ChatGPT in azienda: guida pratica 2026 (GDPR, Garante, alternative sovrane)

Q: Si può disattivare completamente la retention su ChatGPT Enterprise?

Su Enterprise si può negoziare Zero Data Retention per workspace specifici — le conversazioni non vengono conservate oltre la sessione. OpenAI lo concede tipicamente per settori regolati (banche sotto vigilanza Banca d'Italia, assicurazioni IVASS, settore pubblico) e volumi importanti. Su Team è più rigido: la retention di 30 giorni per sicurezza si applica. Questa retention deve essere documentata nel registro dei trattamenti (articolo 30 GDPR) e coerente con le durate previste per il trattamento principale — il Garante ha posto questo punto al centro delle sue ispezioni 2024-2025.

Q: Microsoft Copilot è ChatGPT?

Non esattamente. Microsoft 365 Copilot si basa sui modelli di OpenAI (GPT-4o, o3) ospitati su Azure OpenAI Service. Il quadro contrattuale è diverso: il contratto è con Microsoft Ireland, non con OpenAI. DPA Microsoft, impegno EU Data Boundary per la maggior parte dei dati, integrazione nativa con Microsoft 365. Per le organizzazioni italiane già standardizzate su Microsoft, Copilot è spesso preferibile a ChatGPT diretto — ma il rischio residuo di trasferimento USA persiste, perché Microsoft come gruppo statunitense rimane soggetta al CLOUD Act.

Q: I GPT personalizzati sono sicuri sui dati aziendali?

Su ChatGPT Team ed Enterprise, i GPT personalizzati sono privati al workspace e i loro prompt di sistema non trapelano agli utenti finali. Due punti di attenzione. Uno, le query degli utenti raggiungono i modelli di OpenAI, quindi DPA, retention e trasferimento si applicano normalmente. Due, un GPT personalizzato non è un controllo di accesso ai dati — se è collegato a una base di conoscenza interna, l'autorizzazione va verificata alla fonte, altrimenti qualunque utente del workspace può recuperare ciò che è indicizzato.

Q: ChatGPT è vietato in Italia?

Non più. Il Garante per la protezione dei dati personali ha bloccato temporaneamente ChatGPT in Italia il 30 marzo 2023 per assenza di base giuridica e mancata protezione dei minori — il primo blocco mondiale del servizio. OpenAI ha ripristinato l'accesso ad aprile 2023 dopo aver introdotto modifiche. Successivamente, nel dicembre 2024, il Garante ha sanzionato OpenAI per 15 milioni di euro per quadro di trasparenza inadeguato e trattamento illecito dei dati durante l'addestramento dei modelli. In parallelo, Replika è stata sanzionata per 5 milioni di euro nel 2025. ChatGPT è oggi utilizzabile in Italia, ma il Garante è la voce europea più aggressiva su questo tema — qualsiasi deployment aziendale italiano si svolge sotto stretta vigilanza.

Q: Qual è l'alternativa più solida a ChatGPT per un'impresa italiana?

Mistral Le Chat Enterprise per la maggior parte dei casi d'uso business (redazione, sintesi, estrazione, classificazione, traduzione, vision via Pixtral) su uno stack europeo ospitato su Scaleway — eliminazione del rischio di trasferimento USA, conformità GDPR facilitata, tariffe spesso più vantaggiose (15-25 € per utente al mese contro 25 USD per ChatGPT Team). Per casi d'uso tecnici molto avanzati, GPT-4o e o3 mantengono un leggero vantaggio che si riduce ogni trimestre. Per la PA italiana, valutare anche soluzioni qualificate AGID/ACN.

Q: Quanto costa un deployment ChatGPT in azienda per 100 utenti?

Per ChatGPT Team (~25 USD per utente al mese): circa 28.000 € all'anno per 100 utenti, IVA esclusa e implementazione esclusa. Per ChatGPT Enterprise (~50-60 € per utente al mese, negoziabile in base all'impegno): 60.000 a 72.000 € all'anno. Aggiungere costi di implementazione (policy d'uso IA, formazione iniziale documentata ai sensi dell'articolo 4 del Regolamento IA, configurazione SSO e log di audit, DPIA se applicabile): 15.000 a 40.000 € il primo anno. Costo di esercizio annuo: 10.000 a 20.000 €. Confronto con Mistral Le Chat Enterprise sullo stesso perimetro: 18.000 a 30.000 € all'anno per 100 utenti.

Risposta rapida: si può usare ChatGPT in un’azienda italiana nel 2026?

Sì, ma a condizioni stringenti. Tre regole non negoziabili.

Mai ChatGPT consumer (gratuito o Plus) su dati professionali non pubblici. Le condizioni di OpenAI riservano l’uso commerciale conforme alle versioni Team ed Enterprise — usare un account personale su dati clienti viola sia le condizioni di OpenAI sia il GDPR. Per l’Italia, la consapevolezza è alta: il Garante ha sanzionato OpenAI per 15 milioni di euro nel dicembre 2024 per trasparenza inadeguata — il riferimento europeo più forte sulla materia.
ChatGPT Team o Enterprise con un Data Processing Agreement firmato per gli usi business correnti: DPA disponibile, disattivazione nativa dell’addestramento, log lato amministratore, SSO su Enterprise.
Installazione locale (on-premise, sui propri server con Mistral o Llama) o cloud sovrano non appena i dati sono sensibili (sanità, segreto professionale, segreto industriale, dati della PA italiana) — vedi la nostra guida LLM locale in azienda.

Il rischio strutturale che resta — anche su ChatGPT Enterprise — è il trasferimento UE-USA inquadrato dal Data Privacy Framework (DPF), un accordo destinato a mettere in sicurezza tali trasferimenti ma contestato giuridicamente (la Corte di giustizia europea ha già invalidato i suoi due predecessori nel 2015 e 2020). Per le organizzazioni che vogliono eliminare questo rischio, l’alternativa europea (Mistral Le Chat Enterprise) è generalmente più adatta — ed è una posizione che il Garante italiano sostiene di fatto attraverso le sue indicazioni sulle “misure aggiuntive” richieste dopo Schrems II.

Il caso italiano: il Garante è il riferimento europeo

L’Italia non è un mercato come gli altri sul fascicolo ChatGPT. Il Garante per la protezione dei dati personali è l’autorità di controllo più aggressiva del continente sull’IA generativa, con una serie di azioni che hanno fissato giurisprudenza europea.

30 marzo 2023 — Provvedimento di limitazione provvisoria del trattamento (n. 112). Il Garante blocca ChatGPT in Italia, primo blocco mondiale del servizio. Motivazioni: assenza di informativa adeguata agli utenti e a tutti gli interessati i cui dati sono raccolti da OpenAI; assenza di base giuridica per la raccolta massiva e l’archiviazione di dati personali a fini di addestramento; inesattezza dei dati personali trattati; assenza di filtro per età, esposizione di minori a risposte non adatte. ChatGPT torna disponibile il 28 aprile 2023, dopo l’introduzione di modifiche da parte di OpenAI (informativa estesa, opt-out training, verifica dell’età).

Dicembre 2024 — Sanzione a OpenAI di 15 milioni di euro. Il Garante conclude l’istruttoria avviata nel 2023. Sanzioni: trattamento dei dati personali per addestrare ChatGPT senza una base giuridica adeguata; violazione del principio di trasparenza e degli obblighi di informativa; mancata notifica della violazione dei dati subita nel marzo 2023. OpenAI è inoltre obbligata a una campagna di comunicazione istituzionale di sei mesi su radio, televisione, giornali e internet.

2025 — Sanzione a Replika di 5 milioni di euro. Il Garante sanziona la società Luka Inc., editrice del chatbot relazionale Replika, per assenza di base giuridica, mancata verifica dell’età degli utenti e progettazione che incoraggia l’uso da parte di minori. Un chiaro segnale: l’IA generativa applicata a contenuti sensibili (relazionali, intimi) è zona ad alto rischio sanzionatorio.

Per un’azienda italiana, questo significa: ogni deployment ChatGPT si svolge sotto la vigilanza dell’autorità europea più severa sulla materia. Quadro contrattuale, DPIA, formazione e policy d’uso non sono opzionali — sono il minimo per resistere a una potenziale ispezione del Garante.

Perché questo argomento, ora

Tre cose sono cambiate tra il 2024 e il 2026 sul terreno di ChatGPT in azienda in Italia.

Una, le offerte enterprise sono davvero maturate. ChatGPT Team ed Enterprise hanno guadagnato strumenti admin (SSO completo, log di audit, controllo della retention), e il DPA OpenAI è diventato negoziabile sui volumi importanti. La frontiera “ChatGPT non è per le imprese” è caduta — a condizioni.

Due, la posizione del Garante e l’AI Act hanno precisato gli obblighi: alfabetizzazione IA, trasparenza, DPIA per certi usi. Il quadro è ormai chiaro, e il Garante ha mostrato — con la sanzione da 15 milioni a OpenAI — che l’enforcement è reale.

Tre, la concorrenza europea si è installata. Mistral Le Chat Enterprise non era credibile nel 2023; lo è nel 2026. Il mercato italiano predilige le offerte Team e Plus per le PMI (la spina dorsale economica del paese), mentre Enterprise resta concentrato su grandi gruppi quotati e settori regolati. La scelta “ChatGPT vs alternativa sovrana” è diventata un vero arbitraggio.

Il calcolo è cambiato: usare ChatGPT in un’azienda italiana è fattibile e conforme, ma non è più la scelta predefinita — è una scelta che si confronta e si giustifica davanti a un’autorità particolarmente vigile.

Tre usi molto diversi che si chiamano tutti “ChatGPT”

Prima di qualunque decisione, eliminare l’ambiguità della parola “ChatGPT”. Quattro offerte distinte coesistono nel 2026, sugli stessi modelli tecnici ma con quadri contrattuali radicalmente diversi.

Offerta	Tariffa	DPA	Retention	Hosting	Adatta a
ChatGPT (gratuito)	0	No	Variabile, addestramento attivo per default	USA	Solo uso personale
ChatGPT Plus	22 €/mese	No	Come gratuito	USA	Solo uso personale
ChatGPT Team	~25 USD/u/mese	Standard	30 giorni, no addestramento	USA (regionale limitato)	PMI, team 5-150 u (cuore del mercato italiano)
ChatGPT Enterprise	~50-60 €/u/mese (negoziabile)	Rinforzato	Configurabile, ZDR possibile	USA (regionale configurabile)	Grandi gruppi, settori regolati

Sul solo criterio tecnico, le quattro offerte girano sugli stessi modelli (GPT-4o, o3-mini, ecc.). La differenza è interamente contrattuale e organizzativa. È il quadro, non la tecnologia, a rendere ChatGPT utilizzabile in azienda.

Rischio 1 — La fuga via account personale

È il rischio più diffuso e più sottovalutato. Un dipendente apre ChatGPT Plus con il proprio account personale e ci incolla un’email cliente, un brief HR, o una nota strategica. Il dato:

Esce dal perimetro dell’organizzazione
È trattato da OpenAI senza DPA
Può alimentare il modello (addestramento attivo per default su account personale)
Non è più tracciabile lato impresa

Conseguenza GDPR: trasferimento non controllato di dati personali, senza base giuridica né quadro contrattuale. Se il Garante ispeziona, è una violazione diretta degli articoli 5, 28 e 32 GDPR. La sanzione di 15 milioni a OpenAI nel 2024 fissa il livello di rigore.

Mitigazione: vietare formalmente tramite una policy d’uso IA, proporre un’alternativa ufficiale (account ChatGPT Team / Enterprise o Mistral Le Chat Enterprise), formare i team a distinguere.

Rischio 2 — Il trasferimento verso gli Stati Uniti

Anche su ChatGPT Enterprise, i server principali di OpenAI sono negli USA. Il Data Privacy Framework (DPF) legalizza tecnicamente questo trasferimento dal luglio 2023, ma resta contestato. Il Garante, allineato con BfDI tedesca, raccomanda misure supplementari nonostante l’adozione del DPF — ed è esplicitamente intervenuto su questa esigenza nei suoi provvedimenti 2024-2025.

Conseguenza pratica: se il DPF cade (Schrems III), tutti i trattamenti in corso su ChatGPT diventano giuridicamente precari. Le organizzazioni che non hanno anticipato dovranno migrare con urgenza. Vedi la nostra guida IA e GDPR e la nostra guida IA sovrana.

Rischio 3 — La retention delle conversazioni

Per default, OpenAI conserva le conversazioni 30 giorni in chiaro per ragioni di sicurezza (rilevazione abusi). Su ChatGPT Enterprise, questa retention è negoziabile e può scendere a 0 giorni per certi workspace. Su Team, è meno flessibile.

Conseguenza GDPR: questa retention deve essere documentata nel registro dei trattamenti, coerente con le durate previste per il trattamento principale, e auditable. Molte organizzazioni omettono questa iscrizione e creano una violazione dell’articolo 5.1.e — un punto specifico contestato dal Garante alle organizzazioni ispezionate.

Rischio 4 — L’inesattezza algoritmica su persone identificabili

ChatGPT allucina. Quando queste allucinazioni riguardano una persona identificabile (un candidato descritto come inadatto a torto, un cliente accreditato di opinioni inventate, un avvocato a cui si attribuisce una giurisprudenza fabbricata), è una violazione diretta dell’articolo 5.1.d GDPR (esattezza). Il Garante italiano ha già sanzionato OpenAI su questo fondamento nel 2024 — l’inesattezza dei dati personali era esplicitamente menzionata nel provvedimento del marzo 2023.

Mitigazione: vietare formalmente la generazione di contenuti identificativi su persone senza rilettura umana, policy d’uso che ricordi questo punto, registro degli incidenti tracciato.

ChatGPT Team vs Enterprise vs alternativa europea: matrice di decisione

Per la maggior parte delle organizzazioni italiane, la scelta si fa su un arbitraggio semplice tra tre opzioni.

Criterio	ChatGPT Team (~25 USD/u/mese)	ChatGPT Enterprise (~50-60 €/u/mese)	Mistral Le Chat Enterprise (~15-25 €/u/mese)
DPA	Standard	Rinforzato	Nativo
Addestramento sui dati	Disattivato	Disattivato	Mai
Hosting	USA (regionale limitato)	USA (configurabile)	Francia (Scaleway)
Dipendenza DPF	Sì	Sì	Nessuna
SSO / controlli enterprise	Limitati	Completi	Disponibili
Log di audit	Basici	Avanzati	Disponibili
Vision e multimodale	Sì	Avanzato	Pixtral
Ecosistema (GPT, plug-in)	Condivisione interna	Esteso	In costruzione
Performance grezza	GPT-4o, o3-mini	GPT-4o, o3-mini	Mistral Large
Esposizione vigilanza Garante	Alta	Media (con ZDR)	Bassa
Sovranità giurisdizionale	No	No	Sì

Albero di decisione

Quali dati?
│
├── Solo dati business non sensibili
│   └── Volume utenti?
│       ├── < 50 → ChatGPT Team O Mistral Le Chat Enterprise
│       └── 150+ → ChatGPT Enterprise O Mistral Le Chat Enterprise
│
├── Dati personali europei in volume
│   └── Mistral Le Chat Enterprise (elimina rischio DPF e contenzioso Garante)
│
├── Settore finanziario sotto vigilanza Banca d'Italia / IVASS / Consob
│   └── Microsoft 365 Copilot via Azure OpenAI O Mistral Le Chat Enterprise
│
└── Dati regolati (sanità, PA italiana, difesa, segreto professionale)
    └── On-premise (Mistral self-hosted, Llama 3) o provider qualificato AGID/ACN

7 best practice per un deployment ChatGPT in Italia

1. Validare l’offerta adatta al volume. Team ≤ 150 utenti, Enterprise oltre. Tariffa Enterprise negoziabile in base all’impegno annuale.

2. Firmare un DPA e archiviarlo. Non solo il DPA OpenAI — i DPA dei suoi sub-responsabili (Microsoft Azure per l’hosting, ecc.) devono essere tracciati. Conservare le versioni datate. Il Garante li chiederà in caso di ispezione.

3. Disattivare esplicitamente l’addestramento. Su Team / Enterprise, è disattivato per default. Verificare nella console admin e conservare uno screenshot come prova.

4. Configurare SSO e logging centrale. Per Enterprise, integrare SSO (Okta, Microsoft Entra) e attivare i log di audit. Senza questo, la tracciabilità per utente è debole.

5. Iscrivere il trattamento al registro. Finalità (“assistenza IA generativa alla produttività”), base giuridica (legittimo interesse generalmente, con LIA documentata), dati trattati, durata di conservazione, sub-responsabili, trasferimenti extra UE. Senza iscrizione, violazione dell’articolo 30 GDPR.

6. Diffondere una policy d’uso. Documento corto, opponibile, che precisi quali dati sono autorizzati, quali vietati, e quale procedura seguire in caso di incidente. Vedi la nostra guida alla carta IA in azienda.

7. Formare i team. L’AI Act (articolo 4) impone un’alfabetizzazione IA documentata. Senza formazione, l’organizzazione è esposta sia sul GDPR sia sull’AI Act. Vedi la nostra guida alla formazione IA in azienda.

Gli usi in cui ChatGPT eccelle davvero

Non tutti gli usi sono equivalenti. Dove ChatGPT (Team o Enterprise) offre un valore reale nel 2026:

Redazione marketing e comunicazione esterna — tono, fluidità, gestione dei vincoli di formato
Aiuto alla generazione di idee e brainstorming — variazione, strutturazione, controargomenti
Sintesi di trascrizioni lunghe (riunioni, conferenze) con o3-mini su contesto lungo
Generazione di codice strutturato (in particolare via GPT personalizzati Code Interpreter)
Analisi di immagini (vision avanzata GPT-4o) per casi d’uso prodotti, design, accessibilità
Aiuto alla traduzione su lingue meno comuni — Mistral è eccellente in italiano e francese, GPT-4o copre meglio le lingue asiatiche

Gli usi da proibire o riconsiderare

Decisioni automatizzate su persone (HR, scoring, accesso): l’articolo 22 GDPR le vieta, salvo eccezioni strette. Sempre prevedere una revisione umana documentata.
Dati medici identificativi: salvo quadro AGID/ACN stringente, da evitare.
Segreto professionale (avvocato sotto Codice deontologico forense, medico, commercialista, bancario): rischio deontologico diretto, da proibire salvo caso esplicitamente autorizzato.
Comunicato stampa non rivisto: rischio di allucinazione e citazione fabbricata — sempre rileggere prima della pubblicazione.
Generazione di contenuto giuridico opponibile: un contratto, una clausola, una nota giuridica generata da IA e usata senza rilettura umana implica la responsabilità dell’organizzazione.

Ciò che rifiutiamo di promettere

Tre antipattern ricorrenti che evitiamo in DPLIANCE quando inquadriamo un uso IA in azienda.

“Firmiamo ChatGPT Enterprise ed è conforme.” No. Il contratto non basta. Servono anche: la policy d’uso opponibile, la formazione degli utenti (articolo 4 AI Act), l’iscrizione al registro, la DPIA se applicabile, la procedura di incidente. Senza questi mattoni, il contratto da solo è una carta che non regge davanti a un’ispezione del Garante.

“Passiamo interamente a ChatGPT, è lo strumento più conosciuto.” Notorietà non è pertinenza. Per la maggior parte degli usi italiani/europei, Mistral Le Chat Enterprise è ormai a parità funzionale, con un vantaggio netto sulla sovranità e un costo spesso più basso. Il riflesso giusto nel 2026: confrontare i due sul vostro caso d’uso reale prima di fissare la scelta.

“Possiamo inviare tutti i dati di business, OpenAI non li usa per addestrare.” Vero su Team/Enterprise, ma incompleto. Il vero tema non è l’addestramento — è il trasferimento fuori UE. Finché i server sono negli USA, il rischio DPF resta. Per dati personali su larga scala, è atteso un transfer impact assessment documentato, e la migrazione verso un’alternativa sovrana resta raccomandata — soprattutto in Italia, dove il Garante è particolarmente attento a questo punto.

FAQ

La mia azienda paga già ChatGPT Plus per i dipendenti — va bene?

No. ChatGPT Plus rimane un account individuale soggetto alle condizioni consumer. Senza DPA, senza impegno universale di non addestramento, senza registrazione centralizzata, senza autenticazione aziendale. Per uso business su dati professionali non pubblici, passare a Team o Enterprise è il minimo. Continuare su Plus è una violazione diretta degli articoli 5, 28 e 32 GDPR — e il Garante ha sanzionato OpenAI per 15 milioni di euro nel dicembre 2024 per problematiche analoghe sul perimetro consumer.

ChatGPT Enterprise è certificato per il Sistema Sanitario Nazionale?

No. Ad aprile 2026 ChatGPT Enterprise non rispetta i requisiti AGID per i dati sanitari identificativi. Per dati sanitari identificativi: deployment on-premise o provider qualificato AGID/ACN. Vedi la nostra guida IA in sanità.

Si può disattivare completamente la retention su ChatGPT Enterprise?

Su Enterprise si può negoziare Zero Data Retention. Su Team si applica la retention di 30 giorni. Va documentata nel registro dei trattamenti.

Microsoft Copilot è ChatGPT?

Non esattamente. Microsoft 365 Copilot si basa sui modelli OpenAI ospitati su Azure OpenAI Service, ma il contratto è con Microsoft. DPA proprio, EU Data Boundary, integrazione Microsoft 365. Per organizzazioni già su Microsoft, spesso preferibile — ma il rischio DPF persiste.

I GPT personalizzati sono sicuri sui dati aziendali?

Su Team ed Enterprise, i GPT sono privati al workspace. Due punti: le query raggiungono i modelli OpenAI, le regole di DPA, retention e trasferimento si applicano; un GPT non è un controllo di accesso ai dati.

ChatGPT è vietato in Italia?

Non più. Il Garante ha bloccato temporaneamente ChatGPT a marzo 2023 (primo blocco mondiale del servizio), poi ha riaperto ad aprile 2023. A dicembre 2024 ha sanzionato OpenAI per 15 milioni di euro. ChatGPT è oggi utilizzabile in Italia, sotto vigilanza stretta del Garante.

Qual è l’alternativa più solida a ChatGPT per un’impresa italiana?

Mistral Le Chat Enterprise per la maggior parte degli usi business. Vedi il nostro confronto Mistral vs ChatGPT.

Quanto costa un deployment ChatGPT in azienda per 100 utenti?

ChatGPT Team: circa 28.000 € all’anno. Enterprise: 60.000 a 72.000 € all’anno. Implementazione primo anno: 15-40 k€. Esercizio annuo: 10-20 k€. Mistral Le Chat Enterprise: 18-30 k€ all’anno per 100 utenti.

Fonti: OpenAI, condizioni Team ed Enterprise (openai.com/enterprise-privacy); Regolamento (UE) 2016/679 (GDPR); Codice Privacy italiano (D.Lgs. 196/2003 come modificato); Regolamento (UE) 2024/1689 (AI Act), in particolare articolo 4; Garante per la protezione dei dati personali — Provvedimento n. 112 del 30 marzo 2023; sanzione OpenAI dicembre 2024 (15 milioni di euro); sanzione Replika 2025 (5 milioni di euro); EDPB, Opinion 28/2024 sui modelli IA e GDPR; Commissione europea, Data Privacy Framework, luglio 2023.

Per inquadrare un deployment ChatGPT nella vostra organizzazione — scelta dell’offerta, policy, registro, formazione, o confronto con Mistral Le Chat Enterprise — vedi la nostra guida IA e GDPR, il nostro confronto Mistral vs ChatGPT, la nostra guida alla carta IA, o contattateci tramite le nostre soluzioni IA su misura.