Il 68% delle aziende europee usa AI generativa. La maggior parte invia dati a server americani.
Il dato arriva da un report McKinsey di fine 2025: quasi sette aziende europee su dieci hanno integrato strumenti di AI generativa nei propri processi. Ma la stragrande maggioranza lo ha fatto nel modo più rapido possibile, senza porsi troppe domande su dove finiscono quei dati.
Ogni prompt inviato a un LLM contiene informazioni. A volte sono dati anonimi, a volte sono email di clienti, bozze di contratti, report finanziari, strategie riservate. E nella maggior parte dei casi questi dati attraversano l'Atlantico, vengono processati su server negli Stati Uniti e restano soggetti alla giurisdizione americana.
Per un'azienda europea, questo non è solo un problema tecnico. È un problema normativo che diventa ogni mese più concreto. Il quadro regolatorio europeo su dati e AI si è evoluto rapidamente, e chi lo ignora si espone a rischi che vanno ben oltre le sanzioni.
Il quadro normativo: tre leggi che cambiano le regole del gioco
Chi adotta AI generativa in Europa deve fare i conti con tre pilastri normativi che, insieme, ridefiniscono cosa si può fare con i dati aziendali.
Il primo è il GDPR, che tutti conoscono ma pochi applicano davvero agli strumenti AI. Il punto critico è il trasferimento di dati personali fuori dall'Unione Europea. Per farlo serve una base giuridica solida: una decisione di adeguatezza, le Standard Contractual Clauses (SCC) o un Data Processing Agreement (DPA) con il fornitore. Chi vuole approfondire come questo si applica a Claude, può leggere il nostro articolo su compliance e privacy.
Il secondo è la sentenza Schrems II della Corte di Giustizia UE, che nel 2020 ha invalidato il Privacy Shield e ha stabilito un principio chiaro: le SCC da sole non bastano se il paese di destinazione non offre protezioni equivalenti a quelle europee. Il Data Privacy Framework del 2023 tra UE e USA ha parzialmente risolto il problema, ma la sua stabilità resta incerta e molti giuristi lo considerano vulnerabile a un futuro Schrems III.
Il terzo è l'AI Act, il regolamento europeo sull'intelligenza artificiale entrato in vigore ad agosto 2024 con applicazione progressiva. Le disposizioni sulle pratiche vietate sono operative da febbraio 2025, quelle sui modelli di AI per uso generale (GPAI) da agosto 2025, e l'applicazione completa per i sistemi ad alto rischio scatta a partire da agosto 2026. Per le aziende che usano LLM, l'AI Act introduce obblighi di trasparenza, governance e documentazione che non si possono improvvisare.
A questi si aggiunge il Data Governance Act, operativo dal 2023, che crea un framework per la condivisione sicura dei dati tra organizzazioni. Non riguarda direttamente gli LLM, ma contribuisce a definire il contesto in cui operano.
Cosa cambia l'AI Act per chi usa LLM in azienda
L'AI Act classifica i sistemi AI in base al rischio. La maggior parte delle aziende che usa Claude o altri LLM per analisi documenti, supporto decisionale o automazione rientra nella categoria a rischio limitato. Ma la linea è sottile.
Se il sistema AI viene usato per valutare l'affidabilità creditizia di un cliente, selezionare candidati, o prendere decisioni che impattano i diritti delle persone, si entra nel territorio dell'alto rischio. E lì gli obblighi diventano pesanti: valutazione di conformità, documentazione tecnica dettagliata, sorveglianza umana, gestione dei rischi e registrazione in un database europeo.
Anche per gli usi a rischio limitato, l'AI Act richiede trasparenza: le persone devono sapere quando interagiscono con un sistema AI, e l'azienda deve poter documentare come il sistema funziona e quali dati utilizza.
Per i modelli di AI per uso generale come Claude, l'AI Act impone ai provider obblighi specifici: documentazione tecnica, policy sul copyright, trasparenza sui dati di addestramento. Anthropic, come provider, deve rispettare questi obblighi. Ma l'azienda che integra Claude nei propri processi ha le sue responsabilità: deve valutare il rischio del proprio caso d'uso specifico e documentare le misure adottate.
Il punto chiave è che non basta firmare un contratto con il provider. L'azienda è responsabile di come usa il sistema, non solo di chi lo fornisce.
Vuoi adottare AI generativa con i dati in Europa?
30 minuti per discutere il tuo caso specifico.
Le opzioni concrete: dal DPA all'inferenza privata
Le aziende europee hanno diverse opzioni per adottare AI generativa rispettando la normativa. Si possono organizzare su una scala crescente di protezione.
Il livello base è l'accesso via API con DPA e SCC. Anthropic offre un Data Processing Agreement conforme al GDPR per i clienti API. I dati vengono processati sui server di Anthropic, ma con garanzie contrattuali di non-addestramento e retention limitata. È sufficiente per molti casi d'uso, ma i dati attraversano comunque l'Atlantico.
Il secondo livello sono i piani Claude enterprise con garanzie contrattuali rafforzate: SSO, audit log, policy di retention personalizzabili, supporto dedicato per i team legali. Per chi vuole un quadro completo delle opzioni di integrazione, c'è la nostra guida su come integrare Claude.
Il terzo livello è il deployment su cloud EU. Attraverso Google Cloud Vertex AI (regione EU) o AWS Bedrock (Francoforte), è possibile utilizzare i modelli Claude con la garanzia che i dati non lascino mai il territorio europeo. L'infrastruttura è del cloud provider, ma la data residency è europea. Per molte aziende in settori regolamentati, questa è la soluzione ottimale.
Il quarto livello è Cowork 3P: l'inferenza avviene attraverso il cloud provider dell'azienda, le conversazioni restano sul dispositivo locale, nessun dato transita verso Anthropic. È l'opzione che offre il massimo controllo sulla sovranità del dato, perché combina la potenza del modello con un'architettura in cui l'azienda mantiene il possesso completo dei propri dati.
Cinque cose da fare oggi, senza aspettare l'enforcement
L'applicazione completa dell'AI Act per i sistemi ad alto rischio arriva ad agosto 2026. Ma aspettare l'ultimo momento è una strategia perdente, per almeno due ragioni: primo, le disposizioni sui modelli GPAI e sulle pratiche vietate sono già operative; secondo, adeguarsi richiede tempo, competenze e cambiamenti organizzativi che non si improvvisano.
Ecco cosa fare adesso.
Mappa gli usi AI nella tua organizzazione. Fai un censimento di tutti gli strumenti di AI generativa utilizzati, da chi, con quali dati e per quali finalità. Non puoi gestire quello che non conosci.
Classifica il rischio di ogni caso d'uso. Usa le categorie dell'AI Act: rischio inaccettabile, alto, limitato, minimo. Per ogni uso ad alto rischio, avvia la valutazione di conformità.
Verifica i contratti con i provider AI. Hai un DPA? Include le SCC? Il provider si impegna al non-addestramento sui tuoi dati? Se usi Claude via API, queste garanzie ci sono. Se usi strumenti consumer, probabilmente no.
Valuta l'architettura di data residency. Per i dati più sensibili, considera il deployment su cloud EU o l'inferenza privata. Il costo aggiuntivo è modesto rispetto al rischio normativo e reputazionale.
Documenta tutto. L'AI Act richiede documentazione tecnica, registri di utilizzo, valutazioni del rischio. Inizia adesso a creare questi documenti, anche in forma semplificata. Quando arriverà l'enforcement, avrai già la struttura.
La sovranità del dato è un vantaggio competitivo
C'è un modo sbagliato di affrontare questa questione: vederla come un costo, un ostacolo burocratico, l'ennesimo adempimento europeo che rallenta l'innovazione.
E c'è il modo giusto: capire che la sovranità del dato è un vantaggio competitivo. Le aziende europee che adottano AI generativa con architetture conformi possono farlo con fiducia, scalare senza rischi legali e differenziarsi rispetto a concorrenti che hanno costruito sull'urgenza senza pensare alla sostenibilità.
I clienti, soprattutto in settori come finanza, sanità, legal e pubblica amministrazione, stanno iniziando a chiedere garanzie sulla gestione dei dati anche quando coinvolgono strumenti AI. Chi può dimostrare un'architettura solida ha un vantaggio commerciale concreto.
Maverick AI lavora con aziende italiane ed europee su questo: aiutiamo a scegliere l'architettura giusta, dal piano enterprise al deployment su cloud EU fino all'inferenza privata, in base al profilo di rischio e alle esigenze operative specifiche.
Parliamone. Una chiamata di trenta minuti basta per capire qual è l'opzione giusta per la vostra situazione.