Una VM aziendale che ospita un assistente AI multi-utente non è un sito web con qualche dato in più da proteggere. È un imbuto in cui passano documenti reali di lavoro, e da quell'imbuto i dati escono verso un fornitore di modello linguistico che vive da qualche parte, sotto qualche legge, con qualche certificazione. La domanda che conta non è "il modello è bravo", ma "chi tratta i miei dati, dove, per quanto, e posso dimostrarlo". Questo testo mette in fila le risposte: i cinque fornitori principali, cosa vuol dire davvero avere le carte in regola, e cosa cambia per chi quei modelli li usa per conto di clienti.
Quando si parla di conformità di un fornitore di intelligenza artificiale si mescolano cose diverse, e tenerle separate è metà del lavoro. Ci sono le leggi, che valgono che tu lo voglia o no: il GDPR per il trattamento dei dati personali, e il nuovo Regolamento europeo sull'intelligenza artificiale, l'AI Act, che dal due agosto 2025 impone obblighi ai fornitori di modelli generalisti. Ci sono poi le certificazioni volontarie, che sono il modo in cui un'azienda dimostra di fare sul serio: la famiglia ISO 27001 per la sicurezza delle informazioni, la più recente ISO 42001 specifica per i sistemi di gestione dell'intelligenza artificiale, e la SOC 2, l'attestazione di matrice statunitense che spesso viene chiesta insieme alla ISO.
Sono assi diversi e un fornitore può essere fortissimo su uno e scoperto su un altro. La ISO 27001 ti dice che gestiscono bene la sicurezza in generale; la ISO 42001 ti dice che hanno un sistema di governo specifico per l'IA, ed è una credenziale ancora rara. La SOC 2 è un'attestazione, tecnicamente non una certificazione, ma nella sostanza copre lo stesso terreno della 27001. Il GDPR non si certifica: lo si rispetta tramite un contratto di trattamento dati, le clausole contrattuali standard per i trasferimenti fuori dall'Unione, e una catena di fornitori a valle dichiarata e tracciabile.
Anthropic, la casa di Claude, è oggi la più completa sul fronte delle certificazioni. Ha la ISO 27001 nella versione 2022, ha la SOC 2 sia di tipo uno che di tipo due, ha firmato la versione integrale del Codice di Condotta europeo per l'AI Act, e soprattutto è l'unica dei cinque ad avere la ISO 42001, quella specifica per la gestione dell'intelligenza artificiale, emessa all'inizio del 2025. Il suo limite è geografico: l'API diretta di Anthropic gira su infrastruttura statunitense e non offre alcuna opzione di residenza europea. Per avere i dati in Europa bisogna consumare Claude attraverso un cloud certificato, tipicamente Amazon Bedrock nelle regioni europee oppure Google Vertex.
Google, con Gemini e la piattaforma Vertex, ha una posizione quasi speculare. Ha la ISO 27001 e in più la ISO 27701, che certifica la gestione dei dati personali, ha la SOC 2, ha firmato il Codice di Condotta integrale, e soprattutto offre la residenza europea in modo nativo: i dati possono restare in Olanda, Francia, Germania o Belgio configurando l'endpoint giusto. Le manca, almeno tra ciò che è pubblicamente verificabile, la ISO 42001. In compenso pubblica la lista dei suoi sub-fornitori con nome, paese e servizio, e si impegna a dare un preavviso di trenta giorni prima di cambiarli: esattamente la tracciabilità che una certificazione ISO 27001 ti chiede di documentare a valle.
Mistral è il caso interessante. È un'azienda europea, francese, e questo dà al suo posizionamento una pulizia che gli altri non hanno: i modelli sono nativamente disponibili nell'Unione, con cloud a Parigi e nessun trasferimento verso paesi terzi necessario. Ha la SOC 2 di tipo due, la ISO 27001 e la 27701. Anche a lei, allo stato attuale delle verifiche, manca la ISO 42001 confermata. Ma per un cliente europeo con un vincolo di sovranità dei dati, Mistral è semplicemente la strada con meno attriti: non c'è nessuna questione di trasferimento extra-europeo da gestire, perché i dati non escono.
xAI, con Grok, è più indietro. Ha la SOC 2 di tipo due e un contratto di trattamento dati con le clausole standard, e questo già la mette davanti a chi non ha nulla. Ma le certificazioni ISO non sono pubbliche, vivono dietro un trust center accessibile solo sotto accordo di riservatezza, e sul fronte europeo xAI ha fatto una scelta netta: ha firmato soltanto il capitolo "sicurezza" del Codice di Condotta dell'AI Act, rifiutando pubblicamente le sezioni su trasparenza e copyright, che ha definito dannose per l'innovazione. Non offre residenza europea. Per un cliente che fa leva sulla ISO 27001 e sulla sovranità, Grok è debole proprio dove servirebbe forte.
DeepSeek, infine, è fuori gioco, e va detto senza giri di parole. Il servizio ufficiale raccoglie e conserva i dati su server in Cina, dove la legge locale sulla protezione delle informazioni personali e quella sulla cybersicurezza danno alle autorità un diritto di accesso ampio. Non ha certificazioni ISO o SOC pubbliche. E il trenta gennaio 2025 il Garante italiano, con il provvedimento numero trentatré, ha imposto una limitazione definitiva al trattamento dei dati degli utenti italiani da parte delle due società cinesi che gestiscono DeepSeek, per assenza delle garanzie richieste dal GDPR sul trasferimento extra-europeo e per la mancanza di un rappresentante nell'Unione. L'unico modo legittimo di usare DeepSeek in questo contesto è far girare i pesi del modello, che sono aperti, su un'infrastruttura europea controllata: ma è una cosa completamente diversa dal chiamare la sua API ufficiale.
Se si guarda solo la colonna delle certificazioni si rischia di leggere male tutto. Il fattore che decide davvero non è quale logo ISO ha il fornitore, ma dove e come lo consumi. Claude, da solo, sull'API diretta, non è una soluzione europea. Ma Claude consumato attraverso Bedrock nelle regioni europee lo diventa, e in quel caso vale il contratto di trattamento del cloud, i dati restano a Francoforte o a Parigi, e né il cloud né Anthropic conservano i prompt o li usano per addestramento. Lo stesso ragionamento vale per Mistral via Azure, o per Gemini via Vertex europeo.
La conformità europea, per metà dei fornitori, non viene dal fornitore ma dal cloud certificato attraverso cui lo raggiungi. Scriverlo nero su bianco è la differenza tra un documento corretto e un documento che mente.
Questo significa anche che la scelta del fornitore e la scelta dell'infrastruttura sono lo stesso problema, non due problemi separati. Una agenzia che serve clienti dovrebbe per questo standardizzare su un solo percorso a residenza europea, invece di mescolare fornitori con regimi diversi, perché ogni regime diverso è una valutazione d'impatto e un set di clausole contrattuali in più da mantenere.
Tutto questo poggia su un impianto giuridico preciso. Per i fornitori americani, Anthropic e Google, il trasferimento dei dati dall'Europa agli Stati Uniti è retto dall'EU-US Data Privacy Framework, la decisione di adeguatezza che la Commissione europea ha adottato il dieci luglio 2023. Quel quadro è nato come risposta alla sentenza Schrems II del 2020, che aveva fatto cadere il precedente accordo perché non proteggeva abbastanza dai programmi di sorveglianza statunitensi. Il nuovo framework ha retto la prima sfida davanti al tribunale europeo nel 2025. Accanto ad esso, e spesso insieme, si usano le clausole contrattuali standard come meccanismo di trasferimento.
Va detta una cosa che spesso si dimentica: quelle clausole, da sole, non bastano. Dopo Schrems II chi trasferisce dati resta titolare di una responsabilità propria, e deve fare una valutazione d'impatto sul trasferimento. Il fornitore ti dà lo strumento contrattuale, ma la valutazione del rischio resta in capo a te. Per la Cina, nel caso DeepSeek, questo meccanismo semplicemente non esiste: non c'è decisione di adeguatezza, non ci sono le garanzie dell'articolo quarantaquattro del GDPR, ed è precisamente questo che ha portato al blocco del Garante.
Scegliere il fornitore giusto è metà del lavoro. L'altra metà è presidiare l'infrastruttura mentre gira, e qui i piani sono tre, perché rispondono a domande diverse. Il primo è la salute della macchina: che i servizi siano su, che le risorse non saturino, che gli errori siano tracciati, che gli accessi siano solo di chi deve. Questo si guarda in tempo reale per le cose critiche come l'uptime e i tentativi di accesso falliti, ogni giorno per i backup, ogni settimana per le patch e i certificati, ogni mese per la prova di ripristino, che è la cosa che tutti dimenticano: un backup che non hai mai provato a ripristinare non è un backup.
Il secondo piano è il ciclo di vita dei dati verso il fornitore. Che la cancellazione automatica avvenga davvero al tempo previsto, che cosa viene immesso nei prompt, se la lista dei sub-fornitori è cambiata, se la regione di elaborazione è ancora quella giusta, se i contratti sono validi e i log sono integri ed esportabili. La regola d'oro qui è una sola: dato un qualunque risultato prodotto dall'AI, deve essere sempre ricostruibile chi lo ha richiesto, su quali dati, in quale paese sono passati e con quale base giuridica. Se quella catena si spezza, nessuna certificazione la rimette insieme.
Il terzo piano è quello che gli amministratori di sistema dimenticano sempre: cosa scrivono gli utenti dentro l'AI. Non basta che la macchina sia sicura, conta cosa ci si immette. Servono segnalazioni automatiche continue sul contenuto fuori policy e sui tentativi di aggirare i limiti del modello, e una revisione umana a campione, settimanale, perché l'automatismo segnala ma una persona qualifica. E serve un report sintetico periodico per ogni utenza, che è esattamente ciò che è stato chiesto di costruire e inviare con cadenza settimanale.
L'ultima parte è anche la più delicata, perché non è tecnica ma di responsabilità. C'è un uso pienamente legittimo: stendere, sintetizzare, tradurre documenti interni; analizzare dati di cui l'azienda è titolare con una base giuridica già esistente; farsi aiutare con il codice o la ricerca; preparare bozze di comunicazioni da rivedere prima di mandarle. C'è una zona grigia che richiede attenzione: i dati personali di terzi, come clienti o candidati, si possono trattare solo se la base giuridica è documentata e i dati sono ridotti al minimo; le categorie particolari, come la salute o le opinioni, sono di norma vietate salvo una base specifica; e qualunque cosa incida su una persona deve sempre passare per una decisione umana, mai automatica.
E c'è ciò che non si fa e basta: inserire credenziali o segreti, caricare interi archivi di dati personali per vedere cosa risponde il modello, immettere dati sensibili senza base giuridica, tentare di aggirare i limiti, generare contenuti illeciti o molesti, far uscire dati dal perimetro attraverso integrazioni non controllate, o usare l'output come unica base di una decisione legale o sul personale senza che un essere umano l'abbia rivista. Sulla generazione di codice in particolare la regola è netta: l'AI produce abbozzi e stub da verificare a mano, non codice che va in produzione senza che qualcuno lo abbia letto.
Tradotto in cose concrete, dalla call e dalla mail di recap, ci sono cinque fronti aperti. Il primo è anagrafico e immediato: mandare al team sicurezza la lista degli utenti oggi attivi e congelare l'attivazione di nuovi accessi fino a nuovo avviso. Il secondo è il report settimanale sull'utilizzo, da configurare e far arrivare al team sicurezza per la revisione, ed è proprio il terzo piano di monitoraggio descritto sopra che diventa operativo.
Il terzo fronte è il più scomodo ed è bene affrontarlo per quello che è: è stato chiesto il documento con le condizioni contrattuali sottoscritte con DeepSeek riguardo al GDPR e alla non conservazione dei dati. La verità è che quelle condizioni DeepSeek non può fornirle, perché i suoi server sono in Cina, non offre un contratto di trattamento adeguato ed è formalmente bloccato dal Garante. La risposta onesta al team sicurezza non è produrre un documento che non esiste, ma spiegare perché non esiste e usarlo come argomento per il quarto fronte: l'offerta commerciale per il passaggio a una soluzione in cloud privato con server in Europa. E qui Mistral entra di diritto tra i fornitori da rimettere alla prova con l'infrastruttura attuale, perché è la risposta più pulita proprio alla domanda sulla sovranità. Il quinto fronte, infine, è la roadmap di prodotto a breve e medio termine, da condividere per dare al gruppo un orizzonte.
Il filo che tiene insieme tutto è uno solo. Una macchina sicura è il requisito minimo, non il traguardo. Un assistente AI interno si governa solo se si presidiano insieme i tre piani, l'infrastruttura, il viaggio dei dati verso il fornitore, e il comportamento di chi lo usa. E la scelta del fornitore, alla fine, non si gioca su chi ha il modello più brillante, ma su chi può metterti per iscritto dove finiscono i dati e dimostrartelo. Su quella domanda, oggi, l'Europa la vince Mistral, gli americani la vincono solo passando dai loro cloud certificati, e chi non sa rispondere è già fuori.