La lite pubblica tra il Dipartimento della Difesa americano e Anthropic ha avuto un effetto collaterale inatteso: ha riportato in superficie una domanda che nessuno ha ancora risposto in modo definitivo. La legge degli Stati Uniti consente al governo federale di usare l’intelligenza artificiale per condurre sorveglianza di massa sui propri cittadini? Secondo MIT Technology Review, la risposta non è affatto scontata.
La questione affonda le radici nelle rivelazioni di Edward Snowden del 2013, quando emerse che la NSA raccoglieva dati di comunicazione in modo massiccio e indiscriminato. Da allora, il quadro normativo americano è stato parzialmente riformato, ma le zone grigie sono rimaste numerose. L’arrivo di modelli AI capaci di analizzare enormi quantità di dati in tempo reale ha reso la domanda ancora più urgente: se raccogliere dati in massa era già problematico, usare l’AI per elaborarli a scala industriale lo è ancora di più, ma le leggi esistenti non erano state scritte pensando a questo scenario.
Il caso Anthropic è emblematico. La società ha preso posizioni pubbliche sulla questione dell’uso dei propri modelli per applicazioni militari e di sorveglianza, e questo ha generato attrito con il Dipartimento della Difesa. Ma al di là delle dinamiche tra le parti, la vicenda ha messo in luce che non esiste ancora una risposta legislativa chiara su cosa sia consentito e cosa no quando si tratta di AI applicata alla raccolta e all’analisi di dati su larga scala.
Per le aziende italiane e europee, questo dibattito ha una rilevanza indiretta ma concreta. I servizi AI che utilizziamo quotidianamente sono quasi tutti erogati da aziende americane, soggette alla giurisdizione degli Stati Uniti. Le leggi americane sulla sorveglianza, in particolare il FISA e le sue successive modifiche, consentono in determinate circostanze l’accesso governativo ai dati gestiti da aziende americane, anche quando quei dati riguardano cittadini stranieri. Il GDPR europeo e il Data Privacy Framework cercano di porre limiti a questo accesso, ma il quadro rimane complesso e oggetto di contenziosi legali ricorrenti.
Per un’azienda italiana che carica su servizi cloud americani documenti sensibili, dati di clienti o informazioni strategiche, la domanda non è puramente accademica. Non si tratta di cedere a scenari paranoici, ma di comprendere che le scelte infrastrutturali hanno implicazioni legali e di rischio che vanno oltre le funzionalità del servizio.
L’Unione Europea sta lavorando su questo fronte con il Cloud Rulebook e con iniziative come GAIA-X, ma i tempi di maturazione di alternative europee competitive sono ancora lunghi. Nel frattempo, la consapevolezza del contesto normativo in cui operano i propri fornitori tecnologici è parte integrante di una gestione responsabile del rischio aziendale.
Perche conta. Chiedete al vostro responsabile IT o al vostro consulente privacy dove risiedono fisicamente i dati che caricate sui principali servizi AI che usate in azienda. Verificate se i contratti con i vostri fornitori cloud includono clausole sul trasferimento dati verso gli Stati Uniti e se sono allineati con le indicazioni del Garante Privacy italiano. Non è un esercizio burocratico: è una verifica di rischio concreta.