All’inizio di giugno 2026, l’autorità italiana per la protezione dei dati ha fermato un’azienda che aveva sviluppato un sistema per dedurre il livello di stress psicologico dei lavoratori analizzando automaticamente le loro conversazioni su Slack e Microsoft Teams. Il caso, riportato da Red Hot Cyber, solleva una domanda che va oltre l’Italia. Fino a che punto può spingersi il riconoscimento delle emozioni con l’IA sul lavoro prima di trasformarsi in un’intromissione illecita sulla persona?
La risposta inizia ad avere contorni definiti, e conviene che qualsiasi responsabile della sicurezza che valuti strumenti di misurazione del fattore umano li conosca prima di firmare un contratto.
Cosa ha fermato esattamente l’autorità italiana per la protezione dei dati?
Il prodotto sotto esame prometteva qualcosa che a prima vista suona ragionevole. Un motore di intelligenza artificiale leggeva il contenuto semantico delle chat interne e restituiva al datore di lavoro report aggregati sul livello di stress del team, senza consegnare le conversazioni individuali.
L’autorità italiana per la protezione dei dati non si è fermata a quella promessa di aggregazione. Ha osservato che, per produrre quei report, il sistema doveva trattare il contenuto emotivo delle comunicazioni private di ogni persona, e che tale trattamento apriva un accesso indiretto a informazioni di altissima sensibilità. Su questa base, ha invocato la normativa sulla privacy, lo Statuto dei lavoratori e il regolamento europeo sull’intelligenza artificiale, e ha imposto all’azienda misure adeguate fin dalla progettazione del servizio per impedire qualsiasi accesso a informazioni emotive.
Tre preoccupazioni concrete hanno sostenuto il provvedimento:
- L’opacità del modello di analisi semantica, che impedisce al lavoratore di capire come viene interpretato ciò che scrive.
- Il rischio di prendere decisioni discriminatorie basate su quell’interpretazione.
- Il limite che lo Statuto dei lavoratori impone ai controlli a distanza sull’attività del personale.
Vale la pena precisare di cosa parliamo. Il riconoscimento delle emozioni è l’uso di un sistema automatizzato per dedurre o identificare lo stato affettivo di una persona (stress, ansia, rabbia, entusiasmo) a partire dai suoi dati, senza che quella persona l’abbia dichiarato. Non misura ciò che qualcuno fa, ma ciò che si deduce che provi quando parla o scrive in un certo modo.
Perché dedurre le emozioni sul lavoro è una categoria a sé?
Quando un’organizzazione misura le sue persone, conviene distinguere due piani che spesso si confondono:
- Condotta osservabile. Se una persona ha segnalato un’email sospetta, ha completato una formazione o ha fatto click su una simulazione. Sono fatti verificabili, legati a un compito concreto.
- Stato interno dedotto. Se quella persona è stressata, distratta o emotivamente vulnerabile. È una congettura sulla sua psiche, non un fatto del suo lavoro.
Il primo piano è il terreno legittimo di un programma di sicurezza. Il secondo entra in un territorio che il legislatore europeo ha già delimitato in modo esplicito. L’articolo 5 del Regolamento sull’intelligenza artificiale vieta l’uso di sistemi di IA per dedurre le emozioni di una persona fisica nell’ambito lavorativo ed educativo, con l’unica eccezione delle finalità mediche o di sicurezza. Quel divieto è in vigore dal 2 febbraio 2025; non è una raccomandazione futura né una buona prassi.
Anche il formato del report aggregato non risolve il problema di fondo. Come ha osservato la stessa autorità italiana, per fornire una media del team il sistema deduce prima lo stato emotivo di ogni componente, ed è quel trattamento individuale preliminare che la norma raggiunge. Ciò che il datore di lavoro vede alla fine è secondario rispetto a ciò che la macchina ha dedotto lungo il percorso.
La logica dietro la norma è comprensibile. In un rapporto di lavoro esiste uno squilibrio di potere strutturale, e un lavoratore difficilmente può opporsi con reale libertà al fatto che il datore di lavoro gli legga lo stato d’animo. Il considerando 44 del Regolamento sull’intelligenza artificiale lo afferma senza giri di parole: tra le principali carenze di questi sistemi figurano la scarsa affidabilità, la mancanza di specificità e la limitata generalizzabilità, e per questo i sistemi di IA che identificano o deducono emozioni o intenzioni delle persone fisiche sulla base dei loro dati biometrici possono portare a risultati discriminatori ed essere invasivi rispetto ai diritti e alle libertà delle persone interessate. Tenuto conto dello squilibrio di potere nel contesto del lavoro o dell’istruzione, unito alla natura invasiva di tali sistemi, questi potrebbero condurre a un trattamento pregiudizievole o sfavorevole di determinate persone fisiche o di interi gruppi.
Quel rischio di decisioni discriminatorie, unito all’opacità dei modelli che deducono emozioni, è ciò che ha portato a classificare questa pratica tra quelle inaccettabili, non tra quelle semplicemente regolamentate.
Cosa dice il quadro giuridico sul monitoraggio dei dipendenti con l’IA in America Latina?
Nessun paese della regione ha ancora un equivalente diretto del regolamento europeo. Sarebbe però un errore concludere che in America Latina questa pratica resti fuori dal controllo giuridico.
Lo stato psicologico di una persona costituisce un dato sensibile, e in diverse legislazioni della regione viene assimilato a un dato relativo alla salute, soggetto a un regime di protezione rafforzato. In Argentina, per esempio, la Legge 25.326 sulla Protezione dei Dati Personali sottopone i dati sensibili a condizioni di trattamento rigorose, poiché il loro uso improprio abilita la discriminazione che la legge stessa vuole evitare.
Il consenso, inoltre, non funziona come una chiave che apre tutto. Nell’ambito di un rapporto di dipendenza, la sua validità è messa in discussione proprio per l’asimmetria indicata sopra. A ciò si aggiunge che diversi paesi della regione riconoscono la protezione dei dati a livello costituzionale tramite l’azione di habeas data, il che conferisce a questi principi una gerarchia difficile da aggirare per via contrattuale.
A tutto questo si somma un principio che attraversa la regione e che la giurisprudenza del lavoro riconosce da tempo. Il monitoraggio aziendale deve limitarsi a ciò che è legato al compito e rispettare la dignità del lavoratore, e dedurre le emozioni con l’IA mette in tensione quel principio nel suo nucleo.
L’esperienza europea, in questo senso, funziona come un segnale direzionale. Indica verso dove tende la conversazione regolatoria globale, e anticipa lo standard che la regione finirà per adottare. Abbiamo già analizzato il versante puramente normativo di questa discussione in profili psicologici nelle piattaforme di awareness.
Dove si colloca la Cybersecurity awareness ben progettata?
La notizia potrebbe essere letta come un brutto segnale per qualsiasi programma che misuri il comportamento umano, ma quella lettura confonde due cose distinte. Ciò che il caso italiano mette in discussione è la profilazione emotiva della persona, e il rischio che un errore di interpretazione comporta per i suoi diritti e le sue garanzie. Misurare la condotta osservabile sta su un altro piano.
Un programma di Cybersecurity awareness maturo si costruisce sul piano legittimo descritto prima. Misura la condotta osservabile in scenari controllati (una simulazione di phishing, il completamento di un modulo, la segnalazione di un incidente) e lavora con dati aggregati e anonimizzati che descrivono il collettivo, non l’intimità di un individuo. Va chiarito che questa non è solo una buona prassi di conformità, ma la differenza tra un programma difendibile e uno che espone l’organizzazione a un reclamo.
Quella frontiera è ciò che sostiene la legittimità del monitoraggio. L’abbiamo sviluppata a suo tempo parlando di monitoraggio, awareness e aspettativa di privacy, e si collega a un’idea che attraversa il nostro lavoro. Il rischio umano in cybersecurity si riduce capendo come la persona decide davanti allo schermo, non verificando uno stato d’animo che, come in chiunque, cambia da un giorno all’altro.
SMARTFENSE è una piattaforma di Cybersecurity awareness orientata all’America Latina e alla Spagna, progettata per misurare e cambiare il comportamento senza profilare psicologicamente gli utenti. Questa decisione di architettura, lungi dall’essere un dettaglio, è ciò che permette a un’organizzazione di eseguire il programma con tutela legale.
Il limite che un programma di awareness non dovrebbe oltrepassare
Il caso italiano lascia una conclusione pratica per chi seleziona strumenti che misurano il comportamento del personale. La domanda giusta da porre a un fornitore che si propone di misurare il fattore umano non è solo quanto sia preciso il suo modello, ma quale dato tratta per arrivare al risultato.
Se la risposta comporta dedurre emozioni, tratti psicologici o stati d’animo di ogni persona, il prodotto non risolve un problema di sicurezza. Ne aggiunge uno di conformità, e in Europa ha già oltrepassato una linea vietata. La Cybersecurity awareness efficace non ha mai avuto bisogno di leggere la mente di nessuno. Le basta osservare ciò che le persone fanno e dare loro l’opportunità di farlo meglio.
Lascia un commento