tuoi dati sono *fisicamente* ospitati in Svizzera da un fornitore americano, rimangono soggetti al diritto americano — e potenzialmente accessibili alle autorità statunitensi. La geografia non è sufficiente.

La distinzione essenziale da fare prima di scegliere uno strumento: **il fornitore riutilizza i miei dati per addestrare il suo modello generale?** Se sì, perdi tutto il controllo. La risposta dovrebbe essere sistematicamente no — e garantita contrattualmente.

## Modelli proprietari vs open source: una falsa gerarchia

Si è a lungo creduto che i modelli proprietari (OpenAI, Anthropic, Google…) fossero incomparabilmente superiori ai modelli open source. Questo divario si sta riducendo molto rapidamente. I modelli open source — che provengano da Mistral in Europa o da laboratori asiatici — oggi raggiungono prestazioni comparabili in molti casi d'uso.

Il vantaggio dell'open source: puoi ospitarlo tu stesso, presso Infomaniak o sulla tua infrastruttura. **Il modello e i dati non lasciano il tuo perimetro.**

Per quanto riguarda i modelli cinesi (DeepSeek, ecc.): se sono ospitati nella tua infrastruttura in Svizzera, non c'è flusso di dati verso la Cina. Tuttavia, possono esistere pregiudizi politici su alcune questioni sensibili. In un contesto aziendale standard, la differenza è spesso marginale — e test alla cieca possono verificarlo oggettivamente.

Ultimo punto pratico spesso dimenticato: **non hai sempre bisogno di un grande modello.** Per il riconoscimento visivo, i sistemi di raccomandazione o la previsione mirata, modelli più piccoli, implementabili localmente, svolgono molto bene il lavoro — senza inviare alcun dato all'esterno.

## Governance: chi decide cosa in azienda?

Questo è l'argomento che genera più attriti in pratica. Senza un quadro chiaro, i collaboratori trovano le proprie soluzioni — e dati sensibili si ritrovano in strumenti non controllati. *Shadow AI* è già una realtà in molte aziende.

Al alcuni principi che emergono dai dibattiti:

- **Designare una persona di riferimento** per l'IA, anche in una piccola struttura. Le persone hanno bisogno di un interlocutore, non di un divieto.
- **Offrire un'alternativa sicura** piuttosto che vietare. Se i collaboratori hanno uno strumento interno altrettanto pratico di ChatGPT, lo utilizzeranno.
- **Formare prima di regolamentare.** La sensibilizzazione ai rischi (cosa succede quando si incolla del testo in un'interfaccia, cosa succede con i dati) è più efficace di una nota di servizio.
- **Adattare in base ai dipartimenti.** I bisogni, i rischi e i dati trattati non sono gli stessi tra un dipartimento HR, finanziario o R&D. Una politica unica e rigida non funziona.

La costruzione di una politica aziendale sull'IA deve essere **collaborativa**: partire dal terreno, identificare gli usi reali, i rischi percepiti e redigere regole attuabili — non un documento che nessuno legge.

## Il quadro giuridico: in costruzione, ma non inesistente

In Svizzera, attualmente non esiste una legge specifica sull'IA. La Confederazione ha firmato la convenzione quadro del Consiglio d'Europa (diritti umani, democrazia, stato di diritto), ma rimane su principi molto generali. Sono previsti aggiustamenti legislativi — Codice delle obbligazioni, legge sulla responsabilità per danno da prodotto — senza un quadro complessivo.

Ciò che esiste già e si applica:

- La **LPD** (legge sulla protezione dei dati) impone una base legale per qualsiasi trattamento di dati personali. I dati sensibili richiedono un consenso esplicito.
- Il **segreto commerciale** cessa di esistere non appena viene divulgato — anche a un fornitore di fiducia. Includerlo nella sfera di riservatezza di un fornitore richiede un accordo specifico, non solo condizioni generali.
- Le **condizioni generali** dei LLM meritano di essere lette. Ciò che contengono può sorprendere — e impegna l'azienda.

Per quanto riguarda il regolamento europeo sull'IA: può applicarsi alle aziende svizzere non appena hanno un effetto sul mercato europeo. Una PMI svizzera può, senza saperlo, assumere il ruolo di "distributore" ai sensi del regolamento europeo — con le obbligazioni che ne derivano.

Il messaggio degli avvocati presenti era chiaro: **agire prima, non dopo.** Una volta che i dati sono usciti dal tuo perimetro, non hai più molti leve — contrattuali o legali.

## Cybersecurity: l'IA industrializza le minacce esistenti

Le truffe e i tentativi di intrusione non sono nuovi. Ciò che cambia è la loro **scala e qualità**. Un'email di phishing redatta da un'IA non ha più gli errori di ortografia caratteristici che un tempo allertavano. Una voce sintetizzata a partire da pochi secondi di registrazione può imitare un direttore in modo molto convincente.

Le buone pratiche da implementare:

- Prestare attenzione ai metadati (mittente reale, dominio di invio) più che al contenuto
- Implementare processi di verifica per richieste sensibili (bonifici, accessi)
- Seguire gli avvisi del **Centro nazionale per la cybersicurezza (NCSC)**, che pubblica regolarmente le tendenze degli incidenti in Svizzera

Ciò che ieri era affare di grandi aziende mirate diventa progressivamente accessibile a qualsiasi attore malintenzionato — e colpisce organizzazioni di tutte le dimensioni.

## Cosa ci portiamo via

L'IA non è una minaccia né una soluzione miracolosa. È uno strumento potente che, come ogni strumento, deve essere scelto, configurato e inquadrato con attenzione. Le aziende che si comportano bene non sono quelle con i budget più grandi — sono quelle che pongono le domande giuste fin dall'inizio.

Grazie a FER Ginevra e a The Good Token Society per l'organizzazione, e ai relatori per la qualità degli scambi.

![IA in azienda: cosa portiamo via dalla serata FER Ginevra](https://www.mermio.ch/storage/50/conversions/01KK1V37HNYNPYCFCD434DC5PK-square.webp)

[Contattaci](http://www.mermio.ch/it/contact)